Rechtliches

Auftragsverarbeitungsvertrag

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) · Stand: Mai 2026

Hinweis: Dieses Dokument ist ein Entwurf und enthält Platzhalter [PLATZHALTER]. Bitte durch die Rechtsabteilung prüfen lassen, bevor es in Kraft gesetzt wird.

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") wird zwischen dem Nutzer von Shortlink One (nachfolgend "Verantwortlicher") und der WOWING GmbH, Schwabenstraße 55, 73066 Uhingen (nachfolgend "Auftragsverarbeiter") geschlossen.

Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten gemäß den Bestimmungen dieses AVV und der DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung des SaaS-Dienstes "Shortlink One" (URL-Shortener, QR-Code-Management, Klick-Tracking, Kampagnenverwaltung).

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags über Shortlink One. Nach Vertragsende erfolgt die Verarbeitung nur noch, soweit gesetzliche Aufbewahrungspflichten bestehen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck:

der Bereitstellung und des Betriebs des URL-Shortener-Dienstes
der Erfassung und Auswertung von Klick-Statistiken für den Verantwortlichen
der Verwaltung von Nutzerkennungen und Zugriffsberechtigungen
der Abrechnung der gebuchten Leistungen
der Einhaltung gesetzlicher Pflichten (z. B. DSGVO-konforme Einwilligungsverwaltung)

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Kontaktdaten (Name, E-Mail-Adresse, Nutzername)
Authentifizierungsdaten (gehashtes Passwort)
Nutzungsdaten (Klick-Events, Zeitstempel, Land, Browser, Gerätekategorie)
IP-Adressen (ausschließlich gehasht gespeichert, nicht rückverfolgbar)
Zahlungs- und Abrechnungsdaten (werden an Stripe weitergeleitet)
Audit-Log-Daten (Aktionsprotokolle)

§ 4 Kategorien betroffener Personen

Nutzer (registrierte Konten des Verantwortlichen)
Endnutzer der Kurzlinks (Besucher, die auf vom Verantwortlichen erstellte Links klicken)
Teammitglieder des Verantwortlichen

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben;
alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen;
die Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters einzuhalten;
den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen zu unterstützen;
alle personenbezogenen Daten nach Abschluss der Verarbeitung zu löschen oder zurückzugeben;
dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der DSGVO nachzuweisen.

§ 6 Unterauftragnehmer (Sub-Auftragsverarbeiter)

Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein, denen der Verantwortliche mit Abschluss dieses AVV allgemein zustimmt:

Unternehmen	Zweck	Standort
Hetzner Online GmbH	Hosting, Infrastruktur	Deutschland (EU)
Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland (EU)
BunnyCDN	Video-CDN für Splash Pages	Slowenien (EU)

Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragnehmern rechtzeitig, um dem Verantwortlichen die Möglichkeit zu geben, Einspruch zu erheben.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen umgesetzt, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

Verschlüsselung

TLS 1.3 für alle Datenübertragungen; bcrypt (Kostenfaktor 12) für Passwörter; SHA-256-Hashing für IP-Adressen.

Zugriffskontrolle

Rollenbasiertes Zugriffskonzept; Zwei-Faktor-Authentifizierung verfügbar; Audit-Trail für sicherheitsrelevante Aktionen.

Datensicherung

Regelmäßige automatisierte Backups; Daten ausschließlich auf EU-Servern.

Vertraulichkeit

Mitarbeiter sind zur Vertraulichkeit verpflichtet; Need-to-know-Prinzip.

Verfügbarkeit

Redundante Infrastruktur; Monitoring und automatische Alarme.

§ 8 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und der DSGVO durch den Auftragsverarbeiter zu überprüfen. Kontrollen sind nach vorheriger schriftlicher Ankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten durchzuführen.

Der Auftragsverarbeiter kann Kontrollen durch Vorlage aktueller Zertifizierungen oder Prüfberichte anerkannter unabhängiger Prüfer ersetzen, soweit diese den Prüfgegenstand vollständig abdecken.

§ 9 Löschung und Rückgabe

Nach Beendigung des Vertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Auf Anfrage kann ein Export der Daten vor Löschung bereitgestellt werden.

Die Löschung erfolgt spätestens 90 Tage nach Vertragsende. Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.

§ 10 Meldepflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO festgelegten Pflichten (Datensicherheit, Meldepflichten bei Datenschutzverletzungen, Folgenabschätzung).

Datenpannenvorfälle werden dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, gemeldet.

§ 11 Schlussbestimmungen

Es gilt deutsches Recht. Dieser AVV ersetzt alle vorherigen Vereinbarungen zwischen den Parteien zum Thema Datenschutz. Mündliche Nebenabreden bestehen nicht.

Sollten Regelungen dieses AVV unwirksam sein, gilt die wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommt (salvatorische Klausel).

Rechtlicher Hinweis [PLATZHALTER]: Dieses Dokument ist ein Entwurf und dient ausschließlich als Vorlage. Es ist durch einen Rechtsanwalt oder die Rechtsabteilung zu prüfen und ggf. anzupassen, bevor es rechtsverbindlich eingesetzt wird.

Impressum · Datenschutz · AGB