Legal

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO · Stand März 2026

Auftragsverarbeiter

OBHOLZ SOLUTIONS
Stefan Obholz
Kurt-von-Unruh-Str. 6
93426 Roding
Deutschland
USt-IdNr.: DE340857286
E-Mail: info@obholz-solutions.de

1. Gegenstand und Dauer

Gegenstand dieses Auftragsverarbeitungsvertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Kunden (Auftraggeber) im Rahmen der vereinbarten Dienstleistungen. Diese umfassen insbesondere Softwareentwicklung, Hosting und Wartung.

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des zwischen den Parteien geschlossenen Hauptvertrags.

2. Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken:

• Entwicklung, Test und Betrieb von Software
• Hosting und Bereitstellung von Websites und Applikationen
• Datenverarbeitung nur soweit für die Leistungserbringung erforderlich

3. Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

• Kontaktdaten — Name, E-Mail-Adresse, Telefonnummer
• Nutzungsdaten — IP-Adressen, Browser-Daten
• Inhaltsdaten — vom Kunden bereitgestellte Texte, Bilder, Dateien
• Kundendaten des Auftraggebers — ggf. Endnutzer-Daten

4. Kreis der Betroffenen

Von der Datenverarbeitung können folgende Personengruppen betroffen sein:

• Mitarbeiter und Kunden des Auftraggebers
• Endnutzer der entwickelten Software
• Kontaktpersonen

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten.
• Die Vertraulichkeit zu gewährleisten. Alle eingesetzten Mitarbeiter und AI-Systeme unterliegen der Vertraulichkeitsverpflichtung.
• Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO umzusetzen (siehe Abschnitt 7).
• Den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen.
• Nach Vertragsende alle personenbezogenen Daten zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

6. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

• Cloudflare Inc. (San Francisco, USA) — CDN, DNS, Workers. Abgesichert durch das EU-US Data Privacy Framework.
• Supabase Inc. (San Francisco, USA) — Datenbank, Authentifizierung. Server-Standort Frankfurt (EU). EU-US Data Privacy Framework.
• Anthropic PBC (San Francisco, USA) — KI-Verarbeitung (Claude API). Keine dauerhafte Speicherung von Kundendaten. EU-US Data Privacy Framework.
• OpenAI LLC (San Francisco, USA) — KI-Bildgenerierung (API). Keine dauerhafte Speicherung. EU-US Data Privacy Framework.
• Resend Inc. (San Francisco, USA) — E-Mail-Versand.
• Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting (Agent Server).
• Black Forest Labs GmbH (Freiburg, Deutschland) — KI-Bildgenerierung (FLUX API).

Änderungen an der Liste der Unterauftragsverarbeiter werden dem Auftraggeber mitgeteilt. Der Auftraggeber hat ein Widerspruchsrecht innerhalb von 14 Tagen nach Mitteilung.

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

• Verschlüsselung: TLS/HTTPS für alle Datenübertragungen, AES-256 für Daten at rest (Supabase).
• Zutrittskontrolle: Token-basierte Authentifizierung, keine physischen Büroräume.
• Zugangskontrolle: API-Keys und Secrets in Cloudflare/Hetzner, kein Klartext.
• Zugriffskontrolle: Rollenbasiert (Admin, Agent, Kunde), Least-Privilege-Prinzip.
• Trennungskontrolle: Mandantenfähigkeit (tenant_id), separate Datenbanken pro Projekt.
• Verfügbarkeit: Cloudflare CDN (99,99 % SLA), tägliche Backups, NATS JetStream Persistence.
• Belastbarkeit: Auto-Scaling (Cloudflare Workers), Rate Limiting.
• Wiederherstellbarkeit: Tägliche Supabase-Backups, R2 Object Storage mit Versionierung.

8. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht auf Auskunft, Inspektion und Audit. Der Auftragsverarbeiter stellt alle notwendigen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen.

9. Meldepflicht bei Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO.

10. Laufzeit und Kündigung

Dieser Auftragsverarbeitungsvertrag gilt für die Dauer des Hauptvertrags. Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Verlangen des Auftraggebers erfolgt die Rückgabe der Daten in einem gängigen Format.