Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO – Template für mekyn-Kunden

Hinweis: Dieser AVV wird bei Vertragsschluss mit Kunden, die personenbezogene Daten Dritter über die Plattform verarbeiten, rechtsverbindlich. Sie können die Vorlage auch als Markdown herunterladen:

AVV als Markdown herunterladen

§ 1 Gegenstand und Dauer der Verarbeitung

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Gegenstand ist die Bereitstellung und der Betrieb der mekyn-Plattform zur Erstellung, Verwaltung und Optimierung digitaler Präsenzen.

Die Verarbeitung erfolgt für die Dauer des jeweiligen Hauptvertrags und endet mit dessen Beendigung, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für folgende Zwecke:

• Hosting und Bereitstellung von Websites des Verantwortlichen;
• Speicherung und Verarbeitung von Kontaktdaten, Inhaltsdaten und Nutzungsdaten im Rahmen der Plattformnutzung;
• Durchführung von Sicherheitsmaßnahmen und Systemüberwachung;
• Support und Fehlerbehebung;
• Erstellung von Analysen und Berichten (nur aggregiert und pseudonymisiert, soweit möglich).

Eine Verarbeitung zu anderen Zwecken ist nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen zulässig.

§ 3 Typ der Daten und Kategorien betroffener Personen

Im Rahmen der Plattformnutzung werden folgende Kategorien personenbezogener Daten verarbeitet:

• Bestandsdaten: Name, E-Mail-Adresse, postalische Adresse, Telefonnummer des Verantwortlichen und dessen Endkunden;
• Inhaltsdaten: Texte, Bilder, Videos und andere Medien, die der Verantwortliche über die Plattform veröffentlicht;
• Nutzungsdaten: IP-Adressen (gekürzt), Logfiles, Zeiten des Zugriffs, besuchte Seiten;
• Metadaten: Domain-Informationen, SSL-Zertifikatsdaten, DNS-Einträge.

Betroffene Personen sind die Endkunden des Verantwortlichen, Besucher der vom Verantwortlichen betriebenen Websites sowie Mitarbeiter des Verantwortlichen mit Plattformzugang.

§ 4 Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

• die Datenverarbeitung auf einer rechtmäßigen Grundlage gemäß Art. 6 DSGVO durchzuführen;
• die Betroffenen über die Verarbeitung gemäß Art. 13 und 14 DSGVO ordnungsgemäß zu informieren;
• die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu gewährleisten und den Auftragsverarbeiter bei der Erfüllung dieser Rechte zu unterstützen;
• den Auftragsverarbeiter unverzüglich zu informieren, wenn er Mängel oder Verstöße gegen Datenschutzvorschriften feststellt;
• vor der Übermittlung personenbezogener Daten in ein Drittland die gesetzlichen Voraussetzungen zu prüfen und gegebenenfalls eine Freigabe zu erteilen.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeister verpflichtet sich:

• personenbezogene Daten ausschließlich auf documented instruction des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• die Vertraulichkeit der Daten zu wahren und die Mitarbeiter entsprechend zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO);
• die technisch-organisatorischen Maßnahmen (TOM) gemäß Anlage 2 zu diesem Vertrag umzusetzen und auf dem aktuellen Stand zu halten (Art. 28 Abs. 3 lit. c DSGVO, Art. 32 DSGVO);
• Subunternehmer nur nach vorheriger Zustimmung des Verantwortlichen einzusetzen und für diese die gleichen Datenschutzpflichten zu vereinbaren (Art. 28 Abs. 2 und 4 DSGVO, siehe Anlage 1);
• den Verantwortlichen bei der Erfüllung der Betroffenenrechte zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO);
• den Verantwortlichen bei Datenschutz-Folgenabschätzungen und Vorabkonsultationen zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO);
• nach Beendigung des Vertrags die Daten zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO);
• dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die für die Erfüllung der Nachweispflichten aus Art. 28 DSGVO erforderlich sind, und Audits durch den Verantwortlichen oder einen von diesem beauftragten Prüfer zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO).

§ 6 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich nach Feststellung einer Verletzung des Schutzes personenbezogener Daten informieren und alle notwendigen Informationen zur Verfügung stellen, damit der Verantwortliche die Meldepflichten gemäß Art. 33 und 34 DSGVO erfüllen kann. Dies umfasst insbesondere Art, Umfang und voraussichtliche Folgen der Verletzung sowie die getroffenen oder vorgeschlagenen Abhilfemaßnahmen.

§ 7 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags hat der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen zu löschen, es sei denn, eine gesetzliche Aufbewahrungspflicht steht dem entgegen. Alternativ kann der Verantwortliche die Rückgabe der Daten in einem gängigen, maschinenlesbaren Format verlangen. Kopien, die im Rahmen von Backup-Verfahren entstanden sind, werden gemäß der definierten Backup-Retention gelöscht (siehe Anlage 2, TOM).

§ 8 Änderungen und Beendigung

Änderungen dieses AVV bedürfen der Schriftform. Der AVV endet automatisch mit Beendigung des Hauptvertrags. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 – Subunternehmer (Auftragsverarbeiter)

Der Auftragsverarbeiter setzt zur Erfüllung der vertraglichen Pflichten nachstehende Subunternehmer ein. Weitere Subunternehmer werden nur nach vorheriger Information und Widerspruchsmöglichkeit des Verantwortlichen beauftragt.

Dienstleister	Leistung	Standort
Hetzner Online GmbH	Server-Hosting (Bare-Metal / Cloud)	Deutschland (Nürnberg, Falkenstein)
Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland
Postmark (Wildbit LLC)	Transaktions-E-Mails	USA (mit EU-Standardvertragsklauseln)

Eine vollständige und aktuelle Subunternehmer-Liste wird im Kunden-Dashboard unter „Datenschutz → Sub-Processor" geführt.

Anlage 2 – Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat nachstehende technisch-organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert. Diese werden regelmäßig überprüft und an den Stand der Technik angepasst.

1. Vertraulichkeit

• Zugangskontrolle: Zwei-Faktor-Authentifizierung (2FA) für alle Mitarbeiter mit Zugriff auf Produktivsysteme; rollenbasierte Zugriffssteuerung (RBAC) mit least-privilege-Prinzip.
• Zutrittskontrolle: Kein physischer Zutritt zu Serverräumen durch mekyn-Mitarbeiter (ausschließlich Rechenzentrum-Personal des Hosters); Zutrittsprotokollierung durch den Hoster.
• Trennung der Verarbeitung: Mandantentrennung auf Datenbank- und Applikationsebene; separate Namespaces und Container pro Kunde.
• Verschlüsselung: TLS 1.3 für Datenübertragung; AES-256-GCM für Daten-at-Rest (Datenbank-Volumes, Backups).

2. Integrität

• Eingabekontrolle: Protokollierung aller schreibenden Zugriffe auf personenbezogene Daten mit Audit-Trail (Wer, Wann, Was); unveränderliche Logs.
• Übertragungskontrolle: Ende-zu-Ende-Verschlüsselung bei API-Kommunikation; Webhook-Signaturen (HMAC-SHA256) zur Integritätsprüfung.

3. Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: Redundante Server-Infrastruktur; automatisches Failover; tägliche Backups mit 30-Tage-Retention; Disaster-Recovery-Plan mit jährlichem Test.
• Wiederherstellbarkeit: Point-in-Time-Recovery für Datenbanken; getrennte Backup-Standorte innerhalb der EU.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Halbjährliche interne Sicherheitsaudits;
• Jährliche Penetrationstests durch externe Sicherheitsdienstleister;
• Automatisierte Schwachstellen-Scans (wöchentlich);
• Regelmäßige Schulung der Mitarbeiter zum Datenschutz und zur Informationssicherheit.

Letzte Aktualisierung 2026-05-17 – juristisch review pending. Dieser AVV ist als Template zu verstehen; für Enterprise-Kunden können individuelle Ergänzungen vereinbart werden.