Whitespace.

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO – Stand: Februar 2026

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (AV-Vertrag) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Leistungserbringung im Rahmen der Website-Erstellung und des Hostings ergeben.

(2) Der Auftragnehmer (Whitespace Marketing, Biesenberger & Merk OHG) verarbeitet personenbezogene Daten im Auftrag des Auftraggebers (Kunde).

(3) Die Laufzeit dieses AV-Vertrags entspricht der Laufzeit des Hauptvertrags (Hosting-Abo).

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung umfasst folgende Tätigkeiten:

  • Hosting der Website des Auftraggebers
  • Speicherung und Bereitstellung von Website-Inhalten
  • Verarbeitung von Kontaktformular-Anfragen
  • Erstellung und Speicherung von Backups
  • Technische Wartung und Sicherheitsupdates

§ 3 Art der personenbezogenen Daten

Folgende Datenarten können betroffen sein:

  • Kontaktdaten (Name, E-Mail, Telefon) von Website-Besuchern via Kontaktformular
  • Technische Daten (IP-Adressen, Browser-Typ, Zugriffszeitpunkte) aus Server-Logfiles
  • Inhaltsdaten des Auftraggebers (Firmenname, Adresse, Mitarbeiterdaten auf der Website)

§ 4 Kategorien betroffener Personen

  • Besucher der Website des Auftraggebers
  • Personen, die das Kontaktformular nutzen
  • Mitarbeiter/Team-Mitglieder des Auftraggebers (deren Daten auf der Website dargestellt werden)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
  • Alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit zu verpflichten
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen
  • Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren
  • Den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO zu unterstützen
  • Nach Beendigung des Auftrags alle Daten zu löschen oder zurückzugeben
  • Dem Auftraggeber alle Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen

§ 6 Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt folgende Maßnahmen um:

Vertraulichkeit

  • Zutrittskontrolle: Serverstandort bei Hetzner Online GmbH (ISO 27001 zertifiziert)
  • Zugangskontrolle: SSH-Key-Authentifizierung, keine Passwort-Logins
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem

Integrität

  • Weitergabekontrolle: SSL/TLS-Verschlüsselung (Auto-SSL via Caddy)
  • Eingabekontrolle: Protokollierung aller Änderungen über das Kundenportal

Verfügbarkeit und Belastbarkeit

  • Tägliche automatisierte Backups
  • Monitoring der Website-Verfügbarkeit alle 5 Minuten
  • Automatische Benachrichtigung bei Ausfällen
  • Firewall (UFW) und Fail2ban zum Schutz vor Angriffen

Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Sicherheitsupdates (unattended-upgrades)
  • Überprüfung der technischen Maßnahmen mindestens jährlich

§ 7 Unterauftragnehmer

(1) Folgende Unterauftragnehmer werden zum Zeitpunkt des Vertragsschlusses eingesetzt:

Unternehmen Leistung Standort
Hetzner Online GmbH Server-Hosting Deutschland
Anthropic KI-Textgenerierung (nur bei Erstellung) USA

(2) Der Auftragnehmer informiert den Auftraggeber über jede geplante Änderung in Bezug auf Unterauftragnehmer. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben.

§ 8 Rechte der betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 12-23 DSGVO).

(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, wird die Anfrage unverzüglich an den Auftraggeber weitergeleitet.

§ 9 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, Überprüfungen durchzuführen oder durch einen beauftragten Dritten durchführen zu lassen.

(2) Der Auftragnehmer stellt alle erforderlichen Informationen zur Verfügung und ermöglicht Inspektionen nach angemessener Vorankündigung.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Auftrags löscht der Auftragnehmer alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Der Auftraggeber kann vor der Löschung die Herausgabe der Daten in einem gängigen Format verlangen.

(3) Die Löschung wird auf Verlangen schriftlich bestätigt.

§ 11 Schlussbestimmungen

(1) Änderungen dieses AV-Vertrags bedürfen der Schriftform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

Kontakt für Datenschutzanfragen:

Whitespace Marketing
Biesenberger & Merk OHG
E-Mail: info@whitespace-marketing.de