Carlo Krämer · CarloMedia
PortfolioDemosBlogGratis-ToolsKontakt
Termin anfragen
◀ Zur Übersicht

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO – inkl. Technisch-Organisatorischer Maßnahmen (TOMs)

Dieser AVV gilt zwischen dem jeweiligen Auftraggeber (nachfolgend „Verantwortlicher") und Carlo Krämer · CarloMedia, Huronsee Str. 46, 10319 Berlin (nachfolgend „Auftragsverarbeiter"). Er ist automatisch Bestandteil des jeweiligen Hauptvertrags und tritt mit dessen Abschluss in Kraft – eine gesonderte Unterzeichnung ist nicht erforderlich. Mit Akzeptanz des Hauptvertrags (z. B. über das Angebotsformular) wird dieser AVV als verbindlich anerkannt.

Art. 1 – Gegenstand, Daten & Dauer

1.1 Gegenstand

Erstellung, Hosting und Wartung einer Website. Verarbeitung personenbezogener Daten ausschließlich auf Weisung des Verantwortlichen.

1.2 Datenarten

  • Kontaktdaten: Namen, E-Mail, Telefon (z. B. Kontaktformular)
  • Technische Daten: IP-Adressen, Server-Logs
  • Nutzungsdaten: nur sofern aktiviert und DSGVO-konform eingebunden

1.3 Betroffene Personen

Besucher, Nutzer und Kontaktanfragende der Website des Kunden.

1.4 Dauer

Dauer des Hauptvertrags. Danach: Löschung oder Export binnen 30 Tagen (außer gesetzliche Aufbewahrungspflichten).

Art. 2 – Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.
  • Vertraulichkeit aller zugriffsberechtigten Personen.
  • Umsetzung der TOMs gemäß Art. 4 dieses AVV.
  • Unterstützung bei Pflichten nach Art. 32–36 DSGVO und bei Betroffenenrechten.
  • Meldung von Datenpannen an den Kunden binnen 24 Stunden. Die Behördenmeldung nach Art. 33 DSGVO (72-Stunden-Frist) obliegt dem Verantwortlichen.
  • Löschung oder Rückgabe aller Daten nach Vertragsende.

Art. 3 – Subauftragsverarbeiter

Der Verantwortliche genehmigt die folgenden Dienste (Art. 28 Abs. 2 DSGVO). Änderungen werden 14 Tage im Voraus per E-Mail angekündigt; ein Widerspruch ist möglich.

DienstZweckServer / RegionRechtsgrundlage
Sliplane / Wimadev (DE)Hosting, Datenbank, SSLDeutschland (Hetzner, Falkenstein)Server DE, kein Drittlandtransfer
Impossible Cloud GmbH (DE)Verschlüsselte BackupsDeutschland / EU (Hamburg)Art. 28 DSGVO – EU
GitHub / MicrosoftCode-Verwaltung (privates Repo)USASCC (Microsoft)

Hosting und verschlüsselte Backups erfolgen ausschließlich in Deutschland/EU. Lediglich die Code-Verwaltung (GitHub) liegt bei einem US-Unternehmen; die Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (SCC). Bei regulatorischen Veränderungen wird der Auftragsverarbeiter schnellstmöglich Alternativen prüfen und den Verantwortlichen informieren.

Art. 4 – Technische & organisatorische Maßnahmen (TOMs)

4.1 Zutrittskontrolle

Serverbetrieb in einem ISO-27001-zertifizierten Rechenzentrum in Deutschland (Hetzner, Falkenstein). Kein physischer Zugriff durch den Auftragsverarbeiter.

4.2 Zugangskontrolle

  • 2-Faktor-Authentifizierung (2FA) für alle Admin-Zugänge
  • Starke, einzigartige Passwörter über Passwortmanager

4.3 Zugriffskontrolle

  • Minimalprinzip (Least Privilege), Row Level Security in Datenbank
  • Secrets ausschließlich über Umgebungsvariablen – nie im Code oder Git

4.4 Trennungskontrolle

Eigene, separate Datenbank pro Kundenprojekt mit personenbezogenen Daten – keine gemeinsam genutzte Datenbank, kein Datenmix zwischen Mandanten.

4.5 Verschlüsselung

HTTPS/TLS für alle Übertragungen. AES-256 für ruhende Daten. Backups verschlüsselt.

4.6 Datensparsamkeit

Cookie- und trackingfrei im Standard. Server-Logs nach 30 Tagen gelöscht.

4.7 Verfügbarkeit

Tägliche automatische Backups, mindestens 7 Tage Aufbewahrung, regelmäßige Restore-Tests. 24/7 Uptime-Monitoring mit automatischer Alarmierung.

4.8 Überprüfung

Prüfung aller Dienste auf gültige DPA. Versionierter Code über privates Git-Repository.

4.9 Besonderheiten

Sitemap.xml und llms.txt enthalten keine personenbezogenen Daten. Zahlungsdienstleister gemäß gewähltem Anbieter – ein gesonderter DPA wird bei Bedarf abgeschlossen.

Art. 5 – Pflichten des Verantwortlichen

  • Sicherstellung einer Rechtsgrundlage gemäß Art. 6 DSGVO.
  • Alleinige Verantwortung für Impressum, Datenschutzerklärung und Cookie-Einwilligungen der eigenen Website.
  • Bei Tracking-Diensten: eigener Zusatzauftrag und eigene Einwilligungslösung.

Art. 6 – Sonstiges

Es gilt deutsches Recht. Bei Konflikten geht dieser AVV in Datenschutzfragen dem Hauptvertrag vor. Änderungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleiben die übrigen Bestimmungen davon unberührt.

Stand: Juni 2026

Websites für lokale Unternehmen, gestaltet von einem ausgebildeten Mediengestalter Digital und Print (IHK).

KontaktKontaktformularmail@carlokraemer.de+49 152 248 758 37
RechtlichesImpressumDatenschutzAGBNutzerhinweiseVertrag kündigen
LeistungenWebsite mietenWebsite für HandwerkerWebsite für CoachesWebsite für SelbständigeWebsite für GründerWordPress AgenturWebsite mit KI
Webdesign BerlinWebsite-TypenMitteLichtenbergPankowFriedrichshainCharlottenburgNeuköllnSchönebergTreptow-Köpenick
KundenPortfolioGratis-ToolsBlogKundenstimmenÜber michKarriereKundenbereich
Aus dem BlogWarum SEO-Tools oft falsche oder gar keine Keyword-Daten zeigenPR-Backlinks, Presseportale und Verzeichnisse: was für SEO wirklich zähltDatenschutz-konforme SaaS und Web-Apps: warum EU-Server und zertifizierte Rechenzentren zählenAlle Beiträge →
© 2026 Carlo Krämer · CarloMedia, alle Demos sind anpassbar (Farben, Texte, Logo, Inhalte).
Angebot und Verkauf ausschließlich an Unternehmer i. S. d. § 14 BGB (B2B). Alle Preise verstehen sich netto zzgl. gesetzlicher Umsatzsteuer.