Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

1. Gegenstand und Dauer

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (handsfree-validation) im Auftrag des Verantwortlichen (Kunde). Die Dauer entspricht der Nutzungsdauer des Dienstes durch den Kunden.

2. Umfang und Zweck der Datenverarbeitung

Der Auftragsverarbeiter verarbeitet folgende Datenkategorien im Auftrag des Verantwortlichen:

  • E-Mail-Adressen der Landingpage-Besucher (Interessenten/Endnutzer)
  • Double-Opt-in Status und Zeitstempel der Bestätigung
  • Gehashte IP-Adressen (ausschließlich zur Missbrauchs- und Spam-Prävention)

Zweck der Verarbeitung ist das Bereitstellen eines rein lesenden Monitoring-, Validierungs- und E-Mail-Erfassungsdienstes (Landingpage-Hosting) zur Messung von Kundeninteresse.

3. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende Maßnahmen gemäß Art. 32 DSGVO umgesetzt:

  • Zutrittskontrolle: Serverzugriff nur über SSH mit sicheren Schlüsselpaaren.
  • Zugangskontrolle: Passwort- und Token-geschützte APIs sowie Datenbanken.
  • Zugriffskontrolle: Autorisierte API-Endpunkte mit Raten-Limitierung und Authentifizierung.
  • Weitergabekontrolle: Verschlüsselte HTTPS-Verbindungen für alle Web- und API-Anfragen.
  • Verfügbarkeitskontrolle: Docker-Container auf ausfallsicherer Server-Infrastruktur mit Health-Checks.
  • Trennbarkeit: Logische Trennung der Daten der einzelnen Nutzer auf Datenbankebene.

4. Unterauftragsverhältnisse

Folgende Sub-Auftragsverarbeiter werden für die Bereitstellung des Services eingesetzt:

  • Hetzner Online GmbH (Deutschland) — Server-Hosting und Infrastruktur.
  • Brevo (Sendinblue GmbH) (Deutschland) — E-Mail-Versandinfrastruktur für Double-Opt-in Bestätigungen und System-Alerts.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten nur im Rahmen der Weisungen des Verantwortlichen zu verarbeiten.
  • Angemessene TOMs gemäß Art. 32 DSGVO aufrechtzuerhalten.
  • Den Verantwortlichen bei Datenschutzverletzungen sowie Auskunftsersuchen von Betroffenen nach Kräften zu unterstützen.
  • Nach Beendigung des Vertrags alle personenbezogenen Daten zu löschen oder zurückzugeben.

6. Datenlöschung

Nach Vertragsbeendigung oder Löschung eines Projekts/Accounts durch den Kunden werden alle personenbezogenen Daten des Kunden und dessen Endnutzer unverzüglich (spätestens innerhalb von 30 Tagen) gelöscht. Die Löschung umfasst Datenbankeinträge, Protokolldaten und temporäre Backups.

7. Haftung

Die Haftung des Auftragsverarbeiters richtet sich nach den gesetzlichen Bestimmungen der DSGVO und des BDSG.

Stand: Juli 2026