Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Version: 1.0
Stand: 04. Juni 2026
Präambel
Diese Vereinbarung zur Auftragsverarbeitung („AVV") ist Bestandteil des Vertrags („Hauptvertrag") zwischen dem Kunden („Auftraggeber") und der Nadicon GmbH, Waldstraße 20, 82049 Pullach i. Isartal („Auftragnehmer"), über die Bereitstellung und laufende Betreuung einer Website im Rahmen des Website-Mietmodells, das die Nadicon GmbH unter der Marke „lowema." vertreibt, sowie über zusätzlich gebuchte Leistungen.
Soweit der Auftragnehmer im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, gelten die nachstehenden Regelungen ergänzend zu den Allgemeinen Geschäftsbedingungen, abrufbar unter lowema.de/agb.
Mit Annahme der AGB im Rahmen des Vertragsschlusses akzeptiert der Auftraggeber zugleich diese AVV. Die technischen und organisatorischen Maßnahmen sind unter lowema.de/tom abrufbar. Die Liste der Sub-Auftragsverarbeiter ist unter lowema.de/auftragsverarbeiter abrufbar. Diese Dokumente sind Bestandteil dieser AVV. Eine separate Unterzeichnung ist nicht erforderlich.
Bei Widersprüchen zwischen AGB und dieser AVV gehen die Regelungen dieser AVV in datenschutzrechtlichen Belangen vor.
§ 1 Gegenstand und Dauer
(1) Gegenstand der Verarbeitung sind die im Hauptvertrag vereinbarten Leistungen, insbesondere die Bereitstellung und laufende Betreuung einer Website im Rahmen des Website-Mietmodells der Nadicon GmbH unter der Marke „lowema." sowie zusätzlich gebuchte Leistungen.
(2) Die Beschreibung der Verarbeitung, insbesondere Art und Zweck der Verarbeitung, Arten personenbezogener Daten und Kategorien betroffener Personen, ist Bestandteil dieser AVV und im Abschnitt „Beschreibung der Verarbeitung" dieser AVV enthalten.
(3) Diese AVV gilt für die Laufzeit des Hauptvertrags und endet automatisch mit dessen Beendigung, soweit sich aus gesetzlichen Aufbewahrungspflichten oder den Regelungen zur Löschung und Rückgabe nichts Abweichendes ergibt.
§ 2 Weisungsrecht
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Recht der Europäischen Union oder eines Mitgliedstaats zu einer Verarbeitung verpflichtet ist. In diesem Fall informiert der Auftragnehmer den Auftraggeber vor der Verarbeitung über die entsprechende rechtliche Verpflichtung, soweit das betreffende Recht eine solche Information nicht verbietet.
(2) Weisungen erfolgen in Textform, insbesondere per E-Mail. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung bis zur Bestätigung oder Änderung der Weisung auszusetzen.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur im vereinbarten Umfang und nach Weisung des Auftraggebers.
(2) Der Auftragnehmer stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die jeweils aktuelle Beschreibung dieser Maßnahmen ist unter lowema.de/tom abrufbar. Der Auftragnehmer ist berechtigt, die Maßnahmen weiterzuentwickeln, sofern das Schutzniveau während der Laufzeit nicht wesentlich verringert wird.
(4) Der Auftragnehmer unterstützt den Auftraggeber mit angemessenen technischen und organisatorischen Mitteln bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO sowie bei der Bearbeitung von Anträgen betroffener Personen nach Art. 12 bis 22 DSGVO.
(5) Der Auftragnehmer führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO, soweit eine entsprechende gesetzliche Pflicht besteht.
(6) Für datenschutzrechtliche Anliegen ist der Auftragnehmer unter hallo@lowema.de erreichbar.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber ist als Verantwortlicher im Sinne der DSGVO für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Betroffenenrechte zuständig.
(2) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten in der Verarbeitung feststellt.
(3) Der Auftraggeber benennt eine Ansprechperson für datenschutzrechtliche Belange, sofern sich diese nicht bereits aus dem Hauptvertrag oder der Kommunikation zwischen den Parteien ergibt.
§ 5 Sub-Auftragsverarbeiter
(1) Der Auftraggeber stimmt dem Einsatz der jeweils unter lowema.de/auftragsverarbeiter aufgeführten Sub-Auftragsverarbeiter zu.
(2) Der Auftragnehmer stellt sicher, dass mit den eingesetzten Sub-Auftragsverarbeitern Vereinbarungen bestehen, die den Anforderungen des Art. 28 DSGVO entsprechen. Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Pflichten der Sub-Auftragsverarbeiter nach Maßgabe dieser AVV.
(3) Der Auftragnehmer informiert den Auftraggeber mindestens zwei (2) Wochen vor der geplanten Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters in Textform, insbesondere per E-Mail oder durch Aktualisierung der Online-Liste mit aktiver Benachrichtigung.
(4) Der Auftraggeber kann der Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters innerhalb von vierzehn (14) Tagen ab Zugang der Information aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt innerhalb dieser Frist kein begründeter Widerspruch, gilt die Änderung als genehmigt.
(5) Im Fall eines berechtigten Widerspruchs werden die Parteien eine zumutbare Lösung suchen. Kommt eine solche nicht zustande, ist der Auftraggeber berechtigt, den Hauptvertrag mit einer Frist von 30 Tagen zum Monatsende außerordentlich zu kündigen.
(6) Soweit der Auftragnehmer für eine vom Auftraggeber individuell gebuchte Zusatzleistung einen weiteren Sub-Auftragsverarbeiter einsetzen muss, der nur für diese Zusatzleistung erforderlich ist, gilt die Zustimmung des Auftraggebers mit Buchung der betreffenden Zusatzleistung als erteilt. Voraussetzung ist, dass der Auftraggeber vor Aktivierung der Zusatzleistung über den jeweiligen Sub-Auftragsverarbeiter, dessen Leistungsbereich, Sitzland und etwaige Drittlandübermittlungen informiert wird. In diesem Fall gilt die zweiwöchige Vorankündigungsfrist gemäß Abs. 3 nicht.
§ 6 Drittlandstransfers
(1) Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, soweit hierfür ein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet ist.
(2) Soweit Sub-Auftragsverarbeiter in Drittländern eingesetzt werden, stützt der Auftragnehmer die Übermittlung insbesondere auf einen Angemessenheitsbeschluss der Europäischen Kommission, einschließlich des EU-US Data Privacy Framework, soweit der jeweilige Anbieter entsprechend zertifiziert ist, oder auf die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie gegebenenfalls ergänzende Schutzmaßnahmen.
(3) Sollten die genannten Transfermechanismen wegfallen, unwirksam werden oder für den konkreten Transfer nicht mehr ausreichen, wird der Auftragnehmer den Auftraggeber hierüber informieren und den betreffenden Transfer nur fortführen, wenn eine zulässige alternative Rechtsgrundlage oder geeignete zusätzliche Schutzmaßnahmen bestehen. Andernfalls wird der Auftragnehmer den betroffenen Sub-Auftragsverarbeiter ersetzen oder die betroffene Verarbeitung einstellen, soweit dies zur Einhaltung der DSGVO erforderlich ist.
§ 7 Betroffenenrechte
(1) Wendet sich eine betroffene Person mit einem Antrag auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch oder mit einem sonstigen datenschutzrechtlichen Anliegen direkt an den Auftragnehmer, leitet der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiter, soweit eine Zuordnung zum Auftraggeber möglich ist.
(2) Der Auftragnehmer unterstützt den Auftraggeber mit angemessenen technischen und organisatorischen Mitteln bei der Wahrung der Rechte betroffener Personen.
§ 8 Datenschutzverletzungen
(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich nach Bekanntwerden über Verletzungen des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, in der Regel innerhalb von 48 Stunden.
(2) Die Mitteilung enthält die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit dem Auftragnehmer diese bekannt sind, insbesondere Art der Verletzung, Kategorien und Anzahl betroffener Personen und Datensätze, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen.
(3) Der Auftragnehmer unterstützt den Auftraggeber mit angemessenen Mitteln bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen.
§ 9 Nachweis- und Kontrollrechte
(1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der Pflichten aus dieser AVV auf Anfrage in geeigneter Weise nach, insbesondere durch Vorlage der dokumentierten technischen und organisatorischen Maßnahmen sowie gegebenenfalls vorhandener Zertifikate, Testate, Prüfberichte oder sonstiger geeigneter Nachweise.
(2) Prüfungen erfolgen vorrangig durch die Bereitstellung geeigneter Nachweise und Auskünfte. Eine Vor-Ort-Kontrolle durch den Auftraggeber oder einen von ihm beauftragten unabhängigen Prüfer ist zulässig, soweit die nach Abs. 1 bereitgestellten Informationen im Einzelfall nicht ausreichen, um die Einhaltung der Pflichten aus dieser AVV angemessen zu überprüfen, oder soweit eine Aufsichtsbehörde dies verlangt.
(3) Vor-Ort-Kontrollen sind vorher in Textform mit einer angemessenen Frist, in der Regel mindestens 30 Tage vor Durchführung, anzukündigen. Sie erfolgen während der üblichen Geschäftszeiten, dürfen den Geschäftsbetrieb des Auftragnehmers nicht wesentlich beeinträchtigen und haben unter Wahrung der Vertraulichkeit gegenüber anderen Kunden und Geschäftsgeheimnissen des Auftragnehmers zu erfolgen.
(4) Vor-Ort-Kontrollen sind auf höchstens eine Kontrolle pro Kalenderjahr beschränkt, es sei denn, es liegt ein begründeter Anlass vor oder eine Aufsichtsbehörde verlangt eine weitergehende Prüfung.
(5) Die Kosten einer Prüfung trägt der Auftraggeber, es sei denn, die Prüfung ergibt wesentliche Verstöße des Auftragnehmers gegen diese AVV. Dies gilt auch für einen über das übliche Maß hinausgehenden Aufwand des Auftragnehmers für die Zusammenstellung, Aufbereitung oder Bereitstellung von Nachweisen, Auskünften oder Dokumentationen. Der Auftragnehmer wird den Auftraggeber vor Entstehen solcher zusätzlichen Kosten über den voraussichtlichen Aufwand informieren.
§ 10 Löschung und Rückgabe
(1) Nach Beendigung der Leistungserbringung wird der Auftragnehmer nach Wahl des Auftraggebers alle im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen herausgeben oder datenschutzkonform löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Trifft der Auftraggeber innerhalb von 30 Tagen nach Vertragsende keine Wahl, ist der Auftragnehmer berechtigt, die Daten datenschutzkonform zu löschen.
(3) Gesetzliche Aufbewahrungspflichten bleiben unberührt. Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen, werden gesperrt und nach Ablauf der jeweiligen Frist gelöscht.
(4) Die Löschung umfasst auch Sicherungskopien, soweit dies technisch möglich und verhältnismäßig ist. Die Löschung wird dem Auftraggeber auf Wunsch in Textform bestätigt.
§ 11 Haftung
Für die Haftung gelten die Regelungen des Art. 82 DSGVO sowie die Haftungsbestimmungen des Hauptvertrags und der AGB, soweit diese nicht im Widerspruch zu zwingenden gesetzlichen Bestimmungen stehen.
§ 12 Änderungen und Schlussbestimmungen
(1) Der Auftragnehmer ist berechtigt, diese AVV anzupassen, soweit dies aus rechtlichen, technischen oder organisatorischen Gründen erforderlich ist und der Auftraggeber hierdurch nicht unangemessen benachteiligt wird. Wesentliche Änderungen werden dem Auftraggeber mit angemessener Frist vor ihrem Wirksamwerden in Textform mitgeteilt.
(2) Für Änderungen an der Liste der Sub-Auftragsverarbeiter gelten vorrangig die Regelungen in § 5 dieser AVV.
(3) Sollten einzelne Bestimmungen dieser AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Es gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragnehmers.
Beschreibung der Verarbeitung
Gegenstand der Verarbeitung
Bereitstellung und laufende Betreuung einer Website im Rahmen des Website-Mietmodells der Nadicon GmbH unter der Marke „lowema." sowie zusätzlich gebuchte Leistungen.
Zweck der Verarbeitung
Betrieb der Kundenwebsite, technische Bereitstellung, Wartung, Pflege, IT-Sicherheit, Fehlerbehebung, Kommunikation mit Websitebesuchern, Lead-Erfassung, Auswertung von Website- und Kampagnenaktivitäten sowie Durchführung zusätzlich gebuchter Leistungen.
Art der Verarbeitung
Erhebung, Erfassung, Organisation, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung personenbezogener Daten.
Arten personenbezogener Daten
Je nach gebuchter Leistung insbesondere Kontaktdaten, Kommunikationsdaten, Inhaltsdaten aus Formularen, Buchungsdaten, Vertrags- und Stammdaten, Nutzungsdaten, technische Logdaten, IP-Adressen, Geräte- und Browserdaten, Cookie- und Trackingdaten, Newsletterdaten, CRM-Daten, Lead-Daten sowie Kampagnen- und Conversiondaten.
Kategorien betroffener Personen
Websitebesucher, Interessenten, Leads, Kunden des Auftraggebers, Ansprechpartner des Auftraggebers, Newsletter-Empfänger, Buchende sowie Nutzer von Kontaktformularen oder sonstigen interaktiven Websitefunktionen.
Dauer der Verarbeitung
Für die Dauer des Hauptvertrags sowie darüber hinaus nur, soweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten, zur Nachweisdokumentation oder zur geordneten Rückgabe bzw. Löschung erforderlich ist.