Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO. Vorlage für Kunden, deren Webseite durch XA:I CORE betrieben wird und über die personenbezogene Daten Dritter (z.B. Besucher, Newsletter-Anmelder, Kontaktanfragen) verarbeitet werden.
Stand: Mai 2026 · Version 1.0 · Vorlage gemäß Art. 28 Abs. 3 DSGVO
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") regelt die Verarbeitung personenbezogener Daten durch XA:I CORE · Inhaber Fabian Stillrich · Ringstraße 1 · 91341 Röttenbach (nachfolgend "Auftragsverarbeiter") im Auftrag des Auftraggebers (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO) im Rahmen der Webseiten-Subscription gemäß Hauptvertrag (AGB).
§ 1 Gegenstand und Dauer
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten Dritter (insbesondere Webseiten-Besucher, Formular-Einsender, Newsletter-Abonnenten) im Rahmen des Betriebs und der Pflege der durch den Auftragsverarbeiter erstellten und gehosteten Webseite des Auftraggebers.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des zugrundeliegenden Subscription-Hauptvertrags.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:
- Bereitstellung und Betrieb der Webseite
- Empfang und Weiterleitung von Kontakt-/Formular-Anfragen
- Speicherung von Cookies-Einwilligungen
- Anonymisierte Server-Logfile-Verarbeitung zur IT-Sicherheit
- Bei aktiviertem KI-Chatbot (Tarif Webseite MAX): Verarbeitung der Chat-Eingaben über Anthropic API
(2) Die Art der Verarbeitung umfasst Erheben, Erfassen, Organisation, Speicherung, Anpassung, Abfrage, Verwendung und Löschung.
§ 3 Art der personenbezogenen Daten
(1) Der Auftragsverarbeiter verarbeitet im Rahmen des Auftrags insbesondere folgende Datenkategorien:
- Kommunikationsdaten: Name, E-Mail-Adresse, Telefonnummer, Firmenname (aus Kontaktformularen)
- Nutzungsdaten: IP-Adresse (anonymisiert), Browser-Information, Aufgerufene Seiten, Zeitstempel
- Einwilligungsdaten: Cookie-Banner-Entscheidung
- Inhaltliche Anfragen: Texte aus Kontaktformularen oder KI-Chat
§ 4 Kategorien betroffener Personen
- Besucher der Webseite des Auftraggebers
- Kontaktanfragen-Sender
- Newsletter-Abonnenten (sofern eingerichtet)
- Sonstige Personen, die mit der Webseite interagieren
§ 5 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten
- Die zur Wahrung der Sicherheit der Verarbeitung erforderlichen Maßnahmen (Art. 32 DSGVO) zu treffen
- Zur Vertraulichkeit verpflichtetes Personal einzusetzen (Art. 28 Abs. 3 lit. b DSGVO)
- Den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO zu unterstützen
- Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren (innerhalb 24 Stunden nach Bekanntwerden)
- Nach Abschluss der Erbringung der Verarbeitungstätigkeiten alle personenbezogenen Daten zu löschen oder zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht besteht
- Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung des Art. 28 DSGVO zur Verfügung zu stellen
§ 6 Technisch-organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:
6.1 Vertraulichkeit
- Zutrittskontrolle: Server bei Hetzner in Deutschland (ISO 27001-zertifiziert)
- Zugangskontrolle: Multi-Faktor-Authentifizierung für alle Admin-Zugänge
- Zugriffskontrolle: Berechtigungskonzept mit prinzip der minimalen Rechte
- Pseudonymisierung wo möglich; IP-Adressen werden anonymisiert (letztes Oktett gekürzt)
6.2 Integrität
- Weitergabekontrolle: TLS 1.3-Verschlüsselung für alle Übertragungen
- Eingabekontrolle: Audit-Logs für alle Änderungen am System
6.3 Verfügbarkeit & Belastbarkeit
- Verfügbarkeitskontrolle: Tägliche Backups, Wiederherstellungstest quartalsweise
- Rasche Wiederherstellbarkeit nach physischem oder technischem Zwischenfall
6.4 Verfahren zur regelmäßigen Überprüfung
- Datenschutz-Management: regelmäßige TOM-Überprüfung
- Incident-Response-Plan: dokumentierter Notfallplan bei Datenschutzvorfällen
- Auftragskontrolle: schriftliche Weisungen und Verträge mit Sub-Auftragsverarbeitern
§ 7 Sub-Auftragsverarbeiter
(1) Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) hinzuzuziehen. Aktuelle Sub-Auftragsverarbeiter:
| Anbieter | Zweck | Standort | Drittland-Garantien |
|---|---|---|---|
| Hetzner Online GmbH | Webseiten-Hosting | Deutschland | — |
| Mollie B.V. | Zahlungsabwicklung (Mandate-Verwaltung) | Niederlande | — (EU) |
| Resend, Inc. | E-Mail-Versand (transaktional) | USA | EU-Standardvertragsklauseln |
| Anthropic PBC | KI-Chat-Assistent (optional, Tarif Webseite MAX) | USA | EU-Standardvertragsklauseln |
| Vercel Inc. | Build-Pipeline / CDN für statische Assets | USA / EU-Edge | EU-Standardvertragsklauseln |
(2) Der Auftraggeber stimmt der Hinzuziehung dieser Sub-Auftragsverarbeiter zu.
(3) Bei Wechsel oder Hinzufügung weiterer Sub-Auftragsverarbeiter wird der Auftraggeber mit angemessener Frist (mindestens 30 Tage) in Textform informiert. Der Auftraggeber hat das Recht, gegen die Änderung Widerspruch einzulegen.
(4) Mit allen Sub-Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
§ 8 Rechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, sich jederzeit über die Verarbeitung seiner Daten zu informieren und entsprechende Einsicht zu nehmen.
(2) Der Auftraggeber kann Kontrollen vor Ort (nach vorheriger schriftlicher Anmeldung mit angemessener Frist) durchführen oder einen Wirtschaftsprüfer auf eigene Kosten beauftragen.
(3) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Art. 12-23 DSGVO).
§ 9 Anzeigepflicht bei Verstößen
(1) Der Auftragsverarbeiter teilt dem Auftraggeber unverzüglich Verletzungen des Schutzes personenbezogener Daten mit.
(2) Diese Mitteilung umfasst mindestens:
- Art des Vorfalls
- Kategorien und ungefähre Anzahl betroffener Personen
- Kategorien und ungefähre Anzahl betroffener Datensätze
- Wahrscheinliche Folgen
- Ergriffene Gegenmaßnahmen
§ 10 Löschung und Rückgabe nach Vertragsende
(1) Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter:
- Die personenbezogenen Daten auf Verlangen des Auftraggebers herausgeben
- Spätestens 90 Tage nach Vertragsende alle Daten löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht
- Eine Bestätigung der Löschung in Textform übermitteln
(2) Backup-Daten werden im Rahmen der ohnehin laufenden Rotation gelöscht (max. 90 Tage).
§ 11 Schlussbestimmungen
(1) Es gilt deutsches Recht.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV in Bezug auf Datenschutz vor.
(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
Annahme dieses AVV
Mit Abschluss eines Subscription-Vertrags und Bestätigung der AGB nimmt der Auftraggeber konkludent auch diesen AVV an. Eine separate Unterzeichnung ist nicht erforderlich, kann aber auf Wunsch des Auftraggebers vorgenommen werden — schreiben Sie hierzu an info@xaicore.de.
Dieser AVV wurde gemäß Art. 28 Abs. 3 DSGVO erstellt. Vor produktivem Einsatz empfehlen wir eine Prüfung durch einen Fachanwalt für IT-Recht oder einen Datenschutzbeauftragten.