Zum Inhalt springen
Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Stand: Juli 2026

Soweit Vanicy im Rahmen der Web- und Marketing-Leistungen personenbezogene Daten im Auftrag des Kunden verarbeitet, gelten ergänzend zum Hauptvertrag die folgenden Regelungen gemäß Art. 28 DSGVO. Verantwortlicher ist der Kunde, Auftragsverarbeiter ist Vanicy.

1

Präambel & Gegenstand

(1) Dieser Vertrag konkretisiert die Pflichten der Parteien aus dem Hauptvertrag (Web- und/oder Marketing-Leistungen), soweit Vanicy als Auftragsverarbeiter personenbezogene Daten für den Kunden (den Verantwortlichen) verarbeitet.

(2) Auftragsverarbeiter ist die Gurev & Schwabauer GbR (Vanicy), Rennweg 57, 84034 Landshut. Der Vertrag gilt für die Dauer des Hauptvertrags.

2

Art, Zweck, Daten & Betroffene

Gegenstand & Zweck

Die Verarbeitung erfolgt zur Erbringung der beauftragten Leistungen (u. a. Erstellung und Betrieb der Website, Kundenportal, Kommunikation, Analyse, Kampagnen- und Werbeschaltung) ausschließlich für den Kunden.

Art der Daten

  • Kontakt- und Stammdaten (z. B. Name, E-Mail, Telefon, Anschrift, Unternehmen);
  • Nutzungs-, Log- und Meta-Daten (z. B. IP-Adresse, Geräte- und Ereignisdaten);
  • Inhalts- und Kommunikationsdaten (z. B. Formular- und Nachrichteninhalte);
  • je nach Leistung Werbe- und Reichweitendaten (pseudonyme Kennungen, Zielgruppenmerkmale).

Kategorien betroffener Personen

  • Website-Besucher, Interessenten und Leads des Kunden;
  • Kunden und Ansprechpartner des Kunden;
  • ggf. Beschäftigte des Kunden im Rahmen der Zusammenarbeit.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung.

3

Weisungsrecht

Vanicy verarbeitet personenbezogene Daten ausschließlich im Rahmen des Hauptvertrags und der dokumentierten Weisungen des Kunden, es sei denn, eine Verarbeitung ist gesetzlich vorgeschrieben. Hält Vanicy eine Weisung für rechtswidrig, wird der Kunde unverzüglich informiert; Vanicy ist berechtigt, die Umsetzung einer solchen Weisung bis zu deren Bestätigung auszusetzen. Weisungen werden in Textform erteilt bzw. bestätigt.

4

Pflichten des Auftragsverarbeiters

  • Verarbeitung nur weisungsgebunden und für die vereinbarten Zwecke;
  • Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit bzw. Bestehen einer angemessenen gesetzlichen Verschwiegenheitspflicht (Art. 28 Abs. 3 lit. b DSGVO);
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO, siehe Anlage 1);
  • Einsatz von Unterauftragsverarbeitern nur nach Maßgabe von § 6;
  • Unterstützung des Verantwortlichen bei Betroffenenrechten, Meldepflichten und Folgenabschätzungen;
  • Löschung oder Rückgabe der Daten nach Beendigung (siehe § 10).
5

Technische & organisatorische Maßnahmen

Vanicy trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen zum Schutz der Daten. Diese können im Laufe des Vertrags entsprechend dem Stand der Technik fortentwickelt werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

6

Unterauftragsverarbeiter

(1) Der Kunde stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu. Vanicy stellt durch vertragliche Vereinbarungen sicher, dass diese ein angemessenes Datenschutzniveau einhalten.

UnterauftragsverarbeiterLeistungOrt / Garantie
Hostinger International Ltd.HostingEU/EWR · AVV
Neon, Inc.DatenbankEU-Datenhaltung · AVV/SCC
Stripe Payments Europe, Ltd.ZahlungenEU · DPF/SCC
Resend, Inc.Transaktions-E-MailUSA · SCC
Formspree, Inc.KontaktformularUSA · DPF
Google Ireland Ltd.Analyse, Werbung, Karten, FontsEU/USA · DPF/SCC
Meta Platforms Ireland Ltd.Werbung, Reichweite, WhatsAppEU/USA · DPF/SCC
HubSpot Ireland Ltd.CRMEU/USA · DPF
Anthropic PBCKI-UnterstützungUSA · SCC

(2) Vanicy informiert den Kunden rechtzeitig in Textform über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Kunde kann einer Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb von 14 Tagen widersprechen.

7

Unterstützung & Betroffenenrechte

Vanicy unterstützt den Kunden im Rahmen des Möglichen bei der Erfüllung von Anträgen betroffener Personen (Art. 15–22 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO. Wendet sich eine betroffene Person unmittelbar an Vanicy, leitet Vanicy das Anliegen unverzüglich an den Kunden weiter.

8

Meldung von Datenschutzverletzungen

Vanicy informiert den Kunden unverzüglich, nachdem eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, und unterstützt ihn bei den Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO mit den erforderlichen Informationen.

9

Nachweise & Kontrollen

Vanicy stellt dem Kunden auf Anfrage die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen. Kontrollen erfolgen mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs; vorrangig können aussagekräftige Nachweise (z. B. Berichte, Zertifizierungen) vorgelegt werden.

10

Löschung & Rückgabe

Nach Beendigung der Verarbeitung löscht oder übergibt Vanicy nach Wahl des Kunden alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bestehende gesetzliche Aufbewahrungsfristen bleiben unberührt; die betroffenen Daten werden für die weitere Verarbeitung gesperrt.

11

Haftung & Schlussbestimmungen

(1) Für die Haftung gelten die Regelungen des Hauptvertrags sowie Art. 82 DSGVO. Im Übrigen bleiben die Regelungen des Hauptvertrags unberührt.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in Bezug auf die Datenverarbeitung die Regelungen dieses AVV vor. Es gilt deutsches Recht.

12

Anlagen

Anlage 1: Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

  • Vertraulichkeit: Zutritts-, Zugangs- und Zugriffskontrolle; rollenbasierte Berechtigungen; verschlüsselte Übertragung (TLS) und verschlüsselte Speicherung sensibler Daten;
  • Integrität: Weitergabe- und Eingabekontrolle; protokollierte Zugriffe; getrennte Verarbeitung nach Zweck (Trennungskontrolle);
  • Verfügbarkeit & Belastbarkeit: regelmäßige Backups, Wiederherstellungsverfahren, Schutz vor Datenverlust, Monitoring;
  • Verfahren zur regelmäßigen Überprüfung: Datenschutz-Management, Auftragskontrolle gegenüber Unterauftragsverarbeitern, Umsetzung von „Privacy by Design/Default".

Anlage 2: Unterauftragsverarbeiter

Siehe die Aufstellung unter § 6 dieses Vertrags.

Dieser AVV ist ein Muster-Entwurf nach Art. 28 DSGVO und ersetzt keine Rechtsberatung. Für den konkreten Einsatz – insbesondere die TOM in Anlage 1 – sollte er an die tatsächlichen Verhältnisse angepasst und geprüft werden. Für den Vertragsschluss stellen wir auf Anfrage eine unterschriftsfähige Fassung bereit: support@vanicy.de.