Auftragsverarbeitungsvertrag (AVV)

Stand: März 2026

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen dem Kunden des Dienstes „Website-Förderung" (nachfolgend „Auftraggeber")
und
Noelle Media Solutions, Sebastian Nölle, Ehrenberger Straße 35, 58332 Schwelm (nachfolgend „Auftragsverarbeiter")

§ 1 Gegenstand und Dauer der Verarbeitung

  1. Gegenstand dieses Auftragsverarbeitungsvertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers im Rahmen des Dienstes „Website-Förderung".
  2. Die Dauer der Verarbeitung entspricht der Laufzeit des zugrundeliegenden Hauptvertrages (Nutzungsvertrag für den Dienst „Website-Förderung") gemäß den Allgemeinen Geschäftsbedingungen.
  3. Dieser AVV wird mit Abschluss des Hauptvertrages wirksam und endet automatisch mit dessen Beendigung, unbeschadet der in § 8 geregelten Nachwirkungspflichten.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:

  • Entgegennahme und Verarbeitung der vom Auftraggeber übermittelten Briefing-Daten zur Erstellung einer professionellen Website;
  • KI-gestützte Generierung von Website-Inhalten auf Grundlage der Briefing-Daten (mittels Anthropic Claude API);
  • Transkription optionaler Audio-Aufnahmen des Auftraggebers (mittels OpenAI Whisper API);
  • Hosting und Bereitstellung der erstellten Website;
  • Abwicklung der Zahlungsvorgänge über den Zahlungsdienstleister PayPal.

Eine Verarbeitung zu anderen Zwecken findet nicht statt. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich nach dokumentierter Weisung des Auftraggebers.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Kontaktdaten des Auftraggebers (Name, E-Mail-Adresse, Telefonnummer);
  • Unternehmensdaten (Firmenname, Adresse, Branche);
  • Briefing-Inhalte, die personenbezogene Daten enthalten können (z. B. Beschreibungen von Ansprechpartnern, Mitarbeitern oder Kunden);
  • Audio-Aufnahmen (optional) — Sprachaufzeichnungen, die der Auftraggeber freiwillig zur Ergänzung des Briefings bereitstellt;
  • Zahlungsdaten (PayPal-Transaktionsdaten);
  • Auf der Website veröffentlichte Kontaktdaten (soweit vom Auftraggeber gewünscht).

§ 4 Kategorien betroffener Personen

Von der Verarbeitung können folgende Personenkreise betroffen sein:

  • Der Auftraggeber selbst (als Vertragspartner und Inhaber des Unternehmens);
  • Mitarbeiter oder Ansprechpartner des Auftraggebers, sofern deren Daten im Briefing oder in den Website-Inhalten genannt werden;
  • Geschäftskunden oder Kontaktpersonen des Auftraggebers, sofern deren Daten im Briefing übermittelt werden (z. B. Referenzen, Testimonials).

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere zu Folgendem:

  • Verarbeitung der personenbezogenen Daten ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO);
  • Sicherstellung, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
  • Ergreifung aller gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten (siehe § 10);
  • Unterstützung des Auftraggebers bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO;
  • Unverzügliche Information des Auftraggebers bei Verstößen gegen den Schutz personenbezogener Daten (Art. 33 Abs. 2 DSGVO);
  • Benennung eines Ansprechpartners für Datenschutzfragen. Ansprechpartner ist: Sebastian Nölle, [email protected].

§ 6 Unterauftragsverarbeiter

  1. Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zum Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 DSGVO:

    Unterauftragsverarbeiter Zweck Serverstandort
    Hetzner Online GmbH Hosting der Website und Infrastruktur Deutschland
    Cloudflare, Inc. CDN, DNS, DDoS-Schutz Global (EU-Rechenzentren bevorzugt)
    Anthropic, PBC KI-gestützte Inhaltsgenerierung (Claude API) USA
    OpenAI, Inc. Audio-Transkription (Whisper API) USA
    PayPal (Europe) S.à r.l. et Cie, S.C.A. Zahlungsabwicklung Luxemburg / EU
  2. Für Datenübermittlungen in Drittländer (insbesondere USA) stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Art. 46 DSGVO vorliegen (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss gemäß EU-US Data Privacy Framework).
  3. Der Auftragsverarbeiter informiert den Auftraggeber vorab über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen solche Änderungen innerhalb von 14 Tagen nach Mitteilung Einspruch erheben.
  4. Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind.

§ 7 Rechte der betroffenen Personen

  1. Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen gemäß Art. 12–23 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
  2. Richtet eine betroffene Person Anfragen bezüglich ihrer Rechte unmittelbar an den Auftragsverarbeiter, wird dieser die Anfrage unverzüglich an den Auftraggeber weiterleiten.
  3. Der Auftragsverarbeiter wird ohne Weisung des Auftraggebers keine personenbezogenen Daten berichtigen, löschen oder einschränken, es sei denn, er ist hierzu gesetzlich verpflichtet.

§ 8 Löschung und Rückgabe von Daten

  1. Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.
  2. Vor der Löschung besteht eine Aufbewahrungsfrist von 30 Tagen nach Vertragsende. Innerhalb dieses Zeitraums kann der Auftraggeber die Herausgabe der Daten in einem gängigen, maschinenlesbaren Format verlangen.
  3. Nach Ablauf der 30-tägigen Frist werden die Daten unwiderruflich gelöscht. Der Auftragsverarbeiter bestätigt die Löschung auf Verlangen schriftlich.
  4. Daten, die bei Unterauftragsverarbeitern gespeichert sind (z. B. Backups bei Hetzner), werden im Rahmen der technischen Möglichkeiten ebenfalls gelöscht.

§ 9 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, die Einhaltung der in diesem AVV und in Art. 28 DSGVO festgelegten Pflichten zu überprüfen. Dies kann durch Anfragen, Einsichtnahme in relevante Dokumentationen oder — in begründeten Fällen — durch Vor-Ort-Kontrollen erfolgen.
  2. Kontrollen werden unter angemessener Berücksichtigung des Betriebsablaufs des Auftragsverarbeiters nach vorheriger Ankündigung (mindestens 14 Tage im Voraus) durchgeführt.
  3. Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung und ermöglicht Überprüfungen und Inspektionen.
  4. Der Auftragsverarbeiter kann Kontrollen auch durch Vorlage geeigneter Zertifizierungen, Auditberichte oder Prüfberichte unabhängiger Dritter nachkommen.

§ 10 Technisch-organisatorische Maßnahmen

Der Auftragsverarbeiter hat die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

Vertraulichkeit:

  • Zugriff auf Kundendaten ist auf den Betreiber (Einzelunternehmer) beschränkt;
  • Authentifizierung über SSH-Schlüssel und Zwei-Faktor-Authentifizierung (2FA) für alle administrativen Zugänge;
  • Passwort-Management über einen Passwort-Manager.

Integrität:

  • Versionskontrolle des Quellcodes über Git;
  • Automatisierte Deployments über CI/CD-Pipelines (Coolify);
  • Regelmäßige Updates der eingesetzten Software und Betriebssysteme.

Verfügbarkeit und Belastbarkeit:

  • Hosting auf Hetzner-Servern in deutschen Rechenzentren mit redundanter Infrastruktur;
  • Einsatz von Cloudflare als CDN und DDoS-Schutz;
  • Regelmäßige Backups der Website-Daten.

Verschlüsselung:

  • TLS/SSL-Verschlüsselung für alle Datenübertragungen (HTTPS);
  • Verschlüsselte Verbindungen zu allen Unterauftragsverarbeitern (API-Kommunikation über HTTPS);
  • Verschlüsselte SSH-Verbindungen für den Serverzugriff.

Trennungsgebot:

  • Kundendaten werden logisch getrennt gespeichert und verarbeitet;
  • Separate Umgebungen für verschiedene Kunden-Websites.

Die technisch-organisatorischen Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.

§ 11 Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
  2. Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  3. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.
  4. Es gilt das Recht der Bundesrepublik Deutschland.

Noelle Media Solutions — Sebastian Nölle — Ehrenberger Straße 35 — 58332 Schwelm