Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischenravnmedia - Tim-Alexander Schulz, Brunnenweg 18a, 21643 Beckdorf, Deutschland (nachfolgend „Auftragsverarbeiter“) und demVerantwortlichen (Name/Firma, Anschrift), gemeinsam „die Parteien“ genannt.
§ 1 Gegenstand und Dauer
Abs. 1 Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Der Auftragsverarbeiter ist Einzelunternehmer. Die Maßnahmen orientieren sich an der Unternehmensgröße und sind verhältnismäßig ausgestaltet.
Abs. 2 Die Auftragsverarbeitung erfolgt im Rahmen des Hauptvertrags / Angebot und umfasst folgende Tätigkeiten: Webentwicklung, Hosting, Wartung von Websites sowie damit verbundene Datenverarbeitungen.
Abs. 3 Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage des Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Mit Annahme des Angebots bzw. mit der Anzahlung gilt der Auftragsverarbeitungsvertrag als angenommen.
§ 2 Weisungen
Abs. 1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen. Weisungen sind schriftlich oder per E-Mail zu erteilen.
Abs. 2 Der Auftragsverarbeiter verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben.
Abs. 3 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Meinung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
Abs. 4 Weist der Verantwortliche den Auftragsverarbeiter an, Datenverarbeitungen vorzunehmen, die über den vereinbarten Leistungsumfang hinausgehen, werden diese als Änderungsanfrage behandelt.
Abs. 5 Weisungsbefugt sind die vom Verantwortlichen benannten Ansprechpartner.
Abs. 6 Der Auftragsverarbeiter hat ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO zu führen und auf Anfrage zur Verfügung zu stellen.
Abs. 7 Für die Nutzung von Diensten wie Webflow, Make oder Cloudflare (Consent-Management) werden Kundenkonten angelegt. Der Auftragsverarbeiter arbeitet innerhalb dieser Konten im Auftrag des Verantwortlichen und hat keine eigene Hoheit über Daten oder Systemkonfigurationen.
§ 3 Pflichten des Auftragsverarbeiters
Abs. 1 Als Einzelunternehmer verpflichtet sich der Auftragsverarbeiter zur Wahrung der Vertraulichkeit. Werden zur Leistungserbringung technische Dienstleister wie Webflow, Make oder Hosting-Provider (z. B. Hetzner, IONOS) eingebunden, so geschieht dies ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags oder eines gleichwertigen Datenschutzrahmens (z. B. Data Privacy Framework, Standardvertragsklauseln). Sofern Freelancer oder Subunternehmer eingesetzt werden, stellt der Auftragsverarbeiter sicher, dass diese ebenfalls zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
Abs. 2 Der Auftragsverarbeiter gewährleistet, dass er alle technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO trifft. Die konkreten Maßnahmen sind in Anlage 2 aufgeführt. Diese werden regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf aktualisiert.
Abs. 3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen nach Kapitel III DSGVO sowie, soweit erforderlich und unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen, bei der Einhaltung der Pflichten nach den Artikeln 32 bis 36 DSGVO (insbesondere Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung und vorherige Konsultation).
Abs. 4 Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens binnen 24 Stunden nach Bekanntwerden. Die Meldung erfolgt per E-Mail an den Verantwortlichen und enthält mindestens: Art der Verletzung, Kategorien und Anzahl betroffener Personen, Kategorien und Anzahl betroffener Datensätze, Name und Kontaktdaten des Ansprechpartners, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen.
Abs. 5 Der Auftragsverarbeiter unterliegt nicht der Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO. Kontakt: info@ravnmedia.de
Abs. 6 Bei Verhinderung des Auftragsverarbeiters (Krankheit, höhere Gewalt) verlängern sich Fristen angemessen. Der Verantwortliche wird unverzüglich über Verzögerungen informiert.
§ 4 Subunternehmer
Abs. 1 Der Verantwortliche stimmt der Beauftragung der in Anlage 3 genannten Subunternehmer zu. Der Auftragsverarbeiter gewährleistet angemessenen Datenschutz durch Abschluss von Datenschutzvereinbarungen (DPA/AVV) mit allen Subunternehmern sowie Überprüfung der DPF-Zertifizierung bei US-Anbietern.
Abs. 2 Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern mindestens 14 Tage im Voraus. Der Verantwortliche kann aus wichtigen datenschutzrechtlichen Gründen Einspruch erheben. Erfolgt binnen 14 Tagen kein Einspruch, gilt die Zustimmung als erteilt.
Abs. 3 Der Auftragsverarbeiter wählt Subunternehmer sorgfältig aus und schließt DPA/AVV ab. Die direkte Haftung für Datenschutzverstöße der in Anlage 3 genannten Subunternehmer liegt beim jeweiligen Subunternehmer selbst gemäß Art. 82 DSGVO.
§ 5 Drittlandtransfers
Abs. 1 Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
Abs. 2 Bei der Nutzung von US-Diensten (z. B. Webflow, Google, Cloudflare, Cal.com) stützt sich der Auftragsverarbeiter primär auf deren Zertifizierung unter dem EU-U.S. Data Privacy Framework (DPF) nach Art. 45 DSGVO; soweit eine Zertifizierung nicht vorliegt, werden die Standardvertragsklauseln (SCC) der EU-Kommission herangezogen.
Abs. 3 Der Auftragsverarbeiter hat Transfer Impact Assessments (TIA) für alle Drittlandübermittlungen durchgeführt.
Abs. 4 Bei Änderungen der Rechtslage informiert der Auftragsverarbeiter unverzüglich und ergreift erforderliche Ersatzmaßnahmen zur Aufrechterhaltung eines angemessenen Schutzniveaus.
§ 6 Kontrollrechte
Abs. 1 Der Verantwortliche hat das Recht, die Einhaltung aller datenschutzrechtlichen Bestimmungen und der in diesem Vertrag getroffenen Vereinbarungen beim Auftragsverarbeiter zu kontrollieren.
Abs. 2 Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
Abs. 3 Audits erfolgen unter Berücksichtigung der betrieblichen Möglichkeiten des Auftragsverarbeiters als Einzelunternehmen.
Abs. 4 Der Auftragsverarbeiter kann den Nachweis der Einhaltung durch aktuelle Testate, Berichte oder Zertifizierungen einer unabhängigen Instanz erbringen.
§ 7 Löschung und Rückgabe
Abs. 1 Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück (Art. 28 Abs. 3 lit. g DSGVO), es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht.
Abs. 2 Die Löschung erfolgt binnen 30 Tagen nach Vertragsbeendigung. Backups werden mit dem nächsten Backup-Zyklus, spätestens nach 120 Tagen, überschrieben.
Abs. 3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, werden durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt.
§ 8 Haftung
Abs. 1 Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den gesetzlichen Vorschriften. Jede Partei haftet für den von ihr verursachten Schaden.
Abs. 2 Der Auftragsverarbeiter haftet nach Art. 82 Abs. 2 DSGVO für Schäden, die durch eine nicht DSGVO-konforme Verarbeitung, die Nichtbefolgung rechtmäßiger Weisungen oder eine Verarbeitung entgegen den Weisungen verursacht wurden.
Abs. 3 Haftungsbegrenzungen im Hauptvertrag gelten auch für diesen AVV, soweit sie nicht gegen zwingende datenschutzrechtliche Haftungsregelungen verstoßen.
§ 8a Versicherungsschutz
Der Auftragsverarbeiter verfügt über eine Betriebshaftpflichtversicherung bei der Baloise Sachversicherung AG Deutschland mit einer Deckungssumme von 1.000.000 EUR für datenschutzrelevante Schäden (insbesondere Datenlöschkosten, Datenschutzverletzungen, Persönlichkeitsrechtsverletzungen). Ein Versicherungsnachweis wird auf Anfrage zur Verfügung gestellt.
§ 9 Schlussbestimmungen
Abs. 1 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame zu ersetzen, die dem Sinn und Zweck der unwirksamen Bestimmung möglichst nahekommt.
Abs. 2 Beide Parteien berücksichtigen bei der Auslegung dieses Vertrags die Tatsache, dass der Auftragsverarbeiter als Einzelunternehmer tätig ist.
Abs. 3 Änderungen und Ergänzungen dieses Vertrags bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel. Elektronische Signaturen sind zulässig.
Abs. 4 Es gilt deutsches Recht.
Anlage 1 - Beschreibung der Verarbeitung
Art und Zweck der Verarbeitung
- Hosting und Betrieb von Websites (u. a. mit Webflow, Astro/Cloudflare)
- Verwaltung von Benutzerkonten und Authentifizierung
- Bereitstellung von Content-Management-Systemen
- Durchführung von Web-Analytics (cookielos via Matomo)
- Prozessautomatisierung und Workflow-Management
- Terminbuchung und Kalenderverwaltung
- Datenbankmanagement und Datenspeicherung
- E-Mail-Versand (transaktional)
Bereitstellung statischer Inhalte (über Plattform-CDN)
Zur Optimierung der Ladezeiten und weltweiten Verfügbarkeit werden statische Inhalte (z. B. Bilder, Skripte, Stylesheets) über das Content Delivery Network (CDN) der jeweils eingesetzten Plattform (z. B. Webflow über Cloudflare) ausgeliefert. Dabei werden technische Zugriffsdaten (z. B. IP-Adresse, Browsertyp, Zeitpunkt) an die CDN-Anbieter übermittelt. (Siehe DPA) Diese Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und performanten Bereitstellung). Die Anbieter sind durch das EU-US Data Privacy Framework bzw. Standardvertragsklauseln datenschutzrechtlich abgesichert.
Kategorien personenbezogener Daten
- Stammdaten (Name, Anschrift, E-Mail, Telefon)
- Kommunikationsdaten (Nachrichten, Anfragen)
- Nutzungsdaten (IP-Adressen, Browser-Informationen)
- Inhaltsdaten (hochgeladene Dateien, Texte, Bilder)
- Vertragsdaten (Bestellungen, Rechnungsdaten)
- Protokolldaten (Logs, Zeitstempel)
Kategorien betroffener Personen
- Websitebesucher
- Kunden/Interessenten des Verantwortlichen
- Mitarbeiter des Verantwortlichen
- Geschäftspartner
Besondere Kategorien nach Art. 9 DSGVO: Keine, es sei denn ausdrücklich vereinbart.
Schutzbedarf: Normal.
Dauer der Verarbeitung: Entsprechend der Dauer des Hauptvertrags.
Anlage 2 - Technische und organisatorische Maßnahmen (TOMs)
| Schutzziel | Maßnahmen |
|---|---|
| Zutrittskontrolle | Keine eigenen Serverräume; Hosting bei professionellen Rechenzentren (Hetzner, IONOS) / Website -> Webflow |
| Zugangskontrolle | sichere Passwort-Richtlinien, 2FA wo verfügbar |
| Zugriffskontrolle | Getrennte Zugänge pro Projekt, Admin-Rechte nur für Auftragsverarbeiter, Logging soweit verfügbar |
| Weitergabekontrolle | SSL/TLS-Verschlüsselung (durch Hosting-Anbieter bereitgestellt), sichere API-Keys |
| Verfügbarkeitskontrolle | Backups durch Hosting-Anbieter, Backup-Strategie angemessen zum Projektumfang |
| Trennungskontrolle | Separate Projekte/Instanzen pro Kunde (z. B. Webflow, Sanity, getrennte Datenbanken) |
| Verschlüsselung | HTTPS für alle Websites (automatisch), verschlüsselte Übertragung |
| Updates | Regelmäßige Updates der genutzten Dienste, Sicherheitsupdates zeitnah (innerhalb 30 Tagen) |
| Datenminimierung | Nur erforderliche Formularfelder, keine unnötigen Cookies, IP-Anonymisierung bei Analytics |
| Speicherbegrenzung | Löschung nach Projektende bzw. auf Kundenanforderung; Löschfristen gemäß § 7 dieses Vertrags |
| Organisatorisch | Verschwiegenheitsverpflichtung des Einzelunternehmers |
Anlage 3 - Unterauftragsverarbeiter
Aktualisiert: Oktober 2025.
| Anbieter | Anschrift | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|---|
| IONOS SE | Elgendorfer Str. 57, 56410 Montabaur | Server-Hosting (Website-Analyse / Assets-Bereitstellung) | Deutschland (EU) | AVV |
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen | Server-Hosting | Deutschland (EU) | AVV |
| Cloudflare, Inc. | 101 Townsend St., San Francisco, CA 94107, USA | CDN, Hosting, Sicherheit, Consent-Management (Zaraz) | USA | DPF-zertifiziert |
| Sanity AS | Lille Grensen 7, 0159 Oslo, Norwegen | Headless-CMS (Inhaltsverwaltung) | Norwegen (EWR) | AVV |
| Webflow Inc. | 398 11th Street, San Francisco, CA 94103, USA | Website-Hosting, CMS, Visual Development | USA | DPF-zertifiziert |
| Google LLC | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA | Google Search Console | USA | DPF-zertifiziert |
| Make (Celonis SE) | Theresienstraße 6, 80333 München | Workflow-Automatisierung | EU | AVV |
| Cal.com, Inc. | 2261 Market Street #5039, San Francisco, CA 94114, USA | Terminbuchung | USA | SCC |