(+49) 0152 32058789
Jetzt Anfragen

AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

gemäß Art. 28 DSGVO

Weitere rechtliche Informationen

Impressum
Datenschutz
AGB
Drück mich!


zwischen
ADESTORIA
Stralsunder Str. 2, 40595 Düsseldorf
Vertretungsberechtigter: Enriko Korezki
(nachfolgend „Verarbeiter“)

und
[Kunde/Firma, Adresse]
(nachfolgend „Auftraggeber“)

Stand: 12.03.2026

§ 1 Gegenstand und Dauer

(1) Der Verarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers gemäß Art. 4 Nr. 8 DSGVO zu Zwecken des Marketings, der Webanalyse und des Trackings (Google Ads, Meta Business Suite, Analytics). Der Verarbeiter bestimmt keine Zwecke oder wesentlichen Mittel der Verarbeitung.

(2) Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags (Angebot + AGB) und endet automatisch mit dessen Beendigung, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

§ 2 Art und Zweck der Verarbeitung

(1) Verarbeitete Datenarten: Kontaktdaten, IP-Adressen, Nutzerverhalten, Leads, Trackingdaten.

(2) Betroffene Personen: Website-Besucher, Kunden des Auftraggebers, Social-Media-Nutzer.

(3) Zweck: Durchführung und Optimierung digitaler Marketingmaßnahmen sowie Webanalyse auf Weisung.

§ 3 Pflichten des Verarbeiters

(1) Der Verarbeiter handelt ausschließlich auf dokumentierte Weisung des Auftraggebers. Er informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, und führt diese bis zur Klärung nicht aus.

(2) Der Verarbeiter setzt die erforderlichen technischen und organisatorischen Maßnahmen (TOM) gemäß Anlage 1 um.

(3) Datenschutzvorfälle: Der Verarbeiter meldet dem Auftraggeber jeden Verstoß gegen den Schutz personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden.

(4) Der Verarbeiter unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten sowie bei Audits (max. 1x jährlich; Kosten trägt der Auftraggeber).

§ 4 Einsatz von Subunternehmern

1) Der Auftraggeber erteilt dem Verarbeiter die allgemeine Genehmigung zum Einsatz weiterer Auftragsverarbeiter. Die aktuell eingesetzten Subunternehmer sind in Anlage 2 aufgeführt.

(2) Der Verarbeiter schließt mit jedem Subunternehmer einen Vertrag ab, der diesem die gleichen Datenschutzpflichten auferlegt, die in diesem Vertrag festgelegt sind.

(3) Der Verarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern. Dem Auftraggeber steht ein Widerspruchsrecht innerhalb von 14 Tagen nach Mitteilung zu. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt.

§ 5 Löschung und Datenrückgabe

Der Verarbeiter löscht nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht eine gesetzliche Pflicht zur Speicherung der Daten (z. B. nach Handels- oder Steuerrecht) besteht.

§ 6 Drittlandtransfers

Datenübermittlungen in Drittländer erfolgen ausschließlich unter Einhaltung der Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln, EU-US Data Privacy Framework oder Angemessenheitsbeschluss). Der Verarbeiter führt notwendige Transfer Impact Assessments (TIA) durch.

§ 7 Haftung und Schlussbestimmungen

(1) Haftung: Die Haftung des Verarbeiters gegenüber dem Auftraggeber wird auf die Höhe von 12 Monatsgebühren begrenzt, es sei denn, der Schaden wurde vorsätzlich oder grob fahrlässig verursacht. Ansprüche betroffener Personen gemäß Art. 82 DSGVO gegen den Auftraggeber oder Verarbeiter bleiben von dieser Begrenzung unberührt.

(2) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit des Vertrages im Übrigen unberührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der wirtschaftlichen Zielsetzung am nächsten kommen, die die Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben.

(3) Änderungen bedürfen der Textform. Es gilt deutsches Recht.

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

  • Zutritts- und Zugangskontrolle: Einsatz von ISO 27001-zertifizierten Rechenzentren, Multi-Faktor-Authentifizierung (MFA), rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der minimalen Rechtevergabe (Least Privilege).
  • Weitergabe- und Eingabekontrolle: Verschlüsselung mittels TLS 1.3, lückenlose Protokollierung von Zugriffen, Einsatz von Web Application Firewalls (WAF).
  • Verfügbarkeit: Tägliche Backups (3-7-30-Strategie), Disaster Recovery Plan (DRP).
  • Trennungskontrolle: Mandantentrennung auf Datenbankebene, Pseudonymisierung von Nutzerdaten, wo technisch möglich.
  • Tests: Jährliche Penetrationstests und regelmäßige Vulnerability Scans.

Anlage 2: Liste der genehmigten Subprozessoren

  • Google Ireland Limited (Ads/Analytics) – Irland/USA – Schutz durch SCC/DPF.
  • Meta Platforms Ireland Ltd. (Social Media Tools) – Irland/USA – Schutz durch SCC/DPF.
  • AWS (Amazon Web Services) (Hosting) – Serverstandort Deutschland/EU.
  • Hostinger International Ltd. (Hosting) – Serverstandort EU (Zypern).
  • GoHighLevel (GHL) (CRM/Chatbot) – USA – Schutz durch SCC/TIA.
  • Cal.com, Inc. (Terminplanung) – USA – Schutz durch SCC/TIA/Einwilligung.
  • Microsoft Corporation (Webanalyse Clarity) – USA – Schutz durch SCC/DPF.
  • Usercentrics A/S (Cookiebot) – EU (Dänemark).

Weitere rechtliche Informationen

Impressum
Datenschutz
AGB
Drück mich!
Alle Antworten hier
Noch Fragen?
enriko@adestoria.com
+49 152 32058789
Enriko Korezki
Adestoria
Wie viel kostet eine Zusammenarbeit mit euch?

Bei ADESTORIA gibt es keine festen Pakete! Die Kosten unserer Zusammenarbeit variieren und sind abhängig vom allgemeinen Aufwand und der individuellen Zielsetzung. Jedes Projekt und dessen Anforderungen werden sorgfältig kalkuliert und zu einem maßgeschneiderten Angebot ausgearbeitet. Für dieses Angebot empfehlen wir Ihnen, völlig kostenlos und unverbindlich Kontakt mit uns aufzunehmen, damit wir Sie und Ihr Vorhaben kennenlernen können.
Wie schnell gehen erste Ergebnisse (Website, Videos, Ads) live?

Website live nach 4 Wochen, Ads Klicks in 3–7 Tagen (Google) / 7–14 Tagen (Meta), Videos nach 2–4 Wochen. Optimierung wirkt in 1–2 Wochen. Im Kick-off fixen wir deinen Fahrplan – du weißt genau, wann was kommt.
Was ist euer Prozess – wie läuft die Zusammenarbeit ab?

Nach Kontaktaufnahme: Kennlerngespräch. Dann Angebotserstellung. Bei Annahme: Briefing-Formular ausfüllen. Kick-off Call (Ziele + Timeline fixen) → Erste Lieferung → 1–2 Feedback-Runden → Launch. Dein Aufwand: 3–5 Stunden über 4 Wochen. Dashboard-Zugang + monatliche Reviews bei Laufendem.
Kann ich Inhalte später selbst bearbeiten?

Ja, alles ist editierbar – Websites über Webflow CMS (Texte, Bilder in Minuten), Videos kriegst du als fertige Assets + Vorlagen, Ads siehst du live im Dashboard. Wir zeigen dir im Launch-Call, wie's geht. Keine Abhängigkeit, volle Kontrolle.
Lust auf ein Projekt mit ADESTORIA?
Unser Team aus Analysten, Designern sowie Entwicklern, Foto-Videografen und Marketern sind für euch da.
Erreichbar
Nehmen Sie direkt Kontakt auf
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rechtliches
AGB
AVV
Impressum
Datenschutz
Navigation
Unser Service
Über uns
Kundenstimmen
Kontakt
Kontakt
Email: enriko@adestoria.com
Telefon: (+49) 0152 32058789
Erkenn Qualität an unserem Siegel
Made by