lokalino

Vertrag zur Auftragsverarbeitung (AVV)

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO. Er ist Bestandteil des Hauptvertrags (AGB) zwischen dem Kunden (nachfolgend „Verantwortlicher“) und dem Anbieter (nachfolgend „Auftragsverarbeiter“).

§ 1 Parteien, Gegenstand und Dauer

(1) Auftragsverarbeiter ist Moritz Lauer (Einzelunternehmen), Mittelweg 47, 63619 Bad Orb, E-Mail: moritz.lauer@lokalino.de. Verantwortlicher ist der Kunde gemäß Hauptvertrag.

(2) Gegenstand ist die Erstellung, Bereitstellung und der Betrieb der Website des Verantwortlichen (Software as a Service) einschließlich Hosting. Soweit dabei personenbezogene Daten von Besuchern der Kundenseite verarbeitet werden (insbesondere über das Kontaktformular), erfolgt dies im Auftrag und nach Weisung des Verantwortlichen.

(3) Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet automatisch mit dessen Beendigung.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Art der Verarbeitung: Erheben, Speichern, Übermitteln (per E-Mail an den Verantwortlichen), Löschen — im Umfang des Website-Betriebs.

(2) Zweck: Bereitstellung der Website und Weiterleitung von Anfragen der Website-Besucher an den Verantwortlichen.

(3) Kategorien betroffener Personen: Besucher und Interessenten der Website des Verantwortlichen.

(4) Kategorien personenbezogener Daten: Kontakt- und Kommunikationsdaten (z. B. Name, E-Mail, Telefon, Nachrichteninhalt aus dem Kontaktformular) sowie technische Zugriffsdaten (z. B. IP-Adresse in Server-Logs, zur technischen Bereitstellung/Sicherheit).

§ 3 Weisungsrecht

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Er informiert den Verantwortlichen unverzüglich, wenn er eine Weisung für rechtswidrig hält.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere: verschlüsselte Übertragung (TLS/HTTPS), Zugriffsschutz durch Authentifizierung und Rollentrennung, Passwörter ausschließlich in gehashter Form, regelmäßige Datensicherungen, Server-Standort innerhalb der EU (Hosting bei Hostinger), Protokollierung und Fehler-Monitoring sowie Datenminimierung (u. a. cookielose Reichweitenmessung ohne Personenbezug). Die Maßnahmen werden dem Stand der Technik entsprechend fortlaufend angepasst.

§ 5 Unterauftragsverarbeiter

(1) Der Verantwortliche genehmigt den Einsatz der nachfolgenden Unterauftragsverarbeiter. Der Auftragsverarbeiter verpflichtet diese vertraglich auf ein angemessenes Datenschutzniveau (Art. 28 Abs. 4 DSGVO); bei Übermittlung in Drittländer werden geeignete Garantien (EU-Standardvertragsklauseln bzw. Angemessenheitsbeschluss/EU-US Data Privacy Framework) sichergestellt.

  • Hostinger (Hostinger International Ltd., Litauen/EU) — Hosting & Serverbetrieb
  • Cloudflare, Inc. (USA) — Auslieferung, TLS, Schutz
  • Stripe Payments Europe, Ltd. (Irland; ggf. Stripe, Inc., USA) — Zahlungsabwicklung
  • Resend, Inc. (USA) — Versand von Transaktions-E-Mails
  • Anthropic PBC (USA) — KI-gestützte Erstellung der Website-Texte
  • Google Ireland Ltd. — Unternehmenssuche, Bewertungen, Karten
  • Functional Software, Inc. (Sentry) (USA) — Fehler- und Sicherheitsmonitoring

(2) Über beabsichtigte Änderungen (Hinzuziehung/Austausch) informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

§ 6 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung). Er meldet ihm bekannt gewordene Verletzungen des Schutzes personenbezogener Daten unverzüglich.

§ 7 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 8 Löschung und Rückgabe

Nach Abschluss der Verarbeitungstätigkeiten löscht der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht zur weiteren Speicherung verpflichtet.

§ 9 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieses Vertrags erforderlichen Informationen auf Anfrage zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

§ 10 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Ergänzend gelten die AGB und die Datenschutzerklärung.

Stand: Juli 2026