Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — franken.page Website-Service
1. Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag ergänzt den Vertrag über den Website-Service „franken.page“ (nachfolgend „Hauptvertrag“) zwischen dem Kunden (Auftraggeber) und der Blocksize One UG (haftungsbeschränkt), Oberstr. 3, 47829 Krefeld (Auftragnehmer).
Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags.
2. Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Kunden ausschließlich zum Zweck der:
- Bereitstellung und Auslieferung der Kunden-Website (Hosting)
- Verarbeitung von Kontaktformular-Eingaben auf der Kunden-Website
- Technischer Betrieb und Wartung der Website-Infrastruktur
3. Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Technische Daten: IP-Adressen, Browser-Typ, Betriebssystem, Zugriffszeiten (Server-Logs)
- Kontaktformular-Daten: Name, E-Mail-Adresse, Telefonnummer, Nachrichteninhalt (sofern ein Kontaktformular auf der Kunden-Website eingerichtet ist)
4. Kategorien betroffener Personen
Betroffene Personen sind Besucher der Website des Kunden sowie Personen, die das Kontaktformular der Kunden-Website nutzen.
5. Pflichten des Auftragnehmers
- Weisungsgebundenheit: Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). E-Mail gilt als dokumentierte Weisung.
- Vertraulichkeit: Alle mit der Datenverarbeitung betrauten Personen sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
- Technische und organisatorische Maßnahmen: Der Auftragnehmer trifft die in § 7 beschriebenen Maßnahmen (Art. 28 Abs. 3 lit. c DSGVO).
- Unterstützung: Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung etc.) sowie bei Datenschutz-Folgenabschätzungen, soweit dies die Kunden-Website betrifft.
- Meldepflicht: Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO).
6. Unterauftragnehmer
Der Auftragnehmer setzt folgende Unterauftragnehmer ein:
- Cloudflare, Inc. — 101 Townsend St, San Francisco, CA 94107, USA
Leistung: Content Delivery Network (CDN), DDoS-Schutz, DNS, Website-Hosting (Cloudflare Workers & R2)
Rechtsgrundlage für Drittlandtransfer: EU-Standardvertragsklauseln (SCCs)
DPA: cloudflare.com/cloudflare-customer-dpa - Stripe, Inc. — 354 Oyster Point Blvd, South San Francisco, CA 94080, USA
Leistung: Zahlungsabwicklung (Kreditkarte, SEPA-Lastschrift), Betrugserkennung
Rechtsgrundlage für Drittlandtransfer: EU-US Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO) + EU-Standardvertragsklauseln (SCCs)
DPA: stripe.com/de/legal/dpa - WhatsApp Ireland Limited — 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
Leistung: Kundenkommunikation (Chat-basierte Datenerfassung und Website-Updates)
Verarbeitete Daten: Telefonnummern, Chat-IDs, Nachrichteninhalte
Rechtsgrundlage für Drittlandtransfer: EU-US Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO) + EU-Standardvertragsklauseln (SCCs)
DPA: whatsapp.com/legal/privacy-policy
Der Auftraggeber stimmt dem Einsatz der genannten Unterauftragnehmer zu. Änderungen werden dem Auftraggeber vorab per E-Mail mitgeteilt. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben.
7. Technische und organisatorische Maßnahmen (TOMs)
- Verschlüsselung: Alle Datenübertragungen erfolgen über TLS 1.2+ (HTTPS). Keine unverschlüsselten Verbindungen.
- Zugangskontrolle: Zugriff auf die Server-Infrastruktur ist auf den Geschäftsführer beschränkt. Authentifizierung per API-Token und Zwei-Faktor-Authentifizierung.
- Keine Tracking-Cookies: Die Kunden-Websites setzen keine Tracking-Cookies und laden keine externen Tracking-Skripte.
- DSGVO-konforme Fonts: Schriftarten werden lokal gehostet (kein Google Fonts CDN).
- Server-Logs: Cloudflare-Logs werden automatisch nach 7 Tagen gelöscht. Der Auftragnehmer speichert keine zusätzlichen Zugriffsprotokolle.
- Kontaktformular-Daten: Eingaben werden verschlüsselt übertragen und ausschließlich an die vom Kunden angegebene E-Mail-Adresse weitergeleitet.
8. Löschung und Rückgabe
Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen Format (z.B. CSV, JSON) herausgegeben.
9. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Auftragnehmer stellt hierfür auf Anfrage alle erforderlichen Informationen bereit und ermöglicht Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).
Die Überprüfung kann in Form einer schriftlichen Auskunft erfolgen. Vor-Ort-Prüfungen sind nach Terminvereinbarung möglich.
Gültig ab: 23. März 2026
Blocksize One UG (haftungsbeschränkt) · Oberstr. 3, 47829 Krefeld · hallo@franken.page
HRB 21178 (AG Krefeld) · USt-IdNr. DE456304266 · GF: Holger Köther