Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO
Stand: Mai 2026 — Version 1.0
zwischen dem Nutzer der Plattform carwords (nachfolgend „Verantwortlicher") und der carnomy GmbH, Pestalozzistraße 48A, 86420 Diedorf (nachfolgend „Auftragsverarbeiter").
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung der Plattform carwords zur Erstellung und Verwaltung von Fahrzeug-Landingpages sowie der damit verbundenen Dienste (Anfragen-Verwaltung, Analytics, Sichtbarkeits-Optimierung).
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen den Parteien. Nach Beendigung des Vertrags gelten die Regelungen in § 10 dieses Vertrags.
(3) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, sofern in § 8 nichts anderes geregelt ist.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
| Verarbeitungstätigkeit | Zweck |
|---|---|
| Speicherung und Anzeige von Kontaktanfragen | Weiterleitung von Kundenanfragen an den Verantwortlichen |
| Versand von Bestätigungsmails an Anfragende | Eingangsbestätigung und Dokumentation |
| Pseudonymisiertes Tracking von Seitenaufrufen | Nutzungsstatistiken und Leistungsnachweis |
| Generierung von Fahrzeug-Landingpages | SEO-optimierte Darstellung des Fahrzeugbestands |
| Erstellung von KI-generierten Fahrzeugbeschreibungen | Content-Erstellung auf Basis von Fahrzeugdaten |
| Verwaltung von Standort- und Unternehmensdaten | Impressum, Kontaktinformationen auf Landingpages |
| Analyse von Sichtbarkeit und Traffic-Quellen | Leistungsnachweis und Optimierung |
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden im Auftrag verarbeitet:
Daten der Kunden des Verantwortlichen (Kaufinteressenten):
- Vor- und Nachname
- E-Mail-Adresse
- Telefonnummer (sofern angegeben)
- Freitext-Nachricht
- Pseudonymisierte technische Daten (IP-Hash, Session-Kennung, Gerätetyp)
- Herkunftsquelle der Anfrage (Suchmaschine, Direktzugriff, Werbe-Kennung)
Daten des Verantwortlichen und seiner Mitarbeiter:
- Name, E-Mail-Adresse, Passwort (gehasht)
- Geschäftskontaktdaten (Telefon, Adresse, Geschäftsführer)
- IP-Adresse bei Vertragsannahme und Anmeldung (Sicherheitsprotokoll)
- Nutzungsdaten der Plattform (Audit-Log)
§ 4 Kategorien betroffener Personen
- Kunden und Interessenten des Verantwortlichen (Kaufinteressenten, die das Kontaktformular auf Fahrzeug-Landingpages nutzen)
- Mitarbeiter und Vertretungsberechtigte des Verantwortlichen (Plattformnutzer)
- Website-Besucher der vom Verantwortlichen betriebenen Landingpages
§ 5 Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er stellt sicher, dass die betroffenen Personen gemäß Art. 13, 14 DSGVO informiert werden.
(2) Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen in Textform (einschließlich E-Mail). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
(4) Der Verantwortliche benennt eine Kontaktperson für datenschutzrelevante Anfragen. Sofern nicht anders mitgeteilt, ist dies der bei der Registrierung angegebene Nutzer.
§ 6 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet. In diesem Fall teilt er dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen. Insbesondere:
- Art. 17 (Löschung): Automatisierte Anonymisierung nach konfigurierbarer Frist. 1-Klick-Löschung für Endkunden via tokenbasiertem Endpunkt. Manuelle Löschung durch den Verantwortlichen im Anfragen-Postfach.
- Art. 15 (Auskunft): Export aller personenbezogenen Daten eines Betroffenen als strukturiertes JSON auf Anfrage.
- Art. 20 (Datenübertragbarkeit): Datenexport in maschinenlesbarem Format (JSON/CSV).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten (Sicherheit, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt.
§ 7 Technisch-organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:
Vertraulichkeit
- Zugriff auf Produktionsdaten ausschließlich über SSH mit Key-basierter Authentifizierung
- Mandantentrennung (Multi-Tenancy) auf Datenbankebene mit Tenant-ID-Isolation
- Passwort-Hashing mit bcrypt (Cost-Faktor 12)
- Verschlüsselung sensitiver Daten (API-Keys, Passwörter) mit AES-256-GCM
- Session-Cookie: httponly, secure, samesite=Lax
Integrität
- Ausschließlich Prepared Statements für Datenbankzugriffe (SQL-Injection-Schutz)
- CSRF-Schutz auf allen authentifizierten Endpunkten
- Content Security Policy (CSP) im Enforce-Modus
- Input-Validierung und Sanitization an allen Systemgrenzen
Verfügbarkeit
- Tägliche Datenbanksicherungen
- Redundante Infrastruktur (Hetzner Dedicated Server)
- Automatisiertes Monitoring mit proaktiven Alerts
- Cron-basierte Health-Checks
Pseudonymisierung
- IP-Adressen der Endkunden werden als SHA-256-Hash gespeichert (nicht im Klartext)
- Session-IDs sind opake 30-Zeichen-Strings ohne Personenbezug
- Werbe-Kennungen (gclid/fbclid) werden nach 12 Monaten entfernt
Belastbarkeit
- Rate-Limiting auf öffentlichen Endpunkten
- Automatische Datenbereinigung (Retention-Crons)
- Partition-basierte Archivierung großer Tabellen
§ 8 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt hiermit eine allgemeine schriftliche Genehmigung für den Einsatz der in der nachstehenden Liste genannten Unterauftragsverarbeiter.
(2) Aktuelle Liste der Unterauftragsverarbeiter:
| # | Unterauftragsverarbeiter | Sitz | Zweck | Verarbeitete Daten |
|---|---|---|---|---|
| 1 | Stripe, Inc. | USA (EU-Datenverarbeitung, DPF) | Zahlungsabwicklung | Händler-Name, E-Mail, Zahlungsdaten |
| 2 | Anthropic, PBC | USA (DPF) | KI-Textgenerierung | Fahrzeugdaten (keine PII) |
| 3 | OpenAI, Inc. | USA (DPF) | KI-Textgenerierung (Fallback) | Fahrzeugdaten (keine PII) |
| 4 | Perplexity AI, Inc. | USA (DPF) | Sichtbarkeitsanalyse | Geschäftsdaten (Stadt, Firmenname) |
| 5 | Google LLC | USA (EU-Datenverarbeitung, DPF) | Indexierung, Analytics, Google Business Profile API | URLs, Geschäftsdaten, Standortdaten, Öffnungszeiten, Fotos, Bewertungen |
| 6 | Serper LLC | USA (DPF) | Suchdatenanalyse | Such-Queries (keine PII) |
| 7 | mobile.de GmbH | Deutschland | Fahrzeugdaten-Synchronisation | Händler-API-Credentials |
| 8 | iubenda S.r.l. | Italien | Cookie-Consent-Management | Consent-Daten |
(3) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor dem geplanten Einsatz eines neuen Unterauftragsverarbeiters oder dem Wechsel eines bestehenden per E-Mail.
(4) Der Verantwortliche kann dem Einsatz eines neuen Unterauftragsverarbeiters innerhalb von 30 Tagen nach Zugang der Information widersprechen. Wird ein berechtigter Widerspruch erhoben, steht dem Verantwortlichen ein Sonderkündigungsrecht zum Zeitpunkt des geplanten Einsatzes zu.
(5) Der Auftragsverarbeiter stellt sicher, dass den Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden, die in diesem Vertrag festgelegt sind. Insbesondere müssen die Unterauftragsverarbeiter hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen getroffen werden.
(6) Für Datenübermittlungen in die USA stützt sich der Auftragsverarbeiter auf das EU-U.S. Data Privacy Framework (DPF) der jeweils zertifizierten Unterauftragsverarbeiter. Der Auftragsverarbeiter überwacht die fortlaufende Zertifizierung.
§ 9 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.
(2) Die Meldung enthält mindestens:
- Art der Verletzung
- Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
- Wahrscheinliche Folgen
- Ergriffene und vorgeschlagene Maßnahmen
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.
§ 10 Löschung und Rückgabe nach Vertragsende
(1) Nach Beendigung des Vertragsverhältnisses löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Verpflichtung zur Aufbewahrung besteht.
(2) Die Löschung erfolgt nach folgendem Zeitplan:
- Sofort bei Vertragsende: Generierte Landingpages werden vom Netz genommen (noindex + physische Löschung)
- Innerhalb von 14 Tagen: Datenexport steht dem Verantwortlichen zur Verfügung
- Nach 90 Tagen: Vollständige Löschung aller personenbezogenen Daten (Kontaktanfragen, Nutzerkonten, Kontaktdaten, Uploads)
- Anonymisierter Geschäftsrumpf: Nicht-personenbezogene Vertragsdaten (Vertragsbeginn, Plan, Abrechnungsintervall) werden für die Dauer der handelsrechtlichen Aufbewahrungspflicht (10 Jahre, HGB § 257) aufbewahrt
(3) Der Verantwortliche hat die Möglichkeit, vor der Löschung einen vollständigen Datenexport über die Plattform herunterzuladen. Der Auftragsverarbeiter weist hierauf 10 Tage vor der Löschung per E-Mail hin.
(4) Die Löschung wird dem Verantwortlichen per E-Mail bestätigt.
§ 11 Kontroll- und Auditrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags zu überprüfen. Der Auftragsverarbeiter stellt hierfür alle erforderlichen Informationen zur Verfügung.
(2) Inspektionen und Audits können durchgeführt werden:
- Durch den Verantwortlichen selbst
- Durch einen vom Verantwortlichen beauftragten unabhängigen Prüfer (unter Geheimhaltungsvereinbarung)
(3) Der Auftragsverarbeiter verpflichtet sich, bei Audits mitzuwirken und den Zugang zu relevanten Räumlichkeiten, Systemen und Dokumenten zu gewähren. Audits sind mit angemessener Vorankündigung (mindestens 14 Tage) durchzuführen und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.
(4) Der Auftragsverarbeiter kann auf Anfrage Nachweise über die Einhaltung der TOM vorlegen (z. B. Zertifizierungen, Audit-Berichte, Penetrationstests).
§ 12 Laufzeit und Kündigung
(1) Dieser Auftragsverarbeitungsvertrag tritt mit der digitalen Akzeptanz bei der Registrierung auf der Plattform carwords in Kraft und gilt für die Dauer des Nutzungsvertrags.
(2) Eine Kündigung des AVV unabhängig vom Nutzungsvertrag ist nicht möglich, da die Auftragsverarbeitung integraler Bestandteil der Leistungserbringung ist.
(3) Das Recht zur außerordentlichen Kündigung bleibt unberührt.
§ 13 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.
(2) Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
(4) Dieser Vertrag wird durch digitale Akzeptanz im Rahmen der Registrierung auf der Plattform carwords geschlossen. Die Akzeptanz wird mit Zeitstempel und IP-Adresse protokolliert.