Auftragsverarbeitungsvertrag

1. Parteien und Rollen

Der Geschäftskunde ist Verantwortlicher für Kundendaten, die an den Dienst übermittelt, mit dem Dienst verbunden oder aus dem Dienst erzeugt werden. Webhealth handelt für diese Kundendaten nur insoweit als Auftragsverarbeiter nach Art. 28 DSGVO, wie dies zur Bereitstellung des Dienstes erforderlich ist.

Auftragsverarbeiter ist Lukas Dienst, handelnd unter "DevBrew Development", Am Holzweg 11, 35789 Weilmünster, Deutschland. Datenschutz- und AVV-Mitteilungen können an kontakt@devbrew.dev gesendet werden.

2. Gegenstand und Weisungen

Der Kunde weist Webhealth an, Kundendaten für die Dauer des Hauptvertrags und nur soweit zu verarbeiten, wie dies zur Bereitstellung, Absicherung, Wartung und Unterstützung des Dienstes erforderlich ist.

Webhealth verarbeitet Kundendaten nur auf dokumentierte Weisung des Kunden, einschließlich Hauptvertrag, diesem AVV, der Produktkonfiguration des Kunden sowie rechtmäßigen Support- oder Löschanfragen, sofern nicht Unionsrecht oder mitgliedstaatliches Recht eine Verarbeitung verlangt.

3. Leistungsumfang

• Verbinden und Auslesen von Google-Search-Console- und Google-Analytics-4-Properties, die der Kunde autorisiert hat.
• Crawling öffentlich erreichbarer Kunden-Websites und Speicherung technischer Crawl-Ergebnisse.
• Erstellung von Dashboards, Snapshots, Share-Links, Exporten, deterministischen Handlungsempfehlungen und KI-gestützten Empfehlungen.
• Betrieb von Authentifizierung, Zugriffskontrolle, Support, Sicherheitsüberwachung, Missbrauchsprävention, Backups und operativen Logs, soweit für den Dienst erforderlich.

4. Kategorien betroffener Personen und personenbezogener Daten

• Betroffene Personen können insbesondere Account-Nutzer des Kunden, Teammitglieder, Agentur- oder Kundenkontakte, Absender von Supportanfragen sowie Website-Besucher oder Endnutzer des Kunden sein, die in verbundenen GSC- oder GA4-Daten abgebildet werden.
• Personenbezogene Daten können Namen, E-Mail-Adressen, Profilbilder, Nutzer- und Teamkennungen, IP-Adressen, User-Agents, Property-URLs, Seitenpfade, Suchanfragen, Traffic-Quellen, Länder-/Gerätemetriken, Event- oder Sitzungsmetriken, Crawl-Ergebnisse, Snapshots, KI-Prompts und -Ausgaben, Share-Link-Inhalte, Supportnachrichten und operative Logs umfassen.
• Kunden dürfen keine Daten besonderer Kategorien, strafrechtlich relevanten Daten, Zahlungskartendaten, amtlichen Identifikatoren oder vergleichbar sensiblen personenbezogenen Daten absichtlich übermitteln. Webhealth ist nicht für die Verarbeitung dieser Datenkategorien ausgelegt.

5. Vertraulichkeit und Personalzugriff

Webhealth stellt sicher, dass zur Verarbeitung von Kundendaten berechtigte Personen zur Vertraulichkeit verpflichtet sind und nur zugreifen, soweit dies zur Bereitstellung, Absicherung, Unterstützung oder Wartung des Dienstes erforderlich ist.

Produktionsinfrastruktur, Datenbankzugriff, Verschlüsselungsschlüssel und Administrationswerkzeuge sind auf berechtigte Personen beschränkt und durch starke Authentifizierung und Zugriffskontrollen geschützt.

6. Technische und organisatorische Maßnahmen

• TLS-Verschlüsselung für Datenübertragungen zwischen Browsern, Anwendungsdiensten, Auftragsverarbeitern und Drittanbieter-APIs.
• AES-256-GCM-Verschlüsselung von Google-OAuth-Access-Tokens, Refresh-Tokens und ID-Tokens vor Speicherung in der Datenbank.
• EU-gehostete selbst verwaltete PostgreSQL- und Worker-Infrastruktur bei Hetzner mit eingeschränkter Netzwerkfreigabe, authentifiziertem Administrationszugang, Backups, WAL-Archivierung und operativer Überwachung.
• Fehlerüberwachung ohne standardmäßige PII-Erfassung, Secret-/Token-Redaktion in Logs, Stripe-Webhook-Signaturprüfung und Crawling-Schutzmaßnahmen gegen unsichere Ziele.
• Verfahren zur Erkennung, Untersuchung, Minderung und Behebung personenbezogener Datenschutzverletzungen, die Kundendaten betreffen.

7. Unterauftragsverarbeiter

Der Kunde genehmigt Webhealth allgemein den Einsatz von Unterauftragsverarbeitern, die zur Bereitstellung des Dienstes erforderlich sind. Webhealth verpflichtet Unterauftragsverarbeiter, die Kundendaten verarbeiten, zu Datenschutzpflichten, die diesem AVV materiell gleichwertig sind.

Webhealth veröffentlicht Aktualisierungen auf dieser Seite oder im zugehörigen Unterauftragsverarbeiter-Abschnitt und informiert bei wesentlichen neuen Unterauftragsverarbeitern nach Möglichkeit per E-Mail oder In-App-Hinweis. Kunden können aus angemessenen datenschutzrechtlichen Gründen widersprechen; die Parteien werden dann nach Treu und Glauben an einer wirtschaftlich angemessenen Lösung arbeiten.

• Google: OAuth-Anmeldung, Google Search Console, Google Analytics 4 und Google-Analytics-Website-Messung nach Einwilligung.
• Vercel: Hosting und Auslieferung der Webanwendung sowie cookielose Vercel Analytics.
• Hetzner: selbst verwaltete PostgreSQL-Datenbank, Worker-Infrastruktur, Backups, Monitoring und selbst gehostete Dienste in der EU.
• OpenAI: KI-gestützte Snapshot- und Empfehlungsverarbeitung sowie importierte OpenAI-Abrechnungsauswertungen, sofern konfiguriert.
• Stripe: Kundenprofile, Abonnementverarbeitung, Billing-Portal und transaktionale Abrechnungskommunikation.
• PostHog: optionale serverseitige Produktanalyse über die EU-Instanz.
• GlitchTip: selbst gehostete Fehlerüberwachung auf Hetzner-Infrastruktur ohne Übermittlung an einen von GlitchTip gehosteten Drittservice.

8. Internationale Übermittlungen

Einige Unterauftragsverarbeiter können Kundendaten außerhalb der EU/des EWR verarbeiten oder zugänglich machen, einschließlich in den Vereinigten Staaten. Dies kann je nach Servicefluss und deren Unterauftragsverarbeitern insbesondere Google, OpenAI, Stripe, Vercel und PostHog betreffen.

Soweit erforderlich, stützt Webhealth solche Übermittlungen auf Angemessenheitsbeschlüsse, das EU-U.S. Data Privacy Framework, soweit anwendbar, Standardvertragsklauseln und ergänzende Schutzmaßnahmen, die für die jeweilige Übermittlung angemessen sind.

9. Betroffenenrechte und Compliance-Unterstützung

Unter Berücksichtigung der Art der Verarbeitung und der Webhealth verfügbaren Informationen leistet Webhealth angemessene Unterstützung bei Pflichten des Kunden zu Betroffenenanfragen, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und Sicherheitsanfragen.

Erhält Webhealth eine Betroffenenanfrage zu Kundendaten, informiert Webhealth den Kunden, soweit rechtlich zulässig, und beantwortet die Anfrage nicht im Namen des Kunden, außer auf dokumentierte Weisung oder wenn dies gesetzlich vorgeschrieben ist.

10. Personenbezogene Datenschutzverletzungen

Webhealth informiert den Kunden unverzüglich, nachdem Webhealth Kenntnis von einer personenbezogenen Datenschutzverletzung erlangt hat, die Kundendaten betrifft, und stellt angemessen verfügbare Informationen bereit, damit der Kunde seine Meldepflichten erfüllen kann.

Webhealth ergreift angemessene Maßnahmen zur Untersuchung, Minderung und Behebung solcher Vorfälle unter Berücksichtigung der Art des Dienstes und der Webhealth verfügbaren Informationen.

11. Löschung und Rückgabe

Nach Ende des Dienstes oder einer wirksamen Löschanfrage löscht Webhealth aktive Produktionskopien der Kundendaten innerhalb von 30 Tagen, sofern keine weitere Aufbewahrung aufgrund von Recht, Sicherheit, Streitbeilegung oder berechtigten operativen Erfordernissen notwendig ist.

Backup-Kopien sind gegen gewöhnlichen Zugriff geschützt und laufen nach dem normalen Backup-Aufbewahrungszyklus aus, sofern keine Wiederherstellung aus Sicherheits-, Kontinuitäts- oder Rechtsgründen erforderlich ist. Werden Backups wiederhergestellt, werden gelöschte Kundendaten, soweit technisch möglich, erneut gelöscht.

12. Audits und Nachweise

Webhealth stellt Informationen bereit, die angemessenerweise erforderlich sind, um die Einhaltung dieses AVV nachzuweisen, üblicherweise durch Dokumentation, Sicherheitszusammenfassungen, schriftliche Antworten oder gleichwertige Unterlagen.

Direkte Audits oder Inspektionen sind nur verfügbar, soweit gesetzlich erforderlich, angemessen, auf Kundendaten beschränkt, vertraulich, mit angemessener Vorankündigung geplant und grundsätzlich höchstens einmal pro Kalenderjahr, sofern keine bestätigte personenbezogene Datenschutzverletzung eine zusätzliche Prüfung rechtfertigt.

13. Laufzeit, Vorrang und Recht

Dieser AVV gilt, solange Webhealth Kundendaten im Auftrag des Kunden verarbeitet. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV für die Verarbeitung von Kundendaten vor.

Dieser AVV unterliegt deutschem Recht. Für Geschäftskunden sind, soweit gesetzlich zulässig, die für Weilmünster, Deutschland, zuständigen Gerichte zuständig.