gemäß Art. 28 DSGVO – inkl. Technisch-Organisatorischer Maßnahmen (TOMs)
Dieser AVV gilt zwischen dem jeweiligen Auftraggeber (nachfolgend „Verantwortlicher") und Carlo Krämer · CarloMedia, Huronsee Str. 46, 10319 Berlin (nachfolgend „Auftragsverarbeiter"). Er ist automatisch Bestandteil des jeweiligen Hauptvertrags und tritt mit dessen Abschluss in Kraft – eine gesonderte Unterzeichnung ist nicht erforderlich. Mit Akzeptanz des Hauptvertrags (z. B. über das Angebotsformular) wird dieser AVV als verbindlich anerkannt.
Erstellung, Hosting und Wartung einer Website. Verarbeitung personenbezogener Daten ausschließlich auf Weisung des Verantwortlichen.
Besucher, Nutzer und Kontaktanfragende der Website des Kunden.
Dauer des Hauptvertrags. Danach: Löschung oder Export binnen 30 Tagen (außer gesetzliche Aufbewahrungspflichten).
Der Verantwortliche genehmigt die folgenden Dienste (Art. 28 Abs. 2 DSGVO). Änderungen werden 14 Tage im Voraus per E-Mail angekündigt; ein Widerspruch ist möglich.
| Dienst | Zweck | Server / Region | Rechtsgrundlage |
|---|---|---|---|
| Sliplane / Wimadev (DE) | Hosting, Datenbank, SSL | Deutschland (Hetzner, Falkenstein) | Server DE, kein Drittlandtransfer |
| Impossible Cloud GmbH (DE) | Verschlüsselte Backups | Deutschland / EU (Hamburg) | Art. 28 DSGVO – EU |
| GitHub / Microsoft | Code-Verwaltung (privates Repo) | USA | SCC (Microsoft) |
Hosting und verschlüsselte Backups erfolgen ausschließlich in Deutschland/EU. Lediglich die Code-Verwaltung (GitHub) liegt bei einem US-Unternehmen; die Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (SCC). Bei regulatorischen Veränderungen wird der Auftragsverarbeiter schnellstmöglich Alternativen prüfen und den Verantwortlichen informieren.
Serverbetrieb in einem ISO-27001-zertifizierten Rechenzentrum in Deutschland (Hetzner, Falkenstein). Kein physischer Zugriff durch den Auftragsverarbeiter.
Eigene, separate Datenbank pro Kundenprojekt mit personenbezogenen Daten – keine gemeinsam genutzte Datenbank, kein Datenmix zwischen Mandanten.
HTTPS/TLS für alle Übertragungen. AES-256 für ruhende Daten. Backups verschlüsselt.
Cookie- und trackingfrei im Standard. Server-Logs nach 30 Tagen gelöscht.
Tägliche automatische Backups, mindestens 7 Tage Aufbewahrung, regelmäßige Restore-Tests. 24/7 Uptime-Monitoring mit automatischer Alarmierung.
Prüfung aller Dienste auf gültige DPA. Versionierter Code über privates Git-Repository.
Sitemap.xml und llms.txt enthalten keine personenbezogenen Daten. Zahlungsdienstleister gemäß gewähltem Anbieter – ein gesonderter DPA wird bei Bedarf abgeschlossen.
Es gilt deutsches Recht. Bei Konflikten geht dieser AVV in Datenschutzfragen dem Hauptvertrag vor. Änderungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleiben die übrigen Bestimmungen davon unberührt.