Auftragsverarbeitungsvertrag (AVV)
Stand: Juli 2026
Soweit Vanicy im Rahmen der Web- und Marketing-Leistungen personenbezogene Daten im Auftrag des Kunden verarbeitet, gelten ergänzend zum Hauptvertrag die folgenden Regelungen gemäß Art. 28 DSGVO. Verantwortlicher ist der Kunde, Auftragsverarbeiter ist Vanicy.
Präambel & Gegenstand
(1) Dieser Vertrag konkretisiert die Pflichten der Parteien aus dem Hauptvertrag (Web- und/oder Marketing-Leistungen), soweit Vanicy als Auftragsverarbeiter personenbezogene Daten für den Kunden (den Verantwortlichen) verarbeitet.
(2) Auftragsverarbeiter ist die Gurev & Schwabauer GbR (Vanicy), Rennweg 57, 84034 Landshut. Der Vertrag gilt für die Dauer des Hauptvertrags.
Art, Zweck, Daten & Betroffene
Gegenstand & Zweck
Die Verarbeitung erfolgt zur Erbringung der beauftragten Leistungen (u. a. Erstellung und Betrieb der Website, Kundenportal, Kommunikation, Analyse, Kampagnen- und Werbeschaltung) ausschließlich für den Kunden.
Art der Daten
- Kontakt- und Stammdaten (z. B. Name, E-Mail, Telefon, Anschrift, Unternehmen);
- Nutzungs-, Log- und Meta-Daten (z. B. IP-Adresse, Geräte- und Ereignisdaten);
- Inhalts- und Kommunikationsdaten (z. B. Formular- und Nachrichteninhalte);
- je nach Leistung Werbe- und Reichweitendaten (pseudonyme Kennungen, Zielgruppenmerkmale).
Kategorien betroffener Personen
- Website-Besucher, Interessenten und Leads des Kunden;
- Kunden und Ansprechpartner des Kunden;
- ggf. Beschäftigte des Kunden im Rahmen der Zusammenarbeit.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung.
Weisungsrecht
Vanicy verarbeitet personenbezogene Daten ausschließlich im Rahmen des Hauptvertrags und der dokumentierten Weisungen des Kunden, es sei denn, eine Verarbeitung ist gesetzlich vorgeschrieben. Hält Vanicy eine Weisung für rechtswidrig, wird der Kunde unverzüglich informiert; Vanicy ist berechtigt, die Umsetzung einer solchen Weisung bis zu deren Bestätigung auszusetzen. Weisungen werden in Textform erteilt bzw. bestätigt.
Pflichten des Auftragsverarbeiters
- Verarbeitung nur weisungsgebunden und für die vereinbarten Zwecke;
- Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit bzw. Bestehen einer angemessenen gesetzlichen Verschwiegenheitspflicht (Art. 28 Abs. 3 lit. b DSGVO);
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO, siehe Anlage 1);
- Einsatz von Unterauftragsverarbeitern nur nach Maßgabe von § 6;
- Unterstützung des Verantwortlichen bei Betroffenenrechten, Meldepflichten und Folgenabschätzungen;
- Löschung oder Rückgabe der Daten nach Beendigung (siehe § 10).
Technische & organisatorische Maßnahmen
Vanicy trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen zum Schutz der Daten. Diese können im Laufe des Vertrags entsprechend dem Stand der Technik fortentwickelt werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
Unterauftragsverarbeiter
(1) Der Kunde stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu. Vanicy stellt durch vertragliche Vereinbarungen sicher, dass diese ein angemessenes Datenschutzniveau einhalten.
| Unterauftragsverarbeiter | Leistung | Ort / Garantie |
|---|---|---|
| Hostinger International Ltd. | Hosting | EU/EWR · AVV |
| Neon, Inc. | Datenbank | EU-Datenhaltung · AVV/SCC |
| Stripe Payments Europe, Ltd. | Zahlungen | EU · DPF/SCC |
| Resend, Inc. | Transaktions-E-Mail | USA · SCC |
| Formspree, Inc. | Kontaktformular | USA · DPF |
| Google Ireland Ltd. | Analyse, Werbung, Karten, Fonts | EU/USA · DPF/SCC |
| Meta Platforms Ireland Ltd. | Werbung, Reichweite, WhatsApp | EU/USA · DPF/SCC |
| HubSpot Ireland Ltd. | CRM | EU/USA · DPF |
| Anthropic PBC | KI-Unterstützung | USA · SCC |
(2) Vanicy informiert den Kunden rechtzeitig in Textform über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Kunde kann einer Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb von 14 Tagen widersprechen.
Unterstützung & Betroffenenrechte
Vanicy unterstützt den Kunden im Rahmen des Möglichen bei der Erfüllung von Anträgen betroffener Personen (Art. 15–22 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO. Wendet sich eine betroffene Person unmittelbar an Vanicy, leitet Vanicy das Anliegen unverzüglich an den Kunden weiter.
Meldung von Datenschutzverletzungen
Vanicy informiert den Kunden unverzüglich, nachdem eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, und unterstützt ihn bei den Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO mit den erforderlichen Informationen.
Nachweise & Kontrollen
Vanicy stellt dem Kunden auf Anfrage die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen. Kontrollen erfolgen mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs; vorrangig können aussagekräftige Nachweise (z. B. Berichte, Zertifizierungen) vorgelegt werden.
Löschung & Rückgabe
Nach Beendigung der Verarbeitung löscht oder übergibt Vanicy nach Wahl des Kunden alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bestehende gesetzliche Aufbewahrungsfristen bleiben unberührt; die betroffenen Daten werden für die weitere Verarbeitung gesperrt.
Haftung & Schlussbestimmungen
(1) Für die Haftung gelten die Regelungen des Hauptvertrags sowie Art. 82 DSGVO. Im Übrigen bleiben die Regelungen des Hauptvertrags unberührt.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in Bezug auf die Datenverarbeitung die Regelungen dieses AVV vor. Es gilt deutsches Recht.
Anlagen
Anlage 1: Technische & organisatorische Maßnahmen (Art. 32 DSGVO)
- Vertraulichkeit: Zutritts-, Zugangs- und Zugriffskontrolle; rollenbasierte Berechtigungen; verschlüsselte Übertragung (TLS) und verschlüsselte Speicherung sensibler Daten;
- Integrität: Weitergabe- und Eingabekontrolle; protokollierte Zugriffe; getrennte Verarbeitung nach Zweck (Trennungskontrolle);
- Verfügbarkeit & Belastbarkeit: regelmäßige Backups, Wiederherstellungsverfahren, Schutz vor Datenverlust, Monitoring;
- Verfahren zur regelmäßigen Überprüfung: Datenschutz-Management, Auftragskontrolle gegenüber Unterauftragsverarbeitern, Umsetzung von „Privacy by Design/Default".
Anlage 2: Unterauftragsverarbeiter
Siehe die Aufstellung unter § 6 dieses Vertrags.