Auftragsverarbeitungsvertrag (AVV)
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO · Stand: Juli 2026
Parteien
Dieser AVV wird geschlossen zwischen dem Verantwortlichen (Verkäufer, der CustomSTL nutzt) und dem Auftragsverarbeiter:
Bastian Baumann, Erfurt, Deutschland (siehe Impressum). Er wird mit Annahme durch den Verkäufer wirksam.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der CustomSTL-Plattform (Shop-Hosting, Personalisierung, Bestell- und Auftragsverwaltung). Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses; der Vertrag endet mit dessen Beendigung.
2. Art und Zweck der Verarbeitung
Speicherung, Verwaltung und Verarbeitung von Konto-, Shop-, Bestell- und Personalisierungsdaten zum Zweck des Betriebs des Shops und der Abwicklung von Bestellungen ausschließlich nach Weisung des Verantwortlichen.
3. Art der Daten und Kategorien betroffener Personen
- Datenarten: Bestands-/Kontaktdaten (Name, E-Mail, Anschrift), Bestell- und Vertragsdaten, Personalisierungsinhalte (Texte/Dateien), technische Nutzungsdaten.
- Betroffene Personen: Endkunden des Verkäufers sowie ggf. dessen Mitarbeitende.
4. Pflichten des Auftragsverarbeiters
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a).
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit (lit. b).
- Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 (lit. c; siehe Ziff. 6).
- Unterstützung des Verantwortlichen bei Betroffenenrechten und Meldepflichten (lit. e, f).
- Nach Wahl des Verantwortlichen Löschung oder Rückgabe der Daten nach Ende der Verarbeitung (lit. g).
- Nachweis der Einhaltung und Ermöglichung von Überprüfungen/Audits (lit. h) in angemessenem Rahmen.
5. Unterauftragsverarbeiter
Der Verantwortliche genehmigt allgemein den Einsatz folgender Unterauftragsverarbeiter; der Auftragsverarbeiter informiert über beabsichtigte Änderungen und räumt ein Widerspruchsrecht ein:
- IONOS SE, Deutschland (Hosting/Infrastruktur)
- Stripe (Zahlungsabwicklung; EU/USA mit geeigneten Garantien)
- IONOS Mail (E-Mail-Versand)
6. Technisch-organisatorische Maßnahmen (Art. 32)
- Verschlüsselte Übertragung (HTTPS/TLS); Passwörter nur als Hash.
- Mandantentrennung: Daten jedes Shops sind logisch isoliert und nur diesem zugänglich.
- Zugriffskontrolle über Authentifizierung und rollenbasierte Berechtigungen.
- EU-Hosting; regelmäßige Datensicherungen (in Einrichtung).
- Protokollierung sicherheitsrelevanter Ereignisse.
7. Drittlandübermittlung
Eine Übermittlung in Drittländer erfolgt nur, soweit dies zur Leistungserbringung erforderlich ist (insbesondere Stripe) und auf Grundlage geeigneter Garantien (EU-Standardvertragsklauseln bzw. Angemessenheitsbeschluss).
8. Haftung und Schlussbestimmungen
Es gelten die gesetzlichen Regelungen. Änderungen bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt der übrige Vertrag wirksam. Es gilt das Recht der Bundesrepublik Deutschland; Gerichtsstand ist, soweit zulässig, Erfurt.
Hinweis: Vorlage/Entwurf mit Platzhaltern, keine Rechtsberatung. Vor dem Angebot als verbindlicher Vertrag anwaltlich prüfen und finalisieren lassen.