Zurück

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird geschlossen zwischen dem Nutzer von Notava (nachfolgend "Verantwortlicher") und:

Marketing Möllers
Sascha Möllers
Birkenweg 1
34508 Usseln
Deutschland
E-Mail: hello@marketing-moellers.de

(nachfolgend "Auftragsverarbeiter")

1. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung des SaaS-Dienstes Notava (Annotations- und Feedback-Tool für Websites und PDFs).

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Benutzerkonten (Name, E-Mail-Adresse)
  • Speicherung von Annotationen, Kommentaren und Feedback-Daten
  • Speicherung hochgeladener Dateien (Screenshots, PDFs)
  • Verarbeitung von Zahlungsdaten zur Abonnementverwaltung
  • Versand transaktionaler E-Mails (Bestätigungen, Benachrichtigungen)
  • Analyse der Nutzung zur Verbesserung des Dienstes (anonymisiert)

3. Art der personenbezogenen Daten

  • Stammdaten (Name, E-Mail-Adresse)
  • Nutzungsdaten (Annotationen, Kommentare, hochgeladene Dateien)
  • Zahlungsdaten (werden durch Stripe verarbeitet, nicht direkt gespeichert)
  • Technische Daten (IP-Adresse, Browser-Informationen, Zeitstempel)

4. Kategorien betroffener Personen

  • Registrierte Nutzer des Verantwortlichen
  • Teammitglieder und eingeladene Gäste
  • Personen, deren Daten in Annotationen oder hochgeladenen Dokumenten enthalten sein können

5. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter gewährleistet folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit

  • Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Verschlüsselte Datenspeicherung in der Datenbank
  • Zugriffskontrolle durch Authentifizierung und rollenbasierte Berechtigungen
  • Passwörter werden ausschließlich als Hashwerte gespeichert (bcrypt)

Integrität

  • Eingabevalidierung und Schutz vor SQL-Injection und XSS
  • Regelmäßige Software-Updates und Sicherheitspatches
  • Protokollierung sicherheitsrelevanter Zugriffe

Verfügbarkeit und Belastbarkeit

  • Hosting auf professioneller Cloud-Infrastruktur in Frankfurt am Main (EU) mit Redundanz
  • Regelmäßige automatisierte Backups der Datenbank
  • Monitoring und Alerting bei Ausfällen

Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen
  • Incident-Response-Prozess bei Datenschutzvorfällen

6. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu:

AnbieterStandortZweck
Render.com (Render Services, Inc.)Deutschland (Frankfurt am Main, EU)Hosting der Anwendung und Datenbank
ALL-INKL.COM (Neue Medien Münnich)DeutschlandE-Mail-Versand (transaktionale E-Mails)
Stripe, Inc. *USAZahlungsabwicklung und Abonnementverwaltung
Google LLC *USAWeb-Analyse (Google Analytics, anonymisiert)

* Standardvertragsklauseln (SCCs) gemäß EU-Kommission

Anwendung und Datenbank werden auf Servern in Frankfurt am Main (EU) betrieben. Für die mit * gekennzeichneten Unterauftragsverarbeiter mit Sitz in den USA gelten die EU-Standardvertragsklauseln (SCCs) sowie ggf. zusätzliche Schutzmaßnahmen gemäß Art. 46 DSGVO. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.

7. Pflichten des Auftragsverarbeiters

  • Verarbeitung der Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen
  • Gewährleistung, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben
  • Ergreifung aller gemäß Art. 32 DSGVO erforderlichen Maßnahmen
  • Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten
  • Unterstützung bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung der Verarbeitung
  • Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten

8. Rechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten zu überprüfen. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.

Überprüfungen können nach vorheriger Ankündigung mit angemessener Frist durchgeführt werden und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.

9. Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann vor Beendigung die Herausgabe seiner Daten in einem gängigen Format verlangen.

Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsbeendigung. Eine Bestätigung der Löschung wird auf Anfrage bereitgestellt.

10. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

11. Kontakt für Datenschutzanfragen

Bei Fragen zum Datenschutz oder zu diesem AVV wenden Sie sich bitte an:

Marketing Möllers
Sascha Möllers
Birkenweg 1
34508 Usseln
E-Mail: hello@marketing-moellers.de

Stand: März 2026