gemäß Art. 28 DSGVO
zwischen
ADESTORIA
Stralsunder Str. 2, 40595 Düsseldorf
Vertretungsberechtigter: Enriko Korezki
(nachfolgend „Verarbeiter“)
und
[Kunde/Firma, Adresse]
(nachfolgend „Auftraggeber“)
Stand: 27.12.2025
(1) Der Verarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers gemäß Art. 4 Nr. 8 DSGVO zu Zwecken des Marketings, der Webanalyse und des Trackings (Google Ads, Meta Business Suite, Analytics).
(2) Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags (Angebot + AGB) und endet automatisch mit dessen Beendigung.
(1) Verarbeitete Datenarten: Kontaktdaten, IP-Adressen, Nutzerverhalten, Leads, Trackingdaten.
(2) Betroffene Personen: Website-Besucher, Kunden, Social-Media-Nutzer.
(3) Zweck: Durchführung und Optimierung digitaler Marketingmaßnahmen.
(1) Der Verarbeiter handelt ausschließlich auf dokumentierte Weisung des Auftraggebers; erste Weisung ist der Hauptvertrag.
(2) Der Verarbeiter verpflichtet sich zu technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage 1). Dazu gehören Verschlüsselung personenbezogener Daten, Zugriffssteuerung (RBAC), Pseudonymisierung, regelmäßige Penetrationstests und Backup-Strategien. Die Maßnahmen werden jährlich überprüft und angepasst.
(3) Datenschutzvorfälle werden dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, gemeldet inklusive Ursache, betroffener Daten und Remediation.
(4) Der Verarbeiter unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32-36 DSGVO, insbesondere bei Auskunfts-, Löschungs- oder Portabilitätsanfragen. Der Auftraggeber hat Recht auf Audits (max. 1x/Jahr, Kosten Auftraggeber) und Nachweis der Einhaltung.
(1) Der Verarbeiter darf zur Erfüllung der vertraglich geschuldeten Leistungen Subunternehmer einsetzen, sofern diese Verarbeitung innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt und ein angemessenes Datenschutzniveau gewährleistet ist.
(2) Der Verarbeiter stellt sicher, dass mit allen Subunternehmern entsprechende Datenschutzvereinbarungen abgeschlossen sind, die mindestens den Schutzumfang dieses Vertrags aufweisen.
(3) Der Auftraggeber wird über wesentliche Änderungen oder Erweiterungen der eingesetzten Subunternehmer informiert und kann innerhalb von 14 Tagen schriftlich widersprechen.
(1) Nach Beendigung des Vertragsverhältnisses löscht der Verarbeiter sämtliche personenbezogenen Daten des Auftraggebers oder gibt diese auf Weisung in einem gängigen, maschinenlesbaren Format (z. B. CSV/JSON) zurück. Nachweis erfolgt schriftlich.
(2) Bestehen gesetzliche Aufbewahrungspflichten, tritt anstelle der Löschung eine Sperrung der Daten.
(3) Sicherungs- und Backupsysteme werden nach 30 Tagen nach Rückgabe/Löschung gelöscht, sofern dem keine gesetzlichen Pflichten entgegenstehen.
(1) Dieser Vertrag ist automatisch Bestandteil des Hauptvertrags (AGB § 12) und gilt ohne gesonderte Unterschrift als vereinbart (Textform, Art. 28 Abs. 9 DSGVO).
(2) Es gilt ausschließlich deutsches Recht. Gerichtsstand ist Düsseldorf.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit im Übrigen unberührt.
(4) Der Verarbeiter haftet für Verstöße seiner Subunternehmer gleichermaßen.