Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten zwischen:
Auftraggeber (Verantwortlicher):
Der Kunde, der die Dienste von ArtisanCMS nutzt (nachfolgend „Auftraggeber")
Auftragnehmer (Auftragsverarbeiter):
Leon Zeidler
ArtisanCMS
Alter Dorfrand 50
01454 Radeberg, Deutschland
E-Mail: leon@artisancms.app
(nachfolgend „Auftragnehmer")
Der Auftraggeber und der Auftragnehmer werden nachfolgend gemeinsam als „Parteien" und einzeln als „Partei" bezeichnet.
Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) von ArtisanCMS und gilt automatisch für alle Kunden, die die Dienste von ArtisanCMS nutzen. Mit der Nutzung der Dienste stimmt der Auftraggeber diesem AVV zu.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform ArtisanCMS zur Erstellung und Verwaltung von Websites für Handwerksbetriebe.
(2) Dauer
Dieser AVV beginnt mit der Registrierung des Auftraggebers bei ArtisanCMS und endet mit der vollständigen Beendigung des Hauptvertrages und der Löschung aller personenbezogenen Daten gemäß § 10 dieses AVV.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der:
- Bereitstellung und Betrieb der SaaS-Plattform ArtisanCMS
- Erstellung, Hosting und Verwaltung von Websites für den Auftraggeber
- Speicherung und Verwaltung von Inhalten (Texte, Bilder, Kundenbewertungen)
- KI-gestützte Textgenerierung für Website-Inhalte
- Technischer Support und Fehlerbehebung
- Abrechnung und Zahlungsabwicklung
Die Art der Verarbeitung umfasst insbesondere: Erhebung, Speicherung, Organisation, Strukturierung, Anpassung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Abgleich, Einschränkung, Löschung und Vernichtung.
§ 3 Art der personenbezogenen Daten
Folgende Arten personenbezogener Daten sind Gegenstand der Verarbeitung:
(1) Daten des Auftraggebers (Kundendaten)
- Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Anschrift)
- Unternehmensdaten (Firmenname, Rechtsform, Handelsregisternummer)
- Zugangsdaten (Benutzername, verschlüsseltes Passwort)
- Zahlungsdaten (Bankverbindung, Kreditkartendaten über Stripe)
- Kommunikationsdaten (Support-Anfragen, E-Mail-Korrespondenz)
(2) Daten der Endkunden des Auftraggebers
- Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer) bei Kontaktformularen
- Bewertungsdaten (Name, Bewertungstext, Datum)
- Technische Daten (IP-Adresse, Browser-Informationen) bei Website-Besuchern
(3) Inhaltsdaten
- Texte und Beschreibungen für die Website
- Bilder und Medien
- Projektdaten und Referenzen
§ 4 Kategorien betroffener Personen
Von der Datenverarbeitung betroffen sind folgende Personengruppen:
- Der Auftraggeber selbst und dessen Mitarbeiter
- Kunden und Interessenten des Auftraggebers
- Besucher der vom Auftraggeber erstellten Website
- Personen, die Bewertungen für den Auftraggeber abgeben
- Kontaktpersonen, die über die Website Anfragen stellen
§ 5 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich:
- Personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
- Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO).
- Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe § 7).
- Den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO zu unterstützen.
- Den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Art. 15-22 DSGVO) zu unterstützen.
- Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben (siehe § 10).
- Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen.
§ 6 Pflichten des Auftraggebers
Der Auftraggeber verpflichtet sich:
- Für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich zu sein.
- Den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten feststellt.
- Sicherzustellen, dass er zur Erhebung und Verarbeitung der personenbezogenen Daten berechtigt ist.
- Die betroffenen Personen über die Datenverarbeitung zu informieren (Datenschutzerklärung auf seiner Website).
- Bei der Nutzung von KI-Funktionen sicherzustellen, dass keine sensiblen personenbezogenen Daten (Art. 9 DSGVO) zur Textgenerierung verwendet werden.
§ 7 Technische und organisatorische Maßnahmen (TOM)
Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:
(1) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Serverinfrastruktur wird bei zertifizierten Rechenzentren betrieben
- Zugangskontrolle: Authentifizierung mittels E-Mail und Passwort, verschlüsselte Speicherung
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem, minimale Rechtevergabe
- Trennungskontrolle: Logische Trennung der Kundendaten durch eindeutige Mandanten-IDs
(2) Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle: SSL/TLS-Verschlüsselung aller Datenübertragungen
- Eingabekontrolle: Protokollierung von Datenänderungen
(3) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle: Regelmäßige Backups, redundante Serverinfrastruktur
- Rasche Wiederherstellbarkeit: Dokumentierte Wiederherstellungsprozesse
(4) Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
- Incident-Response-Verfahren für Sicherheitsvorfälle
- Monitoring und Logging von Zugriffen
§ 8 Unterauftragnehmer (Subunternehmer)
(1) Genehmigung
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zur Beauftragung von Unterauftragnehmern gemäß Art. 28 Abs. 2 DSGVO. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Auftraggeber kann gegen solche Änderungen innerhalb von 14 Tagen nach Mitteilung Einspruch erheben.
(2) Anforderungen an Unterauftragnehmer
Der Auftragnehmer stellt sicher, dass mit allen Unterauftragnehmern Auftragsverarbeitungsverträge geschlossen werden, die mindestens die gleichen Datenschutzpflichten enthalten wie dieser AVV.
(3) Liste der Unterauftragnehmer
Zum Zeitpunkt des Vertragsschlusses werden folgende Unterauftragnehmer eingesetzt:
| Unterauftragnehmer | Zweck | Standort | Garantien |
|---|---|---|---|
| Supabase Inc. Singapore | Datenbank-Hosting, Speicherung aller Plattformdaten | Frankfurt, Deutschland (EU) | AVV, EU-Serverstandort |
| Vercel Inc. USA | Website-Hosting, Serverless Functions | USA/EU (Edge Network) | AVV, EU-US Data Privacy Framework |
| OpenAI, L.L.C. USA | KI-gestützte Textgenerierung (GPT-4) | USA | AVV, EU-US Data Privacy Framework, kein Training mit Kundendaten |
| Google Ireland Limited Irland | CDN, Web Fonts, Analytics (optional), Ads (optional) | EU/USA | AVV, EU-US Data Privacy Framework |
| Stripe Payments Europe Ltd. Irland | Zahlungsabwicklung | EU | AVV, PCI-DSS-zertifiziert |
| Resend, Inc. USA | E-Mail-Versand (Transaktionsmails, Newsletter) | USA | AVV, EU-US Data Privacy Framework |
| Functional Software Inc. (Sentry) USA | Fehlerüberwachung und -berichterstattung | USA | AVV, EU-US Data Privacy Framework |
| BUNNYWAY d.o.o. Slowenien | Video-Hosting und -Streaming | EU | EU-Anbieter |
Eine aktuelle Liste der Unterauftragnehmer kann jederzeit unter artisancms.app/unterauftragnehmer eingesehen werden.
§ 9 Unterstützung bei Rechten betroffener Personen
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III der DSGVO (Art. 15-22), insbesondere:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die zur Beantwortung erforderlichen Informationen innerhalb einer angemessenen Frist zur Verfügung.
§ 10 Löschung und Rückgabe von Daten
(1) Nach Vertragsende
Nach Beendigung des Hauptvertrages wird der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers entweder löschen oder zurückgeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der Daten besteht.
(2) Datenexport
Der Auftraggeber hat die Möglichkeit, vor Vertragsende seine Daten zu exportieren. Hierfür stellt der Auftragnehmer entsprechende Funktionen in der Plattform bereit (siehe Anbieterwechsel-Annex der AGB).
(3) Löschfrist
Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende, sofern der Auftraggeber keinen Datenexport verlangt hat. Backups werden innerhalb von 90 Tagen gelöscht.
(4) Bestätigung
Auf Verlangen bestätigt der Auftragnehmer die vollständige Löschung der Daten schriftlich.
§ 11 Meldung von Datenschutzverletzungen
Der Auftragnehmer wird den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO).
Die Meldung enthält mindestens folgende Informationen:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- Name und Kontaktdaten des Ansprechpartners
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
§ 12 Weisungsrecht
(1) Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet.
(2) Form der Weisungen
Weisungen können schriftlich, per E-Mail oder über die Funktionen der Plattform erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
(3) Hinweispflicht
Ist der Auftragnehmer der Auffassung, dass eine Weisung des Auftraggebers gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
§ 13 Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Vereinbarungen dieses AVV zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.
Inspektionen können nach vorheriger Ankündigung und unter Wahrung der Vertraulichkeit während der üblichen Geschäftszeiten durchgeführt werden.
§ 14 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrages (AGB).
§ 15 Schlussbestimmungen
(1) Änderungen
Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Abbedingung dieses Schriftformerfordernisses.
(2) Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Bestimmung eine wirksame Regelung zu treffen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.
(3) Anwendbares Recht
Dieser AVV unterliegt deutschem Recht. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragnehmers.
(4) Vorrang
Im Falle von Widersprüchen zwischen diesem AVV und anderen Vereinbarungen zwischen den Parteien gehen die Bestimmungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.
Stand: 26. Januar 2026
Version: 1.0