Vereinbarung zur Auftragsverarbeitung (AVV)
Nach Art. 28 Abs. 3 DSGVO, als Anlage zu den AGB der Halfbit GmbH.
Stand: 16.07.2026
Präambel
Diese Vereinbarung („AVV") regelt die Auftragsverarbeitung gemäß Art. 28 DSGVO im Zusammenhang mit dem Hosting der vom Auftraggeber mit dem Online-Dienst Zackwerk erstellten und veröffentlichten Website (nachfolgend „Website"). Sie konkretisiert die sich aus dem Nutzungsvertrag (nachfolgend „Hauptvertrag", siehe AGB) ergebenden Pflichten zum Schutz personenbezogener Daten von Besuchern der Website.
Der AVV gilt als Bestandteil des Hauptvertrags; er wird durch Abschluss des Hauptvertrags wirksam, ohne dass es einer gesonderten Unterschrift bedarf. Soweit Erklärungen „schriftlich" zu erfolgen haben, genügt die Textform (§ 126b BGB); eine E-Mail reicht aus.
Auftragnehmerin:
Halfbit GmbH
Am Klumbengarten 2
68239 Mannheim
Deutschland
Auftraggeber ist diejenige Vertragspartnerin, die den Online-Dienst zur Veröffentlichung einer Website nutzt.
1. Gegenstand und Dauer
(1) Gegenstand ist die Erbringung von Hosting-Leistungen für die Website des Auftraggebers, insbesondere das Ausliefern der Website an deren Besucher.
(2) Die Dauer richtet sich nach der tatsächlichen Verarbeitung im Rahmen des Hauptvertrags. Der AVV endet mit dem Ende des Hauptvertrags; für eine darüber hinausgehende Verarbeitung gelten seine Regelungen bis zum tatsächlichen Ende der Verarbeitung fort.
2. Art, Zweck, Daten und Betroffene
(1) Art der Verarbeitung: das Ausliefern der statischen Website sowie die damit verbundene Protokollierung von Zugriffsdaten.
(2) Zweck: Bereitstellung der Website, IT-Sicherheit und Stabilität (Erkennung, Eingrenzung und Abwehr von Störungen und Angriffen) sowie Erstellung aggregierter, nicht personenbezogener Zugriffsstatistiken zum Betrieb und zur Verbesserung der Hosting-Infrastruktur.
(3) Art der personenbezogenen Daten: technische Verbindungsdaten der Besucher, insbesondere IP-Adresse (zur Erstellung aggregierter Statistiken für höchstens 7 Tage gespeichert und danach gelöscht), Zeitpunkt, angeforderte Datei sowie Browser- und Betriebssysteminformationen.
(4) Kategorien betroffener Personen: Besucher der Website.
(5) Die Einzelheiten der Datenverarbeitung beim Hosting ergeben sich aus den ergänzenden Datenschutzinformationen zum Hosting.
3. Verantwortlichkeit und Weisungen
(1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung und für die Einhaltung der Datenschutzgesetze verantwortlich („Verantwortlicher", Art. 4 Nr. 7 DSGVO), insbesondere im Hinblick auf die von ihm erstellten und veröffentlichten Inhalte.
(2) Die Auftragnehmerin verarbeitet Daten der Besucher ausschließlich nach den durch den Hauptvertrag festgelegten Weisungen. Eine Einzelfall-Weisung bedarf der Textform.
(3) Verarbeitungen, die die Auftragnehmerin im eigenen Verantwortungsbereich und für eigene Zwecke vornimmt — insbesondere Maßnahmen der IT-Sicherheit und der Abwehr von Angriffen auf ihre Systeme — unterliegen nicht diesem AVV; insoweit ist die Auftragnehmerin selbst Verantwortliche.
(4) Die Verarbeitung findet in der Europäischen Union oder dem EWR statt. Eine Übermittlung in Drittländer erfolgt nicht.
4. Vertraulichkeit
Die Auftragnehmerin gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Pflicht besteht auch nach Beendigung fort.
5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Die Auftragnehmerin hält geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO vor. Die jeweils aktuellen Maßnahmen sind unter Technische und organisatorische Maßnahmen (TOM) einsehbar; sie sind nicht Bestandteil dieses AVV. Das Schutzniveau wird nicht unterschritten.
6. Unterauftragnehmer (weitere Auftragsverarbeiter)
(1) Der Auftraggeber erteilt die allgemeine Genehmigung, weitere Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO) einzusetzen.
(2) Eingesetzt werden: Hetzner Online GmbH, Deutschland (physisches Hosting, Serverinfrastruktur). Für Domainregistrierung und DNS wird zudem die goneo Internet GmbH, Deutschland, eingesetzt; goneo verarbeitet im Rahmen dieses Auftrags keine personenbezogenen Daten von Besuchern.
(3) Die Auftragnehmerin überträgt ihre Pflichten aus diesem AVV auf weitere Auftragsverarbeiter durch entsprechende Verträge und wählt diese so aus, dass das Schutzniveau gewahrt bleibt.
(4) Die Auftragnehmerin informiert den Auftraggeber über beabsichtigte Änderungen bei Unterauftragnehmern. Der Auftraggeber kann aus sachlichen Gründen innerhalb von zwei Wochen widersprechen.
7. Unterstützung bei Rechten betroffener Personen
Die Auftragnehmerin leitet Auskunftsersuchen von Besuchern, die die verarbeiteten Daten betreffen, unverzüglich an den Auftraggeber weiter und unterstützt ihn nach Möglichkeit bei der Beantwortung. Beantwortet wird das Ersuchen durch den Auftraggeber.
8. Verletzung des Schutzes personenbezogener Daten
Die Auftragnehmerin unterrichtet den Auftraggeber unverzüglich, wenn ihr eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Auftraggebers betreffen, und trifft geeignete Maßnahmen zur Sicherung der Daten. Sie unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten (Art. 33, 34 DSGVO), soweit ihr Informationen hierzu vorliegen.
9. Löschung und Rückgabe
Nach Ende der Erbringung der Leistungen löscht die Auftragnehmerin die im Rahmen dieses Auftrags verarbeiteten personenbezogenen Daten, sobald sie nicht mehr zur Leistungserbringung erforderlich sind, es sei denn, gesetzliche Aufbewahrungspflichten bestehen. Eine Rückgabe erfolgt nicht; im Zweifel gilt die Löschung als vereinbart.
10. Schlussbestimmungen
(1) Dieser AVV ist Bestandteil der AGB. Bei Widersprüchen geht er den Regelungen des Hauptvertrags vor.
(2) Die Auftragnehmerin darf diesen AVV bei wesentlichen rechtlichen Änderungen mit angemessener Frist anpassen; der Auftraggeber kann innerhalb der Frist widersprechen.
(3) Es gilt deutsches Recht. Gerichtsstand ist Mannheim.
(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.