Hans Stellmacher
Online-Marketing und Funnel-Experte
Hans Stellmacher
Online-Marketing und Funnel-Experte
Diese Vereinbarung über die Auftragsverarbeitung ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) von
Hans Peter Stellmacher
Lothar-Bucher-Str. 23 A
12157 Berlin
E-Mail: info@stellmacher-marketing.de
(nachfolgend „Auftragnehmer“ genannt).
Die Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des jeweiligen Vertragspartners (nachfolgend „Auftraggeber“ genannt) im Sinne von Art. 4 Nr. 7 DSGVO. Sie gilt ergänzend zu den im Einzelvertrag (z. B. Coaching-Vereinbarung, Agenturvertrag, Projektauftrag) individuell vereinbarten Leistungen.
Die Identität des Auftraggebers ergibt sich aus dem jeweiligen Einzelvertrag. Eine namentliche Nennung im Rahmen dieser AVV erfolgt nicht.
Diese AVV gilt in ihrer jeweils gültigen Fassung und ist Bestandteil aller Verträge, bei denen eine Auftragsverarbeitung gemäß Art. 28 DSGVO erfolgt.
Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Beauftragung für Webseitenerstellung, Online-Marketing-Beratung, Einrichtung von Formularen, Mitgliederbereichen, E-Mail-Marketing-Tools und vergleichbare Dienstleistungen.
Die Dauer richtet sich nach dem Hauptvertrag zwischen den Parteien. Eine Verarbeitung findet nur so lange statt, wie dies zur Erfüllung der vertraglich vereinbarten Leistungen notwendig ist.
Die Verarbeitung umfasst folgende Tätigkeiten:
• Einrichtung und Pflege von Webseiten und Formularen
• Einrichtung und Support von E-Mail-Marketing- und Automatisierungstools
• Zugang zu und Konfiguration von Mitgliederbereichen
• Technische Unterstützung und Umsetzung im Bereich Funnelaufbau, Kalendersysteme, CRM, Video-Tools
• Nutzung und Zugang zu Hosting-, Cloud-, Analyse- und Kommunikationstools
Zweck der Verarbeitung ist die Unterstützung des Auftraggebers bei der digitalen Sichtbarkeit, der technischen Umsetzung seines Online-Angebots sowie der strukturierten Verarbeitung von personenbezogenen Daten durch Drittsysteme im Auftrag des Auftraggebers.
Kategorien betroffener Personen:
• Kunden und Interessenten des Auftraggebers
• Mitglieder von Mitgliederbereichen
• Teilnehmer von Formularen und E-Mail-Kampagnen
• Webseitenbesucher
Kategorien verarbeiteter Daten:
• Namen, Adressen, E-Mail-Adressen, Telefonnummern
• Formularinhalte (Texteingaben, Auswahlfelder etc.)
• Nutzungsdaten (z. B. IP-Adressen, Zeitstempel, Meta-Daten)
• Mitgliederinformationen und Kundenhistorien
• Kommunikationsinhalte
• Tracking- und Analysedaten
a) Der Auftraggeber ist für die Datenverarbeitung verantwortlich und erteilt dem Auftragnehmer Weisungen. Der Auftragnehmer verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers. Bei rechtswidrigen Weisungen informiert der Auftragnehmer den Auftraggeber unverzüglich.
b) Der Auftragnehmer ist nicht verpflichtet, den Inhalt der Weisung auf rechtliche Zulässigkeit zu prüfen – dies obliegt dem Auftraggeber.
Der Auftragnehmer verpflichtet sich zur Vertraulichkeit, zur Einhaltung angemessener technischer und organisatorischer Maßnahmen (TOMs), zur Unterstützung des Auftraggebers bei Betroffenenrechten und bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO.
Der Auftraggeber ist verantwortlich für die Rechtmäßigkeit der Verarbeitung, die Wahrung der Betroffenenrechte und die Erfüllung seiner Informationspflichten.
Eine Beauftragung von Unterauftragnehmern bedarf der Zustimmung des Auftraggebers. Eine Liste aktueller Unterauftragnehmer ist in Anlage 3 enthalten.
Die vom Auftragnehmer getroffenen TOMs gemäß Art. 32 DSGVO sind in Anlage 4 dokumentiert.
Der Auftraggeber ist berechtigt, die Einhaltung der getroffenen Vereinbarungen zu kontrollieren. Der Auftragnehmer verpflichtet sich, auf Anforderung entsprechende Nachweise zu erbringen.
a) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO.
b) Im Innenverhältnis haften die Parteien einander nur für Schäden, die durch eine schuldhafte Verletzung der ihnen in dieser Vereinbarung zugewiesenen Pflichten entstehen. Die Pflicht zur Schadensersatzleistung im Außenverhältnis gemäß Art. 82 DSGVO bleibt hiervon unberührt.
c) Der Auftragnehmer haftet nicht für Schäden, die darauf beruhen,
• dass der Auftraggeber unzutreffende, unvollständige oder verspätete Weisungen erteilt hat,
• dass der Auftraggeber seiner Pflicht zur Prüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung nicht nachgekommen ist,
• dass der Auftraggeber eigenständig Einstellungen oder Datenverarbeitungen vornimmt, die zu Datenverlust oder -verletzungen führen,
• oder die durch eine vom Auftraggeber zu vertretende Fehlbedienung, mangelnde Mitwirkung oder unsachgemäße Nutzung der Systeme entstehen.
d) Eine Haftung für entgangenen Gewinn, indirekte Schäden oder Folgeschäden ist ausgeschlossen, es sei denn, sie beruhen auf Vorsatz oder grober Fahrlässigkeit.
Dieser Vertrag gilt für die Dauer des Hauptvertrags. Nach dessen Beendigung hat der Auftragnehmer sämtliche personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben.
Der Anbieter kann diese Auftragsverarbeitungsvereinbarung (AVV) mit einer Frist von vier Wochen in Textform (z. B. per E-Mail) ändern oder ergänzen. Der Auftraggeber wird über Änderungen rechtzeitig informiert.
Die Änderungen gelten als genehmigt, wenn der Auftraggeber nicht innerhalb der genannten Frist in Textform widerspricht. Im Falle eines fristgerechten Widerspruchs gilt die bisherige AVV weiter.
Der Anbieter behält sich in diesem Fall das Recht vor, das zugrundeliegende Vertragsverhältnis mit einer Frist von vier Wochen ordentlich zu kündigen, sofern die Fortführung unter den bisherigen Bedingungen nicht mehr zumutbar ist.
Änderungen gelten nur für künftige Verarbeitungstätigkeiten und berühren nicht rückwirkend abgeschlossene Vorgänge.
Sollte eine Bestimmung dieser Auftragsverarbeitungsvereinbarung (AVV) ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Anstelle der unwirksamen Bestimmung gilt eine Regelung als vereinbart, die dem wirtschaftlich Gewollten in rechtlich zulässiger Weise am nächsten kommt.
Anlage 1: Beschreibung der Verarbeitungstätigkeiten
Anlage 2: Weisungsberechtigte Personen
Anlage 3: Unterauftragnehmer
Anlage 4: Technische und organisatorische Maßnahmen (TOMs)
Diese Anlage enthält die jeweils zum Empfang und zur Erteilung von Weisungen berechtigten Personen gemäß § 2 Abs. 2 und § 4 Abs. 3 der Vereinbarung über die Auftragsverarbeitung.
Weisungsberechtigte Personen des Auftragnehmers:
Name: Hans Peter Stellmacher
Telefon: 0176 51008782
E-Mail: info@stellmacher-marketing.de
Weisungsberechtigte Personen des Auftraggebers:
Der Auftraggeber im Sinne dieser Vereinbarung ist der jeweilige Vertragspartner gemäß dem geschlossenen Einzelvertrag.
Die namentliche Benennung weiterer weisungsberechtigter Personen erfolgt projektbezogen im jeweiligen Einzelvertrag oder auf schriftliche Mitteilung.
Diese Anlage enthält eine Übersicht über die eingesetzten Unterauftragnehmer, Plattformen und Softwaretools, die im Rahmen der Auftragsverarbeitung genutzt werden. Soweit verfügbar, wurde eine Vereinbarung zur Auftragsverarbeitung (AVV) abgeschlossen.
*) Diese Tools werden nur eingesetzt, wenn keine personenbezogenen Daten betroffen sind oder mit vorheriger Zustimmung des Auftraggebers. Bei sensiblen Bildinhalten erfolgt keine Verarbeitung über Drittplattformen ohne AVV oder gesonderte Freigabe.
Bei außereuropäischen Dienstleistern erfolgt der Einsatz nur auf Grundlage gültiger Standardvertragsklauseln (SCCs) gem. Art. 46 DSGVO.
Diese Liste umfasst die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragnehmer (Tools und Plattformen).
Bei Neuaufnahme oder Austausch eines Tools, das personenbezogene Daten verarbeitet, informiert der Auftragnehmer den Auftraggeber vorab, sofern eine datenschutzrechtlich relevante Änderung vorliegt. Eine aktualisierte Liste kann jederzeit auf Anfrage zur Verfügung gestellt werden.
Bei wesentlichen Änderungen der eingesetzten Unterauftragnehmer wird der Auftraggeber rechtzeitig informiert.
Diese Anlage beschreibt die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, die Hans Peter Stellmacher zur Sicherung der personenbezogenen Daten bei der Auftragsverarbeitung umgesetzt hat.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
• Der Arbeitsplatz befindet sich in einem privaten Wohnraum, der nicht öffentlich zugänglich ist.
• Zutritt zur Wohnung erfolgt ausschließlich durch den Inhaber.
• Technische Geräte (Computer, Laptop, externer Speicher etc.) werden außerhalb der Arbeitszeiten in der Wohnung sicher aufbewahrt.
1.2 Zugangskontrolle
• Der Zugang zum Arbeitsrechner erfolgt über ein persönliches Benutzerkonto mit sicherem Passwort.
• Die verwendeten Passwörter erfüllen gängige Sicherheitsstandards (Länge, Zeichenvielfalt).
• Soweit von Drittanbietern unterstützt, wird eine Zwei-Faktor-Authentifizierung aktiviert (z. B. bei E-Mail- oder Cloud-Diensten).
• Automatische Bildschirmsperre bei Inaktivität ist aktiviert.
1.3 Zugriffskontrolle
• Zugriffe auf Systeme und Daten erfolgen ausschließlich durch den Inhaber. Es bestehen keine weiteren Nutzerkonten.
• Zugriff auf personenbezogene Daten erfolgt ausschließlich im Rahmen der jeweiligen Auftragsbearbeitung.
• Externe Zugriffsversuche (z. B. über Fernzugriff oder unsichere Netzwerke) sind technisch ausgeschlossen.
• Die Datenhaltung erfolgt getrennt nach Projekten und Kunden.
1.4 Trennungskontrolle
• Trennung von Daten nach Kundenprojekten über getrennte Projektstrukturen (z. B. in Ordnern, Arbeitsbereichen oder getrennten Accounts).
• Keine gemeinsame Datenhaltung ohne explizite Zustimmung des Auftraggebers.
1.5 Pseudonymisierung und Verschlüsselung
• Verschlüsselte Datenübertragungen (z. B. SSL/TLS) bei Webzugriffen und Datenaustausch.
• Soweit möglich, Verarbeitung pseudonymisierter Daten.
• Schutz sensibler Daten durch verschlüsselte Speicherung (z. B. Google Drive mit Zugriffskontrolle).
1.6 Mobiles Arbeiten / Heimarbeitsplätze
• Gerätezugang ausschließlich über persönliche, geschützte Benutzerkonten.
• Kein Arbeiten in öffentlichen WLAN-Netzen; ausschließlich gesicherte Heimnetzwerke.
• Zugang zu datenschutzrelevanten Anwendungen nur über gesicherte, verschlüsselte Verbindungen.
• Arbeitsgeräte sind mit aktueller Antivirensoftware und Firewall geschützt.
• Mobile Endgeräte werden bei Verlassen des Arbeitsplatzes gesperrt und sind vor Diebstahl gesichert.
• Bildschirmarbeitsplätze sind so eingerichtet, dass keine Einsicht durch Dritte möglich ist.
• Im Falle des Verlusts oder Diebstahls eines mobilen Endgeräts bestehen Maßnahmen zur Fernsperrung oder zur schnellen Zugriffssperre. Lokale Daten werden nur gespeichert, wenn dies technisch notwendig ist.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
• Weitergabe personenbezogener Daten nur auf Weisung des Auftraggebers.
• Übertragung erfolgt verschlüsselt (z. B. über HTTPS, gesicherte Cloud-Verbindungen).
• Externe Speicherorte werden dokumentiert.
2.2 Eingabekontrolle
• Nachvollziehbarkeit von Eingaben über Protokollfunktionen und Versionsverläufe.
• Zugriffskontrolle zur Sicherstellung, dass nur autorisierte Personen Eingaben vornehmen.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
3.1 Verfügbarkeitskontrolle
• Regelmäßige Backups aller relevanten Daten (automatisch über Cloudanbieter, z. B. Google Drive).
• Einsatz aktueller Antivirenlösungen, Firewalls und Systemaktualisierungen.
• Die eingesetzten Cloudanbieter verfügen über zertifizierte Backup- und Notfallwiederherstellungsverfahren. Die Verantwortlichkeit für die Wiederherstellung liegt beim Auftragnehmer, sofern lokal initiiert.
3.2 Wiederherstellbarkeit
• Wiederherstellungstests werden stichprobenartig durchgeführt, sofern technisch relevant.
• Schnell verfügbare Sicherungskopien ermöglichen Wiederherstellung bei technischen Störungen.
3.3 Belastbarkeit
• Nutzung professioneller Plattformen mit hoher Ausfallsicherheit (z. B. systeme.io, KlickTipp, Zoom).
• Redundanz der wichtigsten Tools durch Nutzung mehrerer Anbieter, falls nötig.
4. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)
• Grundsatz der Datensparsamkeit: Es werden nur solche Daten erhoben und verarbeitet, die zur Erfüllung des Zwecks notwendig sind.
• Standardmäßig sind alle Online-Formulare DSGVO-konform eingerichtet (inkl. Checkboxen, Double-Opt-in, SSL-Verschlüsselung).
5. Auftragskontrolle
• Abschluss von AV-Vereinbarungen mit Unterauftragnehmern, soweit möglich.
• Externe Dienstleister erhalten keinen Zugriff auf personenbezogene Daten ohne AVV.
6. Schulung und Sensibilisierung
• Der Auftragnehmer ist verpflichtet, vertrauliche Daten zu schützen und Dritten gegenüber geheim zu halten.
• Bei Teamarbeit: Mitarbeitende oder projektbezogene freie Mitarbeiter werden auf Datenschutz, Vertraulichkeit und Datensicherheit schriftlich verpflichtet.
• Regelmäßige Sensibilisierung und praktische Hinweise im Arbeitsalltag.
Stand: 01. Mai 2025
Diese AVV gilt ab dem oben genannten Datum und ersetzt alle vorherigen Versionen.
Sichere Dir das E-Book
„Die 5 wichtigsten Elemente verkaufsstarker Landingpages“
für 0,- Euro
Bitte bestätige anschließend Deine E-Mailadresse!