AV-Vertrag Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Standard-AVV für die Zusammenarbeit mit Wender Media. Gilt in Verbindung mit dem jeweiligen Leistungsvertrag. Keine Rechtsberatung – Umsetzung nach Stand der Technik.

Art.28 DSGVO-Template
TOMs als Anlage
EU Standard
2025 Stand
Zum AVV-Inhalt
Dieses AVV-Template wird projektbezogen durch Anlagen (TOMs, ggf. Subprozessoren) ergänzt.

Hinweis zu diesem AVV-Template

Dieses Dokument ist unser Standard-AVV nach Art. 28 DSGVO. Es wird projektbezogen ergänzt durch Anlagen (TOMs, ggf. Subprozessoren, Verarbeitungstätigkeiten). Die jeweils gültige Fassung erhalten Sie auf Anfrage als PDF/DOCX zum Unterschreiben.

AVV-Anfragen: info@wendermedia.com (Betreff: AVV-Anfrage)

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

Dieser Vertrag regelt die Auftragsverarbeitung personenbezogener Daten nach Art. 28 DSGVO zwischen dem Verantwortlichen (Auftraggeber) und Arnold Wender – Wender Media (Auftragsverarbeiter).

Dauer: Der AVV gilt für die Laufzeit des zugrunde liegenden Leistungs-/Projektvertrags. Nach Vertragsende erfolgt Rückgabe oder Löschung der personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vereinbarten Dienstleistungen (Website-Entwicklung, SEO, Marketing) und umfasst:

  • Speicherung und Verarbeitung von Kontaktdaten (CRM, Projektmanagement)
  • Website-Analytics und Performance-Monitoring (z. B. Server-Logs, ggf. anonymisierte Analytics)
  • E-Mail-Marketing (nur mit Einwilligung der Betroffenen)
  • Technische Website-Wartung (Zugriff auf Hosting/Backend)

Konkrete Verarbeitungsvorgänge werden bei Bedarf in einer Anlage „Verarbeitungstätigkeiten" dokumentiert.

§ 3 Kategorien betroffener Personen

  • Website-Besucher (anonyme und registrierte Nutzer)
  • Kunden und Interessenten des Auftraggebers
  • Newsletter-Abonnenten (bei E-Mail-Marketing)
  • Kontaktformular-Nutzer und Support-Anfragende

§ 4 Kategorien personenbezogener Daten

  • Kontaktdaten: Name, E-Mail, Telefon, Anschrift
  • Nutzungsdaten: Logfiles (IP, Timestamp, URL, User-Agent, Referrer)
  • Kommunikationsdaten: Inhalte aus Kontaktformular/E-Mail inkl. Anhängen (falls übermittelt)

§ 5 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf Übermittlungen in Drittländer. Weisungen sind in Textform zu erteilen (E-Mail genügt). Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.

§ 6 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO. Die TOMs sind in Anlage 1 beschrieben und umfassen u. a.:

  • Zutrittskontrolle: Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen verwehrt
  • Zugangskontrolle: Passwortschutz, 2FA wo möglich, Berechtigungsmanagement
  • Zugriffskontrolle: Nur befugte Mitarbeiter haben Zugriff auf projektrelevante Daten
  • Weitergabekontrolle: SSL/TLS-Verschlüsselung bei Datenübertragungen
  • Eingabekontrolle: Nachvollziehbarkeit, wer wann welche Daten eingegeben/verändert hat
  • Verfügbarkeitskontrolle: Regelmäßige Backups, Wiederherstellungstests
  • Trennungskontrolle: Mandantentrennung bei mehreren Auftraggebern

Details siehe Anlage 1: TOMs (auf Anfrage als separates Dokument).

§ 8 Subprozessoren / Unterauftragsverarbeiter

Der Auftragsverarbeiter kann Subprozessoren (Unterauftragsverarbeiter) einsetzen, sofern er den Verantwortlichen vorab informiert und dieser nicht innerhalb von 14 Tagen widerspricht. Der Auftragsverarbeiter stellt sicher, dass Subprozessoren denselben Datenschutzpflichten unterliegen.

Aktuelle Subprozessoren (Stand: 2025):

  • Hosting-Provider (Server-Infrastruktur, Standort: EU)
  • E-Mail-Dienst (bei Newsletter-Versand, falls beauftragt)

Eine vollständige Liste wird auf Anfrage als Anlage bereitgestellt.

§ 9 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch geeignete technische und organisatorische Maßnahmen.

§ 10 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (in der Regel binnen 24 Stunden) über Datenschutzverletzungen (Security Incidents), die personenbezogene Daten des Auftraggebers betreffen.

§ 11 Rückgabe und Löschung

Nach Beendigung der Auftragsverarbeitung gibt der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen zurück oder löscht sie.

  • Rückgabe: Export in gängigen Formaten (CSV, JSON, DB-Dump nach Absprache)
  • Löschung: Innerhalb von 30 Tagen + Löschprotokoll auf Anfrage
  • Ausnahme: Gesetzliche Aufbewahrungspflichten bleiben unberührt

§ 12 Nachweispflichten und Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen/Audits, die vom Verantwortlichen oder einem beauftragten Prüfer durchgeführt werden.

§ 13 Kontakt

Auftragsverarbeiter:
Arnold Wender – Wender Media
Franckestraße 3a
06110 Halle (Saale)
E-Mail: info@wendermedia.com
Telefon: 0151-4193-2856

AVV-Anfragen: Bitte mit Betreff „AVV-Anfrage" an info@wendermedia.com. Antwort werktags in der Regel binnen 2 Werktagen.

Stand dieses AVV-Templates: Januar 2025

Änderungen werden dokumentiert und bei laufenden Verträgen mit angemessener Frist kommuniziert.