Vertrag zur Auftragsverarbeitung (AVV)

Gemäß Art. 28 DSGVO · Entwurf — final durch Rechtsberatung prüfen

Hinweis: Dieser AVV regelt die Verarbeitung personenbezogener Daten, die du (als Verantwortlicher) über deine Funnels erhebst und die wir (GriddyUp, als Auftragsverarbeiter) in deinem Auftrag verarbeiten (z. B. Funnel-Analytics, Shopify-Bestelldaten). Du kannst diesen AVV in deinen Einstellungen unter Rechtliches abschließen.

1. Gegenstand und Dauer

Gegenstand ist das Hosting und der Betrieb der vom Verantwortlichen erstellten Funnels einschließlich der damit verbundenen Verarbeitung von Besucher- und Bestelldaten (Statistiken, Umsatz-Zuordnung über die Shopify-Anbindung). Die Dauer entspricht der Laufzeit des Nutzungsvertrags über die Plattform; der AVV endet mit dessen Beendigung.

2. Art der Daten und Kategorien betroffener Personen

Datenarten: anonyme, cookielose Nutzungsstatistiken der Funnels (Ereignistyp, Datum, Herkunfts-Domain — ohne IP-Adressen und ohne personenbeziehbare Kennungen) sowie Bestelldaten aus dem verbundenen Shopify-Shop (Bestellnummer, Bestellwert, zugeordneter Funnel) zur Umsatz-Zuordnung.
Betroffene Personen: Besucher der Funnels sowie Kunden des Verantwortlichen.

3. Pflichten des Auftragsverarbeiters

Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen; Verpflichtung der mit der Verarbeitung befassten Personen zur Vertraulichkeit; Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Ziffer 4); Unterstützung des Verantwortlichen bei der Beantwortung von Betroffenenanfragen und bei Meldepflichten nach Art. 33/34 DSGVO; unverzügliche Information bei Datenschutzverletzungen; Löschung oder Rückgabe der Daten nach Auftragsende (Ziffer 7).

4. Technische & organisatorische Maßnahmen (TOM)

  • Verschlüsselung: TLS für alle Übertragungen; Passwörter ausschließlich als bcrypt-Hash
  • Zugriffskontrolle: Zugriff auf Kundendaten nur über authentifizierte, mandantengetrennte Konten (jeder Nutzer sieht ausschließlich eigene Projekte, Shops und Statistiken); Server-Zugang nur per SSH-Key
  • Datensparsamkeit: cookieloses Statistik-Verfahren ohne Speicherung von IP-Adressen oder Browser-Kennungen
  • Verfügbarkeit: automatische, rotierende Datenbank-Backups; Wiederherstellungsverfahren dokumentiert
  • Löschkonzept: automatische Löschung von Statistik-Ereignissen nach 400 Tagen; Konto-Löschung durch den Nutzer jederzeit selbst möglich
  • Standort: Hosting und Datenspeicherung in der EU

Die vollständigen TOMs sind intern dokumentiert und werden auf Anfrage bereitgestellt.

5. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

DienstZweckRegion
Shopify International Ltd.Shop-, Produkt- & Bestelldaten (Umsatz-Attribution), nur bei verbundenem ShopEU / ggf. Drittland (SCCs)
[Hosting-Anbieter]Server-Hosting & DatenspeicherungEU
[E-Mail-Versanddienst]Transaktions-E-Mails (Verifizierung, Passwort-Reset)EU

Bei Drittland-Übermittlung (z. B. USA) sind geeignete Garantien (Standardvertragsklauseln) erforderlich. [Vom Anwalt prüfen lassen.]

6. Betroffenenrechte & Unterstützung

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit angemessenen Mitteln bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit). Ein Selbstbedienungs-Export der eigenen Daten sowie die Löschung einzelner Funnels und des gesamten Kontos stehen dem Verantwortlichen jederzeit in den Einstellungen zur Verfügung.

7. Löschung und Rückgabe

Nach Beendigung des Hauptvertrags werden alle im Auftrag verarbeiteten Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Daten in rotierenden Backups werden mit dem regulären Backup-Zyklus automatisch überschrieben.

8. Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen (insbesondere die aktuellen TOMs) zur Verfügung und ermöglicht angemessene Kontrollen im gesetzlich vorgesehenen Umfang.

⚠️ Dies ist ein strukturierter Entwurf zur Orientierung und kein fertiger Rechtstext. Der finale AVV muss durch eine Fachanwält:in / euren Datenschutzbeauftragten erstellt bzw. geprüft werden.