/dpa
Auftragsverarbeitungsvertrag
Stand: 12. Juli 2026
Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der devsplit-Geschäftsbedingungen zwischen dem Kunden ("Kunde") und Denvo LLC, 1209 Mountain Road Pl NE, Ste N, Albuquerque, NM 87110, USA ("Denvo"). Er gilt immer dann, wenn Denvo im Rahmen von Design-, Engineering-, Deployment-, Hosting- oder Care-Leistungen für Projekte des Kunden personenbezogene Daten in dessen Auftrag verarbeitet.
Dieser AVV setzt die Anforderungen von Art. 28 der EU-Datenschutz-Grundverordnung (DSGVO) um und gilt automatisch für alle Kunden; eine Unterschrift ist nicht erforderlich. Bei Widersprüchen zwischen diesem AVV und den Geschäftsbedingungen geht dieser AVV in Datenschutzfragen vor.
1. Rollen und Anwendungsbereich
Der Kunde ist Verantwortlicher für personenbezogene Daten in seinen Projekten und Systemen. Denvo handelt als Auftragsverarbeiter, wenn es diese Daten zur Erbringung der vereinbarten Leistungen verarbeitet, und ausschließlich auf dokumentierte Weisung des Kunden.
Für den eigenen Geschäftsbetrieb, etwa Kontaktabwicklung, Verträge, Abrechnung, Sicherheit und Rechtskonformität, ist Denvo eigenständiger Verantwortlicher. Diese Verarbeitung beschreibt die Datenschutzerklärung, nicht dieser AVV.
2. Gegenstand, Dauer, Art und Zweck
Gegenstand: Design, Entwicklung, Deployment, Wartung und Support der Websites, SaaS-Plattformen und KI-Produkte des Kunden, einschließlich Hosting- und Care-Leistungen, soweit vereinbart.
Dauer: für die Laufzeit des Auftrags bis zu dessen Abschluss oder Beendigung, zuzüglich gesetzlich vorgeschriebener Zeiträume. Art und Zweck: Entwicklung, Konfiguration, Deployment, Fehleranalyse und Support der Projektsysteme des Kunden nach Weisung; dabei kann Zugriff auf personenbezogene Daten in diesen Systemen erfolgen.
3. Kategorien betroffener Personen und Daten
Betroffene Personen: Endnutzer, Kunden, Beschäftigte und andere Personen, deren personenbezogene Daten der Kunde in seinen Projektsystemen speichert. Die Datenkategorien bestimmt der Kunde; sie können alle Daten umfassen, die in den vom Auftrag erfassten Systemen gespeichert sind.
Der Kunde sollte Zugriff auf besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) nur gewähren, wenn eine Rechtsgrundlage und geeignete Garantien bestehen, und Denvo vorab darüber informieren.
4. Weisungen
Denvo verarbeitet Kundendaten nur auf dokumentierte Weisung, erteilt über den Auftrag, Projektbriefings, Tickets, Support-Anfragen, diesen AVV, die Geschäftsbedingungen und schriftliche Vereinbarungen beider Parteien.
Denvo informiert den Kunden unverzüglich, wenn eine Weisung nach seiner Auffassung gegen die DSGVO oder anderes anwendbares Datenschutzrecht verstößt, und kann die Ausführung aussetzen, bis die Weisung bestätigt oder geändert wird. Denvo darf Daten verarbeiten, soweit gesetzlich vorgeschrieben; in diesem Fall informiert Denvo den Kunden vor der Verarbeitung, sofern das Gesetz dies nicht verbietet.
5. Vertraulichkeit
Denvo beschränkt den Zugriff auf Kundendaten auf Personen und Systeme, die ihn zur Erbringung, Absicherung oder Unterstützung der Leistungen benötigen. Alle zur Verarbeitung befugten Personen sind auf Vertraulichkeit verpflichtet; diese Pflichten bestehen über das Ende ihrer Tätigkeit hinaus fort.
6. Sicherheit (Art. 32 DSGVO)
Unter Berücksichtigung des Stands der Technik und der Risiken der Verarbeitung trifft Denvo geeignete technische und organisatorische Maßnahmen, darunter: HTTPS/TLS-Transportverschlüsselung; Verschlüsselung ruhender Daten, soweit der gewählte Stack dies unterstützt; rollenbasierte Zugriffe nach dem Least-Privilege-Prinzip; Trennung von Entwicklungs-, Staging- und Produktionsumgebungen; Code-Review vor dem Deployment; keine Kopien von Produktionsdaten außerhalb der Kundensysteme ohne Weisung.
Denvo kann diese Maßnahmen weiterentwickeln, sofern das Schutzniveau insgesamt nicht sinkt.
7. Unterauftragsverarbeiter
Der Kunde erteilt Denvo die allgemeine Genehmigung, Unterauftragsverarbeiter für Hosting, Infrastruktur und Entwicklungs-Workflows einzusetzen. Die Auswahl erfolgt projektbezogen gemäß der Projektdokumentation; typische Unterauftragsverarbeiter sind:
- Vercel (USA / globale Infrastruktur): Hosting für Websites und Web-Anwendungen; verarbeitet HTTP-Requests, IP-Adressen, Header, Logs und Deployment-Metadaten.
- Supabase (Region je Projekt): Authentifizierung, Datenbank und Storage, soweit das Projekt sie nutzt; verarbeitet die dort gespeicherten Projektdaten.
- GitHub (USA / globale Infrastruktur): Quellcode-Hosting und Deployment-Workflows; verarbeitet Repository-Inhalte und zugehörige Metadaten.
- Stripe (USA / globale Infrastruktur): Zahlungsabwicklung, soweit das Projekt Billing umfasst; verarbeitet die vom Projekt verarbeiteten Abrechnungsdaten.
8. Änderungen bei Unterauftragsverarbeitern
Denvo verpflichtet Unterauftragsverarbeiter auf Datenschutzpflichten, die diesem AVV entsprechen, und haftet für deren Leistung. Über beabsichtigte Ergänzungen oder Ersetzungen informiert Denvo den Kunden mindestens 10 Tage im Voraus durch Aktualisierung dieser Seite und, bei wesentlichen Änderungen mit Bezug zu einem laufenden Auftrag, per E-Mail. Der Kunde kann aus begründeten Datenschutzgründen widersprechen; findet sich keine Lösung, kann er die betroffene Leistung kündigen.
9. Unterstützung und Betroffenenanfragen
Unter Berücksichtigung der Art der Verarbeitung unterstützt Denvo den Kunden mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Betroffenenanfragen (Art. 12-23 DSGVO) sowie bei seinen Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), soweit sich die Anfrage auf von Denvo verarbeitete Daten bezieht und der Kunde sie nicht selbst erledigen kann.
Wendet sich eine betroffene Person wegen im Auftrag verarbeiteter Daten direkt an Denvo, leitet Denvo die Anfrage unverzüglich an den Kunden weiter und antwortet ohne dessen Weisung nicht in der Sache, außer wenn gesetzlich vorgeschrieben.
10. Meldung von Datenschutzverletzungen
Denvo meldet dem Kunden eine Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, unverzüglich und spätestens 72 Stunden nach Bekanntwerden. Die Meldung beschreibt, soweit bekannt, die Art der Verletzung, die betroffenen Datenkategorien und die ungefähre Zahl der betroffenen Personen, die wahrscheinlichen Folgen sowie ergriffene oder vorgeschlagene Maßnahmen. Denvo wirkt an Untersuchung und Behebung mit.
11. Löschung und Rückgabe
Projektsysteme und ihre Daten liegen, wo immer möglich, in Konten des Kunden und bleiben unter dessen Kontrolle. Nach Ende der Leistungen löscht Denvo verbleibende Kundendaten in seinem Besitz oder gibt sie zurück, nach Wahl des Kunden, sofern keine gesetzliche Aufbewahrungspflicht besteht.
12. Nachweise und Audits
Denvo stellt dem Kunden die Informationen zur Verfügung, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind, einschließlich Zusammenfassungen der Sicherheitsmaßnahmen und einschlägiger Anbieter-Zertifizierungen. Reicht dies nicht aus, ermöglicht Denvo Audits einschließlich Inspektionen durch den Kunden oder einen von ihm beauftragten Prüfer, in angemessenen Abständen, mit angemessener schriftlicher Vorankündigung, während der Geschäftszeiten, ohne Betriebsstörung und unter Vertraulichkeit. Die Kosten trägt der Kunde, außer das Audit deckt wesentliche Verstöße auf.
13. Internationale Datenübermittlung
Da Denvo ihren Sitz in den USA hat, kann die Verarbeitung von Kundendaten eine Übermittlung personenbezogener Daten aus der EU, dem EWR, dem Vereinigten Königreich oder der Schweiz in die USA umfassen. Für diese Übermittlungen vereinbaren die Parteien durch Verweis die Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914), Modul Zwei (Verantwortlicher an Auftragsverarbeiter), mit dem Kunden als Datenexporteur und Denvo als Datenimporteur, einschließlich des UK International Data Transfer Addendum und der Anpassungen für die Schweiz, soweit anwendbar. Die Abschnitte 2, 3, 6 und 7 dieses AVV dienen als Anhänge zur Beschreibung der Verarbeitung, Datenkategorien, Sicherheitsmaßnahmen und Unterauftragsverarbeiter.
Ist ein Unterauftragsverarbeiter unter dem EU-U.S. Data Privacy Framework zertifiziert, können sich Übermittlungen an ihn stattdessen auf den entsprechenden Angemessenheitsbeschluss stützen.
14. Anwendbares Recht und Kontakt
Dieser AVV unterliegt dem Recht des Bundesstaates New Mexico, USA, soweit nicht zwingendes Datenschutzrecht der Jurisdiktion des Kunden gilt, einschließlich der Standardvertragsklauseln, deren Rechtswahl sich nach den Klauseln selbst richtet.
Für Fragen zu diesem AVV oder zur Auftragsverarbeitung: hello@devsplit.de.