Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

zwischen dem Auftraggeber (nachfolgend „Verantwortlicher") und:

Arnold Wender
Wender Media
Franckestraße 3a
06110 Halle (Saale)
E-Mail: info@wendermedia.com
(nachfolgend „Auftragsverarbeiter")

— gemeinsam „die Parteien" —

1. Gegenstand, Art, Zweck und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der zwischen den Parteien geschlossenen Hauptverträge (insbesondere Web-, Design- und SEO-Dienstleistungen).

(2) Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Löschung personenbezogener Daten.

(3) Betroffene Datenkategorien: Kontaktdaten (Name, Adresse, E-Mail, Telefon), Vertragsdaten, Nutzungsdaten, Kommunikationsdaten.

(4) Betroffene Personen: Kunden, Interessenten, Mitarbeiter und Kontaktpersonen des Verantwortlichen.

(5) Dauer: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Nach Beendigung sind alle personenbezogenen Daten zu löschen oder zurückzugeben.

2. Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland, es sei denn, er ist durch das Unionsrecht oder das Recht der Mitgliedstaaten dazu verpflichtet.

(2) Weisungen sind schriftlich zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, teilt er dies dem Verantwortlichen unverzüglich mit.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

zur Vertraulichkeit der Datenverarbeitung (Art. 28 Abs. 3 lit. b DSGVO); alle zur Verarbeitung befugten Personen sind zur Vertraulichkeit zu verpflichten;
alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung) zu ergreifen;
den Verantwortlichen unverzüglich zu informieren, wenn eine erteilte Weisung nach Einschätzung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt;
den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten zu unterstützen;
nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Verarbeitung zu löschen oder zurückzugeben und bestehende Kopien zu löschen, sofern keine unionsrechtliche oder mitgliedstaatliche Pflicht zur Speicherung besteht;
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen.

4. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Dazu gehören insbesondere:

Vertraulichkeit: Zugangskontrolle (sichere Passwörter, 2-Faktor-Authentifizierung), Zugriffskontrolle (Least-Privilege-Prinzip), Transportverschlüsselung (TLS/HTTPS).
Integrität: Übertragungskontrolle (verschlüsselte Übertragung), Eingabekontrolle (Protokollierung).
Verfügbarkeit: Datensicherung, sichere Aufbewahrung, Backup-Konzept.
Belastbarkeit: Regelmäßige Sicherheitsupdates, Patch-Management.

Die konkreten TOMs können auf Anfrage als gesondertes Dokument zur Verfügung gestellt werden.

5. Unterauftragnehmer (Subverarbeiter)

(1) Der Auftragsverarbeiter darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur mit schriftlicher Genehmigung des Verantwortlichen beauftragen.

(2) Bereits genehmigte Unterauftragnehmer:

Netlify, Inc., 2325 3rd Street, Suite 296, San Francisco, CA 94107, USA — Website-Hosting (SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO)

(3) Der Auftragsverarbeiter legt dem Unterauftragnehmer die gleichen Datenschutzverpflichtungen wie in diesem Vertrag auf.

6. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich bei der Erfüllung von Auskunfts-, Löschungs-, Berichtigungs-, Einschränkungs- und Datenübertragbarkeitsanfragen betroffener Personen gemäß Kapitel III DSGVO.

7. Meldung von Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, um dem Verantwortlichen die Einhaltung der Meldepflicht nach Art. 33 DSGVO zu ermöglichen.

8. Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der Bestimmungen dieses Vertrags beim Auftragsverarbeiter regelmäßig in angemessenem Umfang selbst oder durch beauftragte Dritte zu kontrollieren. Der Auftragsverarbeiter verpflichtet sich, die Durchführung von Kontrollen zu dulden und die erforderlichen Informationen zur Verfügung zu stellen.

9. Schlussbestimmungen

(1) Dieser Vertrag unterliegt deutschem Recht. Gerichtsstand ist Halle (Saale).

(2) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit des Vertrags im Übrigen unberührt.

Stand: März 2026

Cookie	Zweck	Dauer	Anbieter
cookieConsent	Speichert Ihre Cookie-Einstellungen	1 Jahr	Eigene Website
theme	Speichert Ihre Farbschema-Praeferenz	1 Jahr	Eigene Website
session	Sitzungsmanagement für Formulare	Sitzung	Eigene Website

Cookie	Zweck	Dauer	Anbieter
_ga	Unterscheidet Benutzer für Statistiken	2 Jahre	Google Analytics
_gid	Unterscheidet Benutzer (24h)	24 Stunden	Google Analytics
_gat	Begrenzt Anfragen	1 Minute	Google Analytics

Cookie	Zweck	Dauer	Anbieter
_fbp	Facebook Pixel für Werbezwecke	3 Monate	Facebook
_gcl_au	Google Ads Conversion-Tracking	3 Monate	Google Ads

Cookie	Zweck	Dauer	Anbieter
language	Speichert Ihre Spracheinstellung	1 Jahr	Eigene Website
region	Speichert Ihre Regionseinstellung	1 Jahr	Eigene Website

Auftragsverarbeitungsvertrag (AVV)