Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO. Er ist Bestandteil des Hauptvertrags (AGB) zwischen dem Kunden (nachfolgend „Verantwortlicher“) und dem Anbieter (nachfolgend „Auftragsverarbeiter“).
(1) Auftragsverarbeiter ist Moritz Lauer (Einzelunternehmen), Mittelweg 47, 63619 Bad Orb, E-Mail: moritz.lauer@lokalino.de. Verantwortlicher ist der Kunde gemäß Hauptvertrag.
(2) Gegenstand ist die Erstellung, Bereitstellung und der Betrieb der Website des Verantwortlichen (Software as a Service) einschließlich Hosting. Soweit dabei personenbezogene Daten von Besuchern der Kundenseite verarbeitet werden (insbesondere über das Kontaktformular), erfolgt dies im Auftrag und nach Weisung des Verantwortlichen.
(3) Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet automatisch mit dessen Beendigung.
(1) Art der Verarbeitung: Erheben, Speichern, Übermitteln (per E-Mail an den Verantwortlichen), Löschen — im Umfang des Website-Betriebs.
(2) Zweck: Bereitstellung der Website und Weiterleitung von Anfragen der Website-Besucher an den Verantwortlichen.
(3) Kategorien betroffener Personen: Besucher und Interessenten der Website des Verantwortlichen.
(4) Kategorien personenbezogener Daten: Kontakt- und Kommunikationsdaten (z. B. Name, E-Mail, Telefon, Nachrichteninhalt aus dem Kontaktformular) sowie technische Zugriffsdaten (z. B. IP-Adresse in Server-Logs, zur technischen Bereitstellung/Sicherheit).
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Er informiert den Verantwortlichen unverzüglich, wenn er eine Weisung für rechtswidrig hält.
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere: verschlüsselte Übertragung (TLS/HTTPS), Zugriffsschutz durch Authentifizierung und Rollentrennung, Passwörter ausschließlich in gehashter Form, regelmäßige Datensicherungen, Server-Standort innerhalb der EU (Hosting bei Hostinger), Protokollierung und Fehler-Monitoring sowie Datenminimierung (u. a. cookielose Reichweitenmessung ohne Personenbezug). Die Maßnahmen werden dem Stand der Technik entsprechend fortlaufend angepasst.
(1) Der Verantwortliche genehmigt den Einsatz der nachfolgenden Unterauftragsverarbeiter. Der Auftragsverarbeiter verpflichtet diese vertraglich auf ein angemessenes Datenschutzniveau (Art. 28 Abs. 4 DSGVO); bei Übermittlung in Drittländer werden geeignete Garantien (EU-Standardvertragsklauseln bzw. Angemessenheitsbeschluss/EU-US Data Privacy Framework) sichergestellt.
(2) Über beabsichtigte Änderungen (Hinzuziehung/Austausch) informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung). Er meldet ihm bekannt gewordene Verletzungen des Schutzes personenbezogener Daten unverzüglich.
Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Nach Abschluss der Verarbeitungstätigkeiten löscht der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht zur weiteren Speicherung verpflichtet.
Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieses Vertrags erforderlichen Informationen auf Anfrage zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).
Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Ergänzend gelten die AGB und die Datenschutzerklärung.
Stand: Juli 2026