AVV - Auftragsverarbeitungsvertrag

AVV als PDF herunterladen (zur Unterschrift)

Stand: 02.03.2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:

Auftraggeber: Der Kunde (nachfolgend „Verantwortlicher")
Auftragnehmer: Portalix Management UG (haftungsbeschränkt), München (nachfolgend „Auftragsverarbeiter")

Der Auftragsverarbeiter betreibt den Dienst „Smoio" (smoio.com, smo.io), einen DSGVO-konformen Link-Shortener mit Analytics.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung des Link-Shortener-Dienstes „Smoio".

1.2 Dauer

Die Verarbeitung erfolgt für die Dauer der Vertragslaufzeit. Nach Beendigung des Vertrags werden die Daten gemäß § 10 gelöscht.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

Erstellung und Verwaltung von Kurzlinks
Erfassung und Auswertung von Klick-Statistiken
Geografische Zuordnung von Klicks (Land, nicht Stadt/Region)
Erkennung von Gerätetyp, Browser und Betriebssystem
Erfassung der Referrer-Domain (nicht der vollständigen URL)

Zweck: Bereitstellung von Analytics für den Verantwortlichen zur Auswertung der Reichweite seiner Links.

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

Datenkategorie	Verarbeitung	Speicherung
IP-Adresse	Temporär für GeoIP-Lookup	Wird NICHT gespeichert
Land (2-Zeichen-Code)	Abgeleitet aus IP	Gespeichert (z.B. "DE")
User-Agent	Parsing für Device/Browser/OS	Wird NICHT gespeichert
Gerätetyp	Abgeleitet aus User-Agent	Gespeichert (Mobile/Desktop/Tablet)
Browser	Abgeleitet aus User-Agent	Gespeichert (z.B. "Chrome")
Betriebssystem	Abgeleitet aus User-Agent	Gespeichert (z.B. "Windows")
Referrer	Nur Domain extrahiert	Gespeichert (z.B. "twitter.com")
Zeitstempel	Zeitpunkt des Klicks	Gespeichert

Wichtig: Es werden keine Cookies gesetzt und keine IP-Adressen gespeichert.

§ 4 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

Endnutzer, die vom Verantwortlichen erstellte Kurzlinks anklicken

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter gewährleistet folgende Maßnahmen gemäß Art. 32 DSGVO:

5.1 Vertraulichkeit

Zutrittskontrolle: Rechenzentrum mit physischer Zugangskontrolle
Zugangskontrolle: SSH-Key-Authentifizierung, keine Passwort-Logins
Zugriffskontrolle: Rollenbasierte Berechtigungen
Trennungskontrolle: Mandantentrennung auf Datenbankebene

5.2 Integrität

Weitergabekontrolle: TLS 1.3 Verschlüsselung für alle Verbindungen
Eingabekontrolle: Logging von administrativen Zugriffen

5.3 Verfügbarkeit

Tägliche Backups
Redundante Infrastruktur
DDoS-Schutz

5.4 Belastbarkeit

Automatische Skalierung bei Lastspitzen
Monitoring und Alerting

5.5 Datenschutz durch Technikgestaltung

Keine Cookies: Tracking erfolgt cookielos
Keine IP-Speicherung: IP wird nur temporär für GeoIP-Lookup verwendet
Datenminimierung: Nur notwendige Daten werden erfasst
Serverstandort Deutschland: Alle Daten verbleiben in der EU

§ 6 Unterauftragnehmer

Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein:

Unternehmen	Leistung	Standort
noez GmbH	Server-Hosting	Frankfurt am Main, Deutschland
MaxMind, Inc.	GeoIP-Datenbank (GeoLite2)	USA*
Mailgun Technologies, Inc.	E-Mail-Versand (Magic Links)	EU-Region

* MaxMind erhält keine personenbezogenen Daten. Die GeoIP-Datenbank wird lokal auf unseren Servern betrieben.

Der Verantwortliche stimmt dem Einsatz der genannten Unterauftragnehmer zu. Änderungen werden mindestens 30 Tage vor Inkrafttreten mitgeteilt.

§ 7 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
Mitarbeiter zur Vertraulichkeit zu verpflichten
Alle erforderlichen Sicherheitsmaßnahmen zu treffen
Unterauftragnehmer nur mit Genehmigung einzusetzen
Den Verantwortlichen bei Betroffenenanfragen zu unterstützen
Den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen
Nach Beendigung alle Daten zu löschen oder zurückzugeben
Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen

§ 8 Rechte des Verantwortlichen

Der Verantwortliche hat das Recht:

Weisungen zur Datenverarbeitung zu erteilen
Audits durchzuführen oder durch Dritte durchführen zu lassen (mit angemessener Vorankündigung)
Nachweise über die Einhaltung der TOMs anzufordern
Über Datenschutzverletzungen informiert zu werden

§ 9 Meldepflichten bei Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (spätestens innerhalb von 24 Stunden) über:

Jede Verletzung des Schutzes personenbezogener Daten
Jeden begründeten Verdacht auf eine solche Verletzung

Die Meldung enthält mindestens:

Beschreibung der Art der Verletzung
Kategorien und ungefähre Anzahl betroffener Personen
Wahrscheinliche Folgen
Ergriffene oder vorgeschlagene Maßnahmen

§ 10 Löschung und Rückgabe von Daten

Nach Beendigung des Vertrags wird der Auftragsverarbeiter:

Alle personenbezogenen Daten löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht
Auf Wunsch des Verantwortlichen die Daten vor Löschung exportieren und übergeben
Die Löschung schriftlich bestätigen

Die Löschung erfolgt spätestens 30 Tage nach Vertragsende.

§ 11 Schlussbestimmungen

11.1 Änderungen

Änderungen dieser AVV bedürfen der Schriftform.

11.2 Rangfolge

Bei Widersprüchen zwischen dieser AVV und anderen Vereinbarungen hat diese AVV Vorrang in Bezug auf den Datenschutz.

11.3 Anwendbares Recht

Es gilt deutsches Recht. Gerichtsstand ist München.

Unterschriften

Auftraggeber (Verantwortlicher)

Firma: _______________________

Name: _______________________

Datum: _______________________

Unterschrift: _______________________

Auftragnehmer (Auftragsverarbeiter)

Portalix Management UG (haftungsbeschränkt)

Name: Stefan Böck