Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 Abs. 3 DSGVO zwischen dem Website-Betreiber (Verantwortlicher) und dem Betreiber von Sveov Forms (Auftragsverarbeiter).
§ 1 Gegenstand und Dauer
Der Auftragsverarbeiter betreibt für den Verantwortlichen ein Formular-Backend (Empfang, Speicherung, Weiterleitung von Formulardaten). Der Vertrag gilt für die Dauer der Kontonutzung und endet mit der Löschung des Kontos.
§ 2 Art und Zweck der Verarbeitung
Empfang von Formular-Einsendungen über HTTPS, Speicherung in einer Datenbank, E-Mail-Benachrichtigung, optionale Weiterleitung per Webhook, Bereitstellung eines Verwaltungs-Dashboards inklusive Export- und Löschfunktionen.
§ 3 Kategorien betroffener Personen und Daten
- Betroffene: Personen, die Formulare auf den Websites des Verantwortlichen absenden.
- Daten: die im Formular eingegebenen Inhalte (typisch: Name, Kontaktdaten, Nachricht), optionale Datei-Anhänge, Referrer/UTM, optional (anonymisierte) IP-Adresse und Browser-Kennung.
§ 4 Pflichten des Auftragsverarbeiters
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (die Konfiguration im Dashboard gilt als Weisung).
- Vertraulichkeit: Zugriff nur für verpflichtete Personen.
- Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage TOM).
- Unterstützung bei Betroffenenrechten (eingebaute Export-/Löschwerkzeuge).
- Meldung von Datenschutzverletzungen ohne unangemessene Verzögerung.
- Löschung aller Daten nach Vertragsende (Konto-Löschung entfernt alle Daten unmittelbar und endgültig).
§ 5 Unterauftragsverarbeiter
Eingesetzt werden: [Hosting-Anbieter, Standort Deutschland] (Server-Betrieb) und [SMTP-Anbieter] (E-Mail-Versand). Änderungen werden dem Verantwortlichen vorab mitgeteilt (Widerspruchsrecht).
§ 6 Verarbeitungsort
Die Verarbeitung findet ausschließlich auf Servern in Deutschland statt. Eine Übermittlung in Drittländer erfolgt nicht – außer der Verantwortliche aktiviert selbst Dienste von Drittanbietern (z. B. Google reCAPTCHA, eigene Webhook-Ziele); hierfür ist der Verantwortliche selbst verantwortlich.
Anlage: Technische und organisatorische Maßnahmen (TOM)
- Transportverschlüsselung (TLS) für alle Verbindungen, HSTS
- Passwort-Hashing (bcrypt), Verschlüsselung von Secrets (AES-256-GCM)
- Zwei-Faktor-Authentifizierung für Konten verfügbar
- Rollen-/Rechtekonzept (Besitzer / Mitarbeiter), Session-Verwaltung mit Ablauf
- Rate-Limiting, CSRF-Schutz, Input-Sanitisierung, Security-Header (CSP u. a.)
- Datenminimierung: IP-Speicherung standardmäßig aus, Anonymisierung, konfigurierbare Aufbewahrungsfristen mit automatischer Löschung
- Tägliche Backups mit begrenzter Aufbewahrung; Protokollierung von E-Mail-Versand und Webhook-Zustellungen
- Serverzugang nur per SSH-Key, Firewall auf notwendige Ports beschränkt