Termin buchen
Rechtliches

Auftragsverarbeitung (AVV) – Kundenpaket

Kunden-AVV nach Art. 28 DSGVO inkl. TOM und Unterauftragsverarbeiterliste.

Fassung: VQ-AVVP-2026-06-v3Stand: Juni 2026 · vorteq.ai/avv

Dieses AVV-Paket regelt die Verarbeitung personenbezogener Daten, wenn VorteqSystems im Auftrag des Kunden Kontakt-/Lead-Anfragen der Kundenwebsite verarbeitet. Es ist die kundenfähige Kombifassung aus dem Kunden-AVV nach Art. 28 DSGVO und drei Anlagen.

Rollen

Bei Kontaktanfragen über die Kundenwebsite ist der Kunde Verantwortlicher. Philipp Steglich, handelnd unter der Geschäftsbezeichnung „VorteqSystems“, Elisabethstraße 34c, 86167 Augsburg, wird als Auftragsverarbeiter tätig und verarbeitet die Anfragen ausschließlich auf dokumentierte Weisung des Kunden.

Bestandteile des Pakets

  • Kunden-AVV nach Art. 28 DSGVO
  • Anlage 1 – Beschreibung der Verarbeitung
  • Anlage 2 – Technische und organisatorische Maßnahmen (TOM)
  • Anlage 3 – Unterauftragsverarbeiter

Was das praktisch bedeutet

Geht über die Kundenwebsite eine Anfrage ein, ist der Kunde als Betrieb Verantwortlicher. VorteqSystems verarbeitet die Anfrage ausschließlich im Auftrag des Kunden, um sie technisch per E-Mail an den Kunden weiterzuleiten und den Kunden über neue Anfragen zu benachrichtigen (per E-Mail sowie – sofern für den Kunden aktiviert – per SMS-Hinweis ohne Anfrage-Inhalte).

Lead-Inhalte werden nicht für eigene Analysen, CRM, KI-Training, Statistik oder Marketing genutzt. Erfolgreich zugestellte Lead-Inhalte werden möglichst sofort gelöscht; technische Fehlerqueues mit Lead-Inhalten spätestens nach 7 Kalendertagen. Eine persistente Lead-Datenbank besteht nicht.

Die Website läuft auf Hetzner-Servern in Deutschland/EU; die E-Mail-Zustellung erfolgt über Google Workspace (Google Ireland Limited). Der Zugriff durch VorteqSystems erfolgt aus Deutschland.

Wesentliche Pflichten von VorteqSystems (Art. 28 Abs. 3 DSGVO)

VorteqSystems verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Kunden, sofern nicht eine gesetzliche Verpflichtung etwas anderes vorschreibt.

VorteqSystems verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit und ergreift die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage 2).

Unterauftragsverarbeiter werden nur nach Maßgabe von Art. 28 Abs. 2 und 4 DSGVO eingesetzt (Anlage 3) und auf ein gleichwertiges Datenschutzniveau verpflichtet. Über beabsichtigte Änderungen informiert VorteqSystems den Kunden vorab; der Kunde kann einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.

VorteqSystems unterstützt den Kunden mit geeigneten Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO) sowie bei den Pflichten nach Art. 32 bis 36 DSGVO und stellt dem Kunden die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung.

Nach Abschluss der Verarbeitung löscht VorteqSystems die personenbezogenen Daten oder gibt sie nach Wahl des Kunden zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Verbindliche Annahme im Checkout

Mit der Beauftragung akzeptiert der Kunde den Kunden-AVV nach Art. 28 DSGVO einschließlich der technischen und organisatorischen Maßnahmen (Anlage 2) und der Unterauftragsverarbeiterliste (Anlage 3) in der Fassung VQ-AVVP-2026-06-v3. Dem Kunden ist bekannt, dass sein Unternehmen bei Kontaktanfragen über die Kundenwebsite Verantwortlicher ist und VorteqSystems als Auftragsverarbeiter tätig wird.

Anlage 1 – Beschreibung der Verarbeitung

Gegenstand und Zweck: Empfang und technische Weiterleitung der über die Kundenwebsite eingehenden Kontakt-/Lead-Anfragen an den Kunden sowie Benachrichtigung des Kunden über neue Anfragen (per E-Mail, optional per SMS-Hinweis).

Art der Verarbeitung: Erheben über das Webformular, kurzzeitiges Speichern für die Dauer der Zustellung, Übermitteln per E-Mail – sofern für den Kunden aktiviert, ergänzt um einen SMS-Hinweis an den Kunden ohne Anfrage-Inhalte – und anschließendes Löschen.

Keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO.

Ort der Verarbeitung: Server in Deutschland/EU (Hetzner); E-Mail-Zustellung über Google Workspace (Google Ireland Limited); SMS-Hinweise – sofern aktiviert – über seven communications GmbH & Co. KG (Deutschland); Zugriff durch VorteqSystems aus Deutschland.

  • Kategorien betroffener Personen: Interessenten und Endkunden des Kunden, die über die Kundenwebsite eine Anfrage stellen.
  • Kategorien personenbezogener Daten: Name, Telefonnummer, E-Mail-Adresse sowie der vom Anfragenden eingegebene Freitext der Anfrage.
  • Dauer/Löschung: erfolgreich zugestellte Lead-Inhalte möglichst sofort, technische Fehlerqueues mit Lead-Inhalten spätestens nach 7 Kalendertagen; keine persistente Lead-Datenbank.
  • Weisungsbindung: Verarbeitung ausschließlich auf dokumentierte Weisung des Kunden; keine Nutzung für eigene Zwecke.

Anlage 2 – Technische und organisatorische Maßnahmen (TOM)

VorteqSystems trifft die folgenden Maßnahmen nach Art. 32 DSGVO. Sie werden jährlich sowie bei jeder Änderung an Funnel, Hosting oder Dienstleistern überprüft.

  • Zutrittskontrolle: Verarbeitung im Hetzner-Rechenzentrum in Deutschland (Falkenstein/Nürnberg), TÜV-Rheinland-auditiert; eigener Arbeitsplatz ohne Publikumsverkehr.
  • Zugangskontrolle: Zwei-Faktor-Authentifizierung am Hosting-Login; starke Einzelpasswörter; ausschließlich verschlüsselte Administrationsverbindungen (SSH/HTTPS).
  • Zugriffskontrolle: genau eine zugriffsberechtigte Person; keine Lead-Datenbank; eingehende Anfragen ausschließlich im E-Mail-Postfach.
  • Weitergabe-/Transportkontrolle: durchgängige TLS-/HTTPS-Verschlüsselung; E-Mail- und SMS-Versand über TLS-gesicherte Anbieterschnittstellen; kein Versand physischer Datenträger.
  • Eingabe-/Protokollkontrolle: Server-Logs mit kurzer Vorhaltung (Nginx 14 Tage, PM2 7 Tage); Formularinhalte, Cookies, Authentifizierungs-Header und Passwörter werden nicht protokolliert.
  • Auftragskontrolle: Unterauftragsverarbeiter sind nach Art. 28 DSGVO vertraglich gebunden (Hetzner-AVV; Google Cloud Data Processing Addendum mit Google Ireland Limited; AVV mit seven communications GmbH & Co. KG für den SMS-Versand).
  • Verfügbarkeits-/Wiederherstellungskontrolle: minimale Datenhaltung; Anwendungscode vollständig versioniert und jederzeit reproduzierbar.
  • Trennungskontrolle: eingehende Anfragen sind von der Rechnungs-/Buchhaltungsverarbeitung getrennt.
  • Verschlüsselung: durchgängige Transportverschlüsselung (TLS) für Web und E-Mail.
  • Datenminimierung: nur Pflichtfelder; selbst gehostete Schriften; kein Tracking auf Kundenwebsites, keine Analyse-Tools, keine Pixel, keine externen Karten oder Chats.

Anlage 3 – Unterauftragsverarbeiter

VorteqSystems setzt zur Erbringung der Verarbeitung die folgenden Unterauftragsverarbeiter ein. Mit Annahme dieses AVV stimmt der Kunde deren Einsatz zu.

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland – Hosting, Server und Server-Logs; Verarbeitung in Deutschland/EU; Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen.
  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland – E-Mail-/SMTP-Zustellung (Google Workspace); Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (Google Cloud Data Processing Addendum).
  • Google LLC, USA – Unterauftragsverarbeiter von Google; abgesichert über den EU-US Data Privacy Framework (Angemessenheitsbeschluss nach Art. 45 DSGVO) sowie ergänzende Standardvertragsklauseln (Art. 46 DSGVO).
  • seven communications GmbH & Co. KG, Willestraße 4–6, 24103 Kiel, Deutschland – Versand des SMS-Hinweises über neue Anfragen an den Kunden (ohne Anfrage-Inhalte; nur sofern die SMS-Benachrichtigung für den Kunden aktiviert ist); Verarbeitung in Deutschland/EU; Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen.