Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — Stand: März 2026
Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem Kunden (im Folgenden „Verantwortlicher") und Hannes Haderer, Einzelunternehmer, Peter-Behrens-Platz 10, 4020 Linz, Österreich, UID: ATU77795209, handelnd unter „CRAFFT" (im Folgenden „Auftragsverarbeiter").
1. Gegenstand und Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Website-as-a-Service-Dienstleistungen gemäß den AGB. Die Dauer entspricht der Laufzeit des Hauptvertrages.
2. Art und Zweck der Verarbeitung
| Tätigkeit | Zweck |
|---|---|
| Speicherung und Weiterleitung von Kontaktformular-Eingaben | Ermöglichung der Kontaktaufnahme durch Website-Besucher |
| Hosting der Website | Bereitstellung und technischer Betrieb |
| Verarbeitung technischer Zugriffsdaten | Sicherheit und Funktionsfähigkeit |
3. Art der personenbezogenen Daten
- Kontaktformular-Daten: Name, E-Mail-Adresse, Telefonnummer (sofern eingegeben), Nachrichteninhalt
- Technische Daten: IP-Adresse (durch Cloudflare verarbeitet, nicht von CRAFFT gespeichert)
4. Kategorien betroffener Personen
Website-Besucher des Verantwortlichen, die das Kontaktformular nutzen.
5. Pflichten des Auftragsverarbeiters
Weisungsgebundenheit: Verarbeitung ausschließlich auf dokumentierter Weisung des Verantwortlichen. Weisungen sind in diesem AVV und im Hauptvertrag dokumentiert.
Vertraulichkeit: Alle zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet.
Technisch-organisatorische Maßnahmen: Der Auftragsverarbeiter trifft die gemäß Art. 32 DSGVO erforderlichen Maßnahmen (siehe Anlage 1).
Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter unterstützt bei Anfragen betroffener Personen (Art. 15–22 DSGVO). Direkt eingehende Anfragen werden unverzüglich weitergeleitet.
Meldung von Datenschutzverletzungen: Meldung an den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden.
6. Pflichten des Verantwortlichen
Der Verantwortliche stellt sicher, dass die Datenschutzerklärung auf seiner Website korrekt ist und eine Rechtsgrundlage für die Erhebung der Kontaktformular-Daten besteht.
7. Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung folgender Unterauftragsverarbeiter:
| Unternehmen | Sitz | Zweck | Drittlandtransfer |
|---|---|---|---|
| Cloudflare, Inc. | San Francisco, USA | Hosting, CDN, DDoS-Schutz | EU-U.S. Data Privacy Framework |
| Supabase, Inc. | San Francisco, USA | Datenbank, Authentifizierung | EU-U.S. Data Privacy Framework / SCCs |
| Resend, Inc. | San Francisco, USA | E-Mail-Zustellung | EU-U.S. Data Privacy Framework / SCCs |
| Stripe, Inc. | San Francisco, USA | Zahlungsabwicklung | EU-U.S. Data Privacy Framework |
Bei Beauftragung neuer Unterauftragsverarbeiter wird der Verantwortliche vorab informiert und kann innerhalb von 14 Tagen widersprechen. Bei begründetem Widerspruch besteht ein Sonderkündigungsrecht.
8. Kontrollrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen. Inspektionen vor Ort sind auf einmal pro Kalenderjahr beschränkt, sofern kein konkreter Verdacht besteht.
9. Löschung und Rückgabe
Nach Vertragsende werden sämtliche personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch erfolgt vorherige Rückgabe in maschinenlesbarem Format.
Anlage 1: Technisch-organisatorische Maßnahmen
Vertraulichkeit
| Maßnahme | Umsetzung |
|---|---|
| Zugangskontrolle | Passwortgeschützter Zugang, Zwei-Faktor-Authentifizierung für Admin-Zugänge |
| Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept; nur berechtigte Personen haben Zugriff |
| Trennungskontrolle | Mandantentrennung in der Datenbank (Row Level Security) |
Integrität
| Maßnahme | Umsetzung |
|---|---|
| Weitergabekontrolle | Verschlüsselte Übertragung (TLS/HTTPS) für alle Datenübermittlungen |
| Eingabekontrolle | Protokollierung von Datenänderungen in der Datenbank |
Verfügbarkeit und Belastbarkeit
| Maßnahme | Umsetzung |
|---|---|
| Verfügbarkeit | Hosting auf Cloudflare (globales CDN mit redundanter Infrastruktur) |
| Wiederherstellbarkeit | Regelmäßige Backups (Supabase Point-in-Time Recovery) |
| Belastbarkeit | Cloudflare DDoS-Schutz; automatische Skalierung |
Dieser AVV ist Bestandteil des Hauptvertrages (AGB) und tritt mit Abschluss des Hauptvertrages in Kraft.
CRAFFT — Hannes Haderer
Peter-Behrens-Platz 10, 4020 Linz, Österreich
Tel: +43 660 593 2075 | E-Mail: [email protected] | UID: ATU77795209