Vertrag zur Auftragsverarbeitung
Anlage zum Hauptvertrag · Stand 20. Mai 2026
strivera.de

Auftragsverarbeitung gemäß Art. 28 DSGVO

Vereinbarung zur Auftragsverarbeitung zwischen dem Auftraggeber (Kunde) und Strivera als Auftragsverarbeiter

Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch Strivera im Rahmen der erbrachten Leistungen (Erstellung, Hosting und Wartung der Website). Sie ist Bestandteil des zugrundeliegenden Hauptvertrags (Angebot/Auftragsbestätigung).

Was ist das hier und warum unterschreiben Sie das?

Sobald wir Ihre Website hosten und pflegen, kommen wir zwangsläufig mit Daten Ihrer Website-Besucher in Berührung (zum Beispiel über Kontaktformulare, Server-Logfiles oder Cookies). Die Datenschutz-Grundverordnung (DSGVO, Art. 28) schreibt vor, dass jeder Dienstleister, der personenbezogene Daten im Auftrag verarbeitet, dafür einen schriftlichen Vertrag mit seinem Kunden abschließen muss. Genau das ist dieses Dokument.

Kurz gesagt: Sie bleiben der Eigentümer der Daten und entscheiden, was damit passiert. Wir bestätigen schriftlich, dass wir uns an klare Regeln halten. Damit sind Sie als Unternehmer abgesichert und wir auch.

Ihr Schutz Bei einer Datenschutz-Prüfung müssen Sie diesen AVV vorlegen können. Ohne ihn drohen Ihnen Bußgelder.

Klare Regeln Wir dürfen mit Ihren Daten nur das machen, was hier vereinbart ist. Nichts heimlich verkaufen, nichts weitergeben.

Pflicht für alle Jede seriöse Webagentur in Deutschland macht das so. Es ist kein Strivera-Sonderweg, sondern gesetzlicher Standard.

Auftragsverarbeiter

Strivera (Inhaber Luca Marcel Vischi)

Schreiberstraße 13
88348 Bad Saulgau
Deutschland

E-Mail: info@strivera.de
Web: strivera.de
USt-IdNr.: DE446881558

Auftraggeber (Kunde)

Deutschland

E-Mail:
Telefon:
USt-IdNr. / Steuer-Nr.:

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand: Erbringung der im Hauptvertrag vereinbarten Leistungen, insbesondere Webdesign, Hosting, Wartung, technischer Support und damit verbundene Datenverarbeitung im Auftrag des Auftraggebers.

Dauer: Diese Vereinbarung gilt für die gesamte Laufzeit des Hauptvertrags und endet mit dessen Beendigung oder mit der vollständigen Löschung bzw. Rückgabe sämtlicher Daten durch den Auftragsverarbeiter, je nachdem, welcher Zeitpunkt später eintritt.

§ 2 Art, Zweck und Umfang der Verarbeitung

Detaillierte Beschreibung der Verarbeitung siehe Anlage 1. In Kürze:

Art der Verarbeitung: Erheben, Erfassen, Speichern, Verwenden, Übermitteln, Löschen
Zweck: Erstellung und Betrieb der Website des Auftraggebers
Betroffene Personen: Besucher und Nutzer der Website des Auftraggebers
Datenkategorien: Stamm-, Kontakt-, Verkehrs- und Inhaltsdaten (siehe Anlage 1)
Verarbeitungsort: Deutschland (IONOS Rechenzentrum) und EU (Vercel Region Frankfurt, fra1)

§ 3 Pflichten des Auftragsverarbeiters

Verarbeitung der personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers und im Rahmen dieser Vereinbarung.
Sicherstellung, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
Ergreifung aller erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe Anlage 2).
Unterstützung des Auftraggebers bei Anfragen und Ansprüchen betroffener Personen sowie bei Datenschutz-Folgenabschätzungen.
Unverzügliche Meldung von Datenschutzverletzungen, spätestens innerhalb von 48 Stunden nach Kenntnis.
Benennung eines Ansprechpartners für Datenschutzfragen: Luca Marcel Vischi, info@strivera.de. Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO derzeit nicht erforderlich.

Strivera · Auftragsverarbeitungsvertrag

Seite 1 von 4

Vertrag zur Auftragsverarbeitung
Anlage zum Hauptvertrag · Stand 20. Mai 2026

§ 4 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Änderungen werden dem Auftraggeber rechtzeitig mitgeteilt; ein Absenken des Sicherheitsniveaus ist unzulässig.

§ 5 Berichtigung, Einschränkung und Löschung

Die Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten erfolgt ausschließlich nach dokumentierter Weisung des Auftraggebers. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO) mit geeigneten technischen und organisatorischen Maßnahmen.

§ 6 Unterauftragsverhältnisse

Der Auftraggeber stimmt der Beauftragung der in Anlage 3 aufgeführten Unterauftragsverarbeiter zu. Strivera wird den Auftraggeber über jeden geplanten Wechsel oder die Hinzuziehung weiterer Unterauftragsverarbeiter mindestens 30 Tage im Voraus in Textform informieren. Widerspricht der Auftraggeber innerhalb von 14 Tagen begründet, kann Strivera den Wechsel nicht vornehmen oder den Hauptvertrag mit angemessener Frist kündigen.

Mit allen Unterauftragsverarbeitern bestehen ihrerseits AVV nach Art. 28 DSGVO. Bei Verarbeitung außerhalb des EWR werden geeignete Garantien (insbesondere Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914) sichergestellt.

§ 7 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich von der Einhaltung der getroffenen Maßnahmen zu überzeugen. Die Kontrolle kann erfolgen durch:

Einholung von Selbstauskünften (z.B. anhand der aktuellen TOMs, siehe Anlage 2)
Anerkannte Zertifikate oder Testate der Unterauftragsverarbeiter (IONOS ISO 27001, Vercel SOC 2)
Vor-Ort-Kontrolle nach vorheriger Terminabstimmung mit angemessener Vorlaufzeit (mind. 14 Tage), während üblicher Geschäftszeiten

Der Auftragsverarbeiter ist berechtigt, einen angemessenen Aufwandsersatz für die Mitwirkung an Audits zu verlangen, sofern diese über eine Selbstauskunft hinausgehen.

§ 8 Meldung von Verstößen

Strivera meldet jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, in Textform an den Auftraggeber. Die Meldung enthält mindestens:

Eine Beschreibung der Art der Verletzung, einschließlich betroffener Datenkategorien und Anzahl der Betroffenen
Name und Kontaktdaten des Ansprechpartners
Wahrscheinliche Folgen und ergriffene oder vorgeschlagene Gegenmaßnahmen

§ 9 Weisungsbefugnis

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen werden in der Regel in Textform (E-Mail genügt) erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Verstößt nach Auffassung von Strivera eine Weisung gegen geltendes Datenschutzrecht, wird Strivera den Auftraggeber unverzüglich darauf hinweisen und ist berechtigt, die Ausführung auszusetzen.

§ 10 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags hat Strivera nach Wahl des Auftraggebers entweder alle personenbezogenen Daten zurückzugeben (z.B. als Export/Backup) oder vollständig zu löschen, einschließlich aller Kopien, soweit nicht eine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Wunsch schriftlich bestätigt.

Backups werden im üblichen Rotationsturnus (max. 30 Tage) automatisch überschrieben.

§ 11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Regelungen des Hauptvertrags und der AGB. Im Innenverhältnis haftet jede Partei für den von ihr zu vertretenden Pflichtverstoß.

§ 12 Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig, Bad Saulgau.

Strivera · Auftragsverarbeitungsvertrag

Seite 2 von 4

Anlage 1 + 2 zum AVV
Verarbeitung und Schutzmaßnahmen

Anlage 1

Beschreibung der Verarbeitung

Punkt	Beschreibung
Gegenstand	Erstellung, Hosting und Wartung der Website des Auftraggebers gemäß Hauptvertrag.
Art und Zweck der Verarbeitung	Bereitstellung und Betrieb der Website, technische Wartung, inhaltliche Pflege, Sichtbarkeitsoptimierung (SEO/GEO), Beantwortung von Kontaktanfragen.
Kategorien betroffener Personen	Besucher der Website Interessenten, die das Kontaktformular nutzen Personen, die Bewertungen abgeben (sofern eingebunden) Beschäftigte des Auftraggebers (falls auf der Website genannt)
Kategorien personenbezogener Daten	Stammdaten: Name, Anrede, ggf. Funktion Kontaktdaten: E-Mail, Telefon, Adresse Verkehrsdaten: IP-Adresse, Zeitstempel, User-Agent, Referrer (Server-Logfiles) Inhaltsdaten: Text aus Kontaktformularen, Foto-/Bewertungseinreichungen Metadaten: Aufrufstatistiken (nur falls vom Auftraggeber beauftragt)
Tracking / Analytics	Standardmäßig kein Tracking aktiv. Auf gesonderten Wunsch des Auftraggebers können datensparsame Lösungen (z.B. Plausible, Matomo) eingebunden werden; in diesem Fall wird die Verarbeitungsbeschreibung entsprechend ergänzt.
Verarbeitungsort	Deutschland (IONOS, Karlsruhe) und EU (Vercel Region Frankfurt fra1). Kein Drittlandtransfer im laufenden Betrieb.
Dauer der Verarbeitung	Für die Dauer des Hauptvertrags. Server-Logfiles werden nach max. 14 Tagen gelöscht. Kontaktformular-Eingaben werden zur Abwicklung gespeichert und nach Erledigung gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Anlage 2

Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO

1. Vertraulichkeit

Verschlüsselte Übertragung via TLS 1.3 (HTTPS-Zwang, HSTS)
Verschlüsselte Festplatten auf Arbeitsgeräten (FileVault/BitLocker)
Passwort-Manager mit starken, einzigartigen Passwörtern
2-Faktor-Authentifizierung für alle relevanten Dienste (IONOS, Vercel, GitHub, E-Mail)
Zugriffsbeschränkung nach Need-to-know-Prinzip
Verpflichtung aller mitwirkenden Personen zur Vertraulichkeit

2. Integrität

Versionskontrolle (Git) für alle Website-Inhalte und Code
Audit-Logs der Deploy-Pipeline (Vercel)
Eingabe-Validierung und Schutz gegen Standard-Angriffe (XSS, CSRF, SQL-Injection)
Sichere Konfiguration (CSP-Header, Secure Cookies, SameSite)
Regelmäßige Software- und Sicherheitsupdates

3. Verfügbarkeit & Belastbarkeit

Uptime-Monitoring 24/7 (Business/Premium)
Tägliche automatische Backups, Aufbewahrung max. 30 Tage
Redundante Infrastruktur bei IONOS und Vercel
DDoS-Schutz durch Vercel Edge Network
Disaster-Recovery: Wiederherstellung aus Backup möglich

4. Wiederherstellbarkeit

Backups werden regelmäßig stichprobenartig getestet
RTO (Recovery Time Objective): max. 24 Stunden
RPO (Recovery Point Objective): max. 24 Stunden

5. Pseudonymisierung & Datenminimierung

Keine Erhebung personenbezogener Daten ohne Zweckbindung
Logfiles werden anonymisiert/gekürzt soweit möglich
Keine permanente IP-Speicherung über Notwendigkeit hinaus
Kein Tracking ohne ausdrückliche Beauftragung

6. Organisatorische Maßnahmen

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
Schriftliche AVV mit allen Unterauftragsverarbeitern
Datenschutz-Prüfung bei jeder neuen Drittpartei-Integration
Regelmäßige Überprüfung und Aktualisierung der TOMs
Klare Eskalationskette bei Sicherheitsvorfällen

Strivera · Auftragsverarbeitungsvertrag

Seite 3 von 4

Anlage 3 + Unterschrift
Subunternehmer und Vereinbarung

Anlage 3

Genehmigte Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter sind genehmigt. Mit allen besteht ein eigener AVV nach Art. 28 DSGVO.

Anbieter	Sitz / Verarbeitungsort	Leistung	Garantien
IONOS SE Elgendorfer Str. 57, 56410 Montabaur	Deutschland (Rechenzentren Karlsruhe / Frankfurt)	Webhosting, E-Mail-Hosting (info@strivera.de und ggf. Kunden-Mail), Domain-Verwaltung	AVV vorhanden · ISO 27001 zertifiziert · Server in DE
Vercel Inc. 340 S Lemon Ave #4133, Walnut, CA 91789, USA	EU (Region Frankfurt, fra1) für Deployment und Edge-Caching	Website-Deployment, Edge Network, DDoS-Schutz, CDN	AVV (DPA) vorhanden · SOC 2 Type II · EU-US Data Privacy Framework zertifiziert · Standardvertragsklauseln (SCC) 2021/914 für Drittlandtransfer
Hoster des Auftraggebers (falls vorhanden)	Variabel	Hosting der Bestands-Website, sofern Auftraggeber eigenen Hoster nutzt	AVV liegt zwischen Auftraggeber und seinem Hoster vor. Strivera erhält ggf. nur Zugangsdaten zur Pflege.

Hinweis zu Vercel: Vercel Inc. ist ein Anbieter mit Sitz in den USA. Die Datenverarbeitung erfolgt jedoch in der EU-Region Frankfurt. Vercel ist nach dem EU-US Data Privacy Framework zertifiziert und stellt einen Auftragsverarbeitungsvertrag inkl. Standardvertragsklauseln zur Verfügung. Damit ist auch ein etwaiger Drittlandtransfer DSGVO-konform abgesichert.

Salvatorische Klausel und geltendes Recht

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen Zweck am nächsten kommt. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Erfüllungsort und ausschließlicher Gerichtsstand ist Bad Saulgau, soweit gesetzlich zulässig.

Unterzeichnung

Mit ihren Unterschriften bestätigen die Parteien, diese Vereinbarung gelesen und verstanden zu haben und sich rechtsverbindlich an sie zu binden.

Auftragsverarbeiter · Strivera

Ort, Datum · Vor- und Nachname · Unterschrift

Auftraggeber · Kunde

Ort, Datum · Vor- und Nachname · Unterschrift

Strivera · Auftragsverarbeitungsvertrag

Seite 4 von 4