Hinweis zu diesem AVV-Template
Dieses Dokument ist unser Standard-AVV nach Art. 28 DSGVO. Es wird projektbezogen ergänzt durch Anlagen (TOMs, ggf. Subprozessoren, Verarbeitungstätigkeiten). Die jeweils gültige Fassung erhalten Sie auf Anfrage als PDF/DOCX zum Unterschreiben.
AVV-Anfragen: info@wendermedia.com (Betreff: AVV-Anfrage)
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
Dieser Vertrag regelt die Auftragsverarbeitung personenbezogener Daten nach Art. 28 DSGVO zwischen dem Verantwortlichen (Auftraggeber) und Arnold Wender – Wender Media (Auftragsverarbeiter).
Dauer: Der AVV gilt für die Laufzeit des zugrunde liegenden Leistungs-/Projektvertrags. Nach Vertragsende erfolgt Rückgabe oder Löschung der personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zur Erbringung der vereinbarten Dienstleistungen (Website-Entwicklung, SEO, Marketing) und umfasst:
- Speicherung und Verarbeitung von Kontaktdaten (CRM, Projektmanagement)
- Website-Analytics und Performance-Monitoring (z. B. Server-Logs, ggf. anonymisierte Analytics)
- E-Mail-Marketing (nur mit Einwilligung der Betroffenen)
- Technische Website-Wartung (Zugriff auf Hosting/Backend)
Konkrete Verarbeitungsvorgänge werden bei Bedarf in einer Anlage „Verarbeitungstätigkeiten" dokumentiert.
§ 3 Kategorien betroffener Personen
- Website-Besucher (anonyme und registrierte Nutzer)
- Kunden und Interessenten des Auftraggebers
- Newsletter-Abonnenten (bei E-Mail-Marketing)
- Kontaktformular-Nutzer und Support-Anfragende
§ 4 Kategorien personenbezogener Daten
- Kontaktdaten: Name, E-Mail, Telefon, Anschrift
- Nutzungsdaten: Logfiles (IP, Timestamp, URL, User-Agent, Referrer)
- Kommunikationsdaten: Inhalte aus Kontaktformular/E-Mail inkl. Anhängen (falls übermittelt)
§ 5 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf Übermittlungen in Drittländer. Weisungen sind in Textform zu erteilen (E-Mail genügt). Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.
§ 6 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 7 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO. Die TOMs sind in Anlage 1 beschrieben und umfassen u. a.:
- Zutrittskontrolle: Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen verwehrt
- Zugangskontrolle: Passwortschutz, 2FA wo möglich, Berechtigungsmanagement
- Zugriffskontrolle: Nur befugte Mitarbeiter haben Zugriff auf projektrelevante Daten
- Weitergabekontrolle: SSL/TLS-Verschlüsselung bei Datenübertragungen
- Eingabekontrolle: Nachvollziehbarkeit, wer wann welche Daten eingegeben/verändert hat
- Verfügbarkeitskontrolle: Regelmäßige Backups, Wiederherstellungstests
- Trennungskontrolle: Mandantentrennung bei mehreren Auftraggebern
Details siehe Anlage 1: TOMs (auf Anfrage als separates Dokument).
§ 8 Subprozessoren / Unterauftragsverarbeiter
Der Auftragsverarbeiter kann Subprozessoren (Unterauftragsverarbeiter) einsetzen, sofern er den Verantwortlichen vorab informiert und dieser nicht innerhalb von 14 Tagen widerspricht. Der Auftragsverarbeiter stellt sicher, dass Subprozessoren denselben Datenschutzpflichten unterliegen.
Aktuelle Subprozessoren (Stand: 2025):
- Hosting-Provider (Server-Infrastruktur, Standort: EU)
- E-Mail-Dienst (bei Newsletter-Versand, falls beauftragt)
Eine vollständige Liste wird auf Anfrage als Anlage bereitgestellt.
§ 9 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch geeignete technische und organisatorische Maßnahmen.
§ 10 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (in der Regel binnen 24 Stunden) über Datenschutzverletzungen (Security Incidents), die personenbezogene Daten des Auftraggebers betreffen.
§ 11 Rückgabe und Löschung
Nach Beendigung der Auftragsverarbeitung gibt der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen zurück oder löscht sie.
- Rückgabe: Export in gängigen Formaten (CSV, JSON, DB-Dump nach Absprache)
- Löschung: Innerhalb von 30 Tagen + Löschprotokoll auf Anfrage
- Ausnahme: Gesetzliche Aufbewahrungspflichten bleiben unberührt
§ 12 Nachweispflichten und Audits
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen/Audits, die vom Verantwortlichen oder einem beauftragten Prüfer durchgeführt werden.
§ 13 Kontakt
Auftragsverarbeiter:
Arnold Wender – Wender Media
Franckestraße 3a
06110 Halle (Saale)
E-Mail: info@wendermedia.com
Telefon: 0345-6867-6857
AVV-Anfragen: Bitte mit Betreff „AVV-Anfrage" an info@wendermedia.com. Antwort werktags in der Regel binnen 2 Werktagen.
Stand dieses AVV-Templates: Januar 2025
Änderungen werden dokumentiert und bei laufenden Verträgen mit angemessener Frist kommuniziert.
AVV-Muster als PDF/DOCX anfordern
Sie möchten den vollständigen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO unterschriftsbereit erhalten? Wir senden Ihnen das aktuelle AVV-Muster inklusive Anlage 1 (Technische und organisatorische Maßnahmen) und der jeweils aktuellen Subprozessoren-Liste in der Regel binnen 2 Werktagen als PDF und DOCX zu — kostenfrei und unverbindlich.
AVV-Muster jetzt anfordern — Betreff: „AVV-Anfrage Muster" an info@wendermedia.com.
Häufige Fragen zum AV-Vertrag nach Art. 28 DSGVO
Wann brauche ich einen Auftragsverarbeitungsvertrag (AVV)?
Ein AVV nach Art. 28 DSGVO ist immer dann erforderlich, wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet — beispielsweise bei Website-Wartung, Hosting, Newsletter-Versand, Cloud-Speicher oder CRM-Systemen. Ohne unterschriebenen AVV besteht ein Bußgeldrisiko nach Art. 83 DSGVO (bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes).
Was muss ein AVV nach Art. 28 DSGVO mindestens enthalten?
Art. 28 Abs. 3 DSGVO schreibt die Mindestinhalte vor: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien personenbezogener Daten und betroffener Personen, Pflichten und Rechte des Verantwortlichen, Weisungsgebundenheit, Vertraulichkeit, technische und organisatorische Maßnahmen (TOMs), Subprozessoren-Regelung, Unterstützung bei Betroffenenrechten, Datenpannen-Meldung, Rückgabe und Löschung nach Vertragsende sowie Audit-Rechte. Unser Muster deckt alle Punkte ab.
Kostet der Abschluss eines AVV mit Wender Media etwas?
Nein. Der Abschluss des AV-Vertrags ist Bestandteil unserer DSGVO-konformen Zusammenarbeit und kostet nichts extra. Sie erhalten den AVV als Anlage zu Ihrem Leistungsvertrag — zum Beispiel für Website-Wartung, SEO-Betreuung oder Hosting.
Welche Subprozessoren setzt Wender Media ein?
Die aktuelle Subprozessoren-Liste senden wir Ihnen als Anlage zum AVV zu. Wir setzen ausschließlich Dienstleister mit Serverstandort in der EU bzw. ausreichenden DSGVO-Garantien ein. Änderungen kommunizieren wir mit einer Vorlauffrist von 14 Tagen, sodass Sie Ihr Widerspruchsrecht ausüben können.
Was sind technische und organisatorische Maßnahmen (TOMs)?
TOMs nach Art. 32 DSGVO sind konkrete Schutzmaßnahmen — etwa Zutritts-, Zugangs- und Zugriffskontrolle, SSL/TLS-Verschlüsselung, Berechtigungsmanagement, regelmäßige Backups und Mandantentrennung. Unsere TOMs werden in Anlage 1 zum AVV dokumentiert und auf Wunsch durch ein Audit-Recht ergänzt. Mehr Hintergrund finden Sie auch in unserem DSGVO-Compliance-Guide.
Was passiert mit meinen Daten nach Vertragsende?
Nach Beendigung der Auftragsverarbeitung geben wir alle personenbezogenen Daten nach Ihrer Wahl zurück (Export in CSV, JSON oder DB-Dump) oder löschen sie innerhalb von 30 Tagen. Auf Anfrage erhalten Sie ein Löschprotokoll. Gesetzliche Aufbewahrungspflichten — etwa für Rechnungsunterlagen nach § 147 AO — bleiben davon unberührt.
Kann ich den AVV von Wender Media auch für andere Dienstleister verwenden?
Unser AVV ist auf die konkrete Zusammenarbeit mit Wender Media zugeschnitten und gilt in Verbindung mit dem jeweiligen Leistungsvertrag (Website-Entwicklung, SEO, Wartung, Marketing). Für die Auswahl und Beauftragung anderer Dienstleister benötigen Sie jeweils einen eigenen AVV mit dem dortigen Anbieter. Wir helfen Ihnen bei Bedarf bei der Bewertung externer AVV-Entwürfe im Rahmen eines DSGVO-Compliance-Check.
Wo finde ich weitere DSGVO-Informationen für meine Website?
Ergänzend zum AVV bieten wir einen ausführlichen Datenschutz-Hinweistext und auf Anfrage eine DSGVO-Compliance-Prüfung. Unser Blogbeitrag „DSGVO-konforme Website 2026" fasst die wichtigsten Pflichten — von Cookie-Banner bis Auftragsverarbeitung — verständlich zusammen.