Webdesign, SEO
Facebook Instagram Xing Linkedin

Auftragsverarbeitungsvertrag (AV-Vertrag)

zwischen

Gerhard Jager Websolutions, Goethestraße 28, 66126 Saarbrücken
– nachfolgend Auftragnehmer genannt –

und dem jeweiligen Kunden, der den Vertrag digital annimmt
– nachfolgend Auftraggeber genannt –

geschlossen gemäß Art. 28 DSGVO.

1. Gegenstand und Dauer des Auftrags

1.1 Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zur Erbringung folgender Leistungen:

  • Entwicklung und Betreuung von Websites, Onlineshops und digitalen Anwendungen

  • Technische Wartung und Hosting

  • Online-Marketing, Analyse und Support

1.2 Dauer

Der Vertrag gilt unbefristet und kann von beiden Parteien mit einer Frist von einem Monat zum Jahresende gekündigt werden. Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt.

2. Art und Zweck der Verarbeitung

2.1 Art der Daten

  • Personenstammdaten (Name, Adresse, Kontaktdaten)

  • Kommunikationsdaten (E-Mail, Telefon)

  • Vertrags- und Abrechnungsdaten

  • Nutzungs- und Protokolldaten (z. B. Logfiles, IP-Adressen)

2.2 Kategorien betroffener Personen

  • Kunden und Interessenten

  • Mitarbeiter und Bewerber

  • Lieferanten und Partner

2.3 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglichen Leistungen und im Rahmen der dokumentierten Weisungen des Auftraggebers.

2.4 Ort der Verarbeitung

Die Verarbeitung erfolgt ausschließlich in Mitgliedsstaaten der EU oder des EWR. Eine Übermittlung in Drittländer bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und erfolgt nur unter Verwendung geeigneter Garantien gemäß Art. 46 DSGVO (z. B. Standardvertragsklauseln).

3. Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragnehmer gewährleistet ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO. Die getroffenen Maßnahmen sind dokumentiert und beinhalten insbesondere:

  • Zutrittskontrolle: gesicherte Geschäftsräume, Zugang nur für berechtigte Personen

  • Zugangskontrolle: Passwortschutz, Zwei-Faktor-Authentifizierung, Verschlüsselung

  • Zugriffskontrolle: rollenbasierte Rechte, Protokollierung von Zugriffen

  • Weitergabekontrolle: SSL/TLS-Verschlüsselung, sichere Dateiübertragung

  • Verfügbarkeitskontrolle: tägliche Backups, redundante Server, Virenschutz, Firewall

  • Trennungskontrolle: Mandantentrennung in Datenbanken und Systemen

  • Datenschutzmanagement: regelmäßige Überprüfung und Anpassung der Maßnahmen

Eine aktuelle Beschreibung der technischen und organisatorischen Maßnahmen ist unter https://gjws.de/tom abrufbar.

4. Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und erteilt dem Auftragnehmer alle Weisungen schriftlich oder in Textform. Er ist berechtigt, die Einhaltung der vertraglichen Pflichten durch Audits oder Nachweise zu überprüfen.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten,

  • alle Mitarbeiter zur Vertraulichkeit zu verpflichten,

  • einen Datenschutzbeauftragten zu benennen (Kontaktdaten auf https://gjws.de/datenschutz),

  • Datenschutzverstöße unverzüglich zu melden,

  • den Auftraggeber bei Betroffenenanfragen (Art. 15–22 DSGVO) zu unterstützen,

  • Daten nach Abschluss des Auftrags zu löschen oder zurückzugeben,

  • über alle Unterauftragsverarbeiter Buch zu führen.

6. Unterauftragsverhältnisse

Unterauftragsverarbeiter dürfen nur nach vorheriger schriftlicher Zustimmung des Auftraggebers beauftragt werden. Der Auftragnehmer stellt sicher, dass jeder Unterauftragnehmer die gleichen Datenschutzpflichten übernimmt.
Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter ist unter https://gjws.de/av-sub abrufbar.

7. Unterstützungspflichten und Meldungen

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Datenschutz-Folgenabschätzung, Meldung von Datenpannen). Sicherheitsvorfälle werden unverzüglich gemeldet und dokumentiert.

8. Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses löscht oder gibt der Auftragnehmer alle personenbezogenen Daten auf Anweisung des Auftraggebers zurück. Löschungen werden protokolliert und auf Anfrage nachgewiesen.

9. Kontrolle und Nachweise

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags regelmäßig zu prüfen. Der Auftragnehmer stellt die dafür erforderlichen Informationen, Dokumentationen oder Auditberichte bereit. Regelmäßige Eigenkontrollen erfolgen mindestens einmal jährlich.

10. Haftung

Für Schäden, die durch eine unzulässige oder nicht weisungsgemäße Verarbeitung entstehen, haftet der Auftragnehmer gemäß Art. 82 DSGVO nur, wenn er die ihm obliegenden Pflichten verletzt hat.

11. Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt der Vertrag im Übrigen wirksam.