Auftragsverarbeitungsvertrag (AVV)
Stand: Mai 2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen Niko Busch, HandwerkSite (nachfolgend "Anbieter" oder "Auftragsverarbeiter") und dem Kunden (nachfolgend "Verantwortlicher") gemäß Art. 28 DSGVO. Er ergänzt die Allgemeinen Geschäftsbedingungen unter www.handwerksite.com/rechtliches/agb und gilt mit Abschluss des Hauptvertrags als geschlossen.
§ 1 Gegenstand und Dauer
(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Anbieter im Rahmen der Bereitstellung der HandwerkSite-Plattform — insbesondere die Speicherung und Anzeige von Anfragen, die über Kontaktformular oder Chatbot der Kunden-Homepage eingehen.
(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags (AGB). Mit Beendigung des Hauptvertrags endet auch dieser AVV.
§ 2 Art und Zweck der Verarbeitung
(1) Zweck: Speicherung und Anzeige von Kontaktanfragen, die über die Kunden-Homepage (Formular, Chatbot) eingehen, sowie Weiterleitung der Anfragen an den Verantwortlichen.
(2) Art der Verarbeitung: Erheben, Speichern, Anzeigen, Weiterleiten und Löschen personenbezogener Daten.
(3) Art der personenbezogenen Daten: Name, E-Mail-Adresse, Telefonnummer, Nachrichteninhalt, IP-Adresse, Zeitstempel. Bei Chatbot-Nutzung zusätzlich der Gesprächsverlauf.
(4) Kategorien betroffener Personen: Endkunden und Interessenten des Verantwortlichen, die das Kontaktformular oder den Chatbot der Kunden-Homepage nutzen.
§ 3 Pflichten des Auftragsverarbeiters
Der Anbieter verpflichtet sich:
- personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten; der Hauptvertrag und dieser AVV gelten als solche Weisung;
- die Vertraulichkeit der verarbeiteten Daten zu gewährleisten (Hinweis: Der Anbieter ist derzeit als Einzelunternehmen ohne Mitarbeiter tätig; sobald Mitarbeiter oder weitere Auftragnehmer eingesetzt werden, werden diese zur Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO verpflichtet);
- die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen und aufrechtzuerhalten (siehe § 6 dieses AVV);
- den Verantwortlichen bei der Erfüllung von Betroffenenrechten nach Art. 15–22 DSGVO zu unterstützen (siehe § 7);
- den Verantwortlichen bei der Einhaltung der Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO zu unterstützen und ihn innerhalb von 48 Stunden nach Bekanntwerden einer Datenschutzverletzung zu benachrichtigen;
- nach Beendigung des Hauptvertrags alle personenbezogenen Daten gemäß § 6 Abs. 3 der AGB innerhalb von 30 Tagen zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen;
- dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO bereitzustellen.
§ 4 Unterauftragsverarbeiter
(1) Der Anbieter setzt zur Erbringung seiner Leistungen folgende Unterauftragsverarbeiter ein:
| Dienst | Anbieter | Zweck | Serverstandort |
|---|---|---|---|
| Hosting | Vercel Inc. | Website-Hosting, Edge-Delivery | EU (Frankfurt) / Global Edge |
| Datenbank | Supabase Inc. | Datenspeicherung (Kontaktanfragen, Kundendaten) | EU (Frankfurt) |
| KI-Generierung | Anthropic Inc. | Generierung von Website-Inhalten, Chatbot, automatische Beantwortung von Kontaktanfragen | USA |
| E-Mail-Versand | Resend Inc. | Transaktionale E-Mails, Benachrichtigungen | USA (San Francisco) |
| Domain-Hosting | Vercel Inc. | DNS-Verknüpfung kundeneigener Domains | EU / Global Edge |
(2) Mit Abschluss dieses AVV stimmt der Verantwortliche dem Einsatz der vorgenannten Unterauftragsverarbeiter zu.
(3) Plant der Anbieter einen Wechsel oder das Hinzufügen eines Unterauftragsverarbeiters, informiert er den Verantwortlichen hierüber mindestens vier Wochen im Voraus per E-Mail. Der Verantwortliche kann dem innerhalb von zwei Wochen nach Zugang der Mitteilung widersprechen. Widerspricht der Verantwortliche, kann jede Partei den Vertrag zum Ende des laufenden Abrechnungszeitraums kündigen.
(4) Der Anbieter stellt sicher, dass mit allen Unterauftragsverarbeitern Verträge mit einem vergleichbaren Datenschutzniveau gemäß Art. 28 Abs. 4 DSGVO bestehen.
(5) Stripe Payments Europe, Ltd. ist bei der Zahlungsabwicklung eigenständig Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und kein Auftragsverarbeiter des Anbieters. Die datenschutzrechtlichen Beziehungen zwischen Kunde, Anbieter und Stripe sind in der Datenschutzerklärung (Abschnitt "Zahlungsabwicklung (Stripe)") sowie in den Datenschutzhinweisen von Stripe geregelt.
§ 5 Drittlandtransfers
(1) Soweit Unterauftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten — insbesondere Anthropic, Stripe und Resend —, erfolgt dies auf Grundlage von:
- EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder
- einem Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO (z. B. EU-US Data Privacy Framework), soweit vorhanden.
(2) Der Anbieter stellt dem Verantwortlichen auf Anfrage Informationen zu den jeweiligen Garantien und Schutzmaßnahmen bereit.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Anbieter trifft die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO:
- Verschlüsselung: TLS 1.3 für alle Datenübertragungen, AES-256-Verschlüsselung ruhender Daten (Supabase).
- Zugriffskontrolle: Authentifizierung über Supabase Auth, Row Level Security (RLS) auf Datenbankebene, API-Keys für Drittdienste mit minimalen Berechtigungen.
- Verfügbarkeit: Angestrebte Verfügbarkeit von 99 % im Jahresmittel gemäß § 10 der AGB; automatische Backups durch Supabase.
- Datentrennung: Kundendaten sind durch
customer_idlogisch getrennt. Row Level Security verhindert mandantenübergreifenden Zugriff auf Datenbankebene. - Monitoring: Server-Logs und Error-Tracking zur Erkennung von Störungen und Sicherheitsvorfällen.
- Löschkonzept: Automatische Löschung aller Kundendaten 30 Tage nach Vertragsende gemäß § 6 Abs. 3 der AGB.
§ 7 Rechte der betroffenen Personen
(1) Der Anbieter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
(2) Der Verantwortliche kann Anfragen betroffener Personen über das Dashboard selbst bearbeiten — insbesondere eingegangene Kontaktanfragen einsehen, löschen oder exportieren.
(3) Wird der Anbieter direkt von einer betroffenen Person kontaktiert, leitet er die Anfrage unverzüglich an den Verantwortlichen weiter und unterstützt diesen bei der Beantwortung.
§ 8 Schlussbestimmungen
(1) Dieser AVV gilt mit Abschluss des Hauptvertrags (AGB) als geschlossen.
(2) Bei Widersprüchen zwischen diesem AVV und den AGB hat dieser AVV in datenschutzrechtlichen Fragen Vorrang.
(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB).
(4) Gerichtsstand ist Düsseldorf, soweit gesetzlich zulässig.