Kundenlogin
Rechtliches

Auftrags­verarbeitung (AVV)

SEO-Retter · Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO · Stand: 13.05.2026 · Version 1.0

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zwischen ihnen geschlossenen Hauptvertrag (nachfolgend „Hauptvertrag“), soweit SEO-Retter im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.

Der AVV ist Bestandteil des Hauptvertrages und gilt für sämtliche Tätigkeiten, bei denen Mitarbeiter, Hilfspersonen oder Subunternehmer von SEO-Retter mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

Der Auftraggeber ist im Sinne der Datenschutz-Grundverordnung (DSGVO) Verantwortlicher, SEO-Retter ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

§ 1 Gegenstand, Dauer und Art der Verarbeitung

(1) Gegenstand. Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch SEO-Retter zur Erfüllung der im Hauptvertrag vereinbarten Leistungen. Dies umfasst insbesondere folgende Leistungsbereiche, soweit sie Gegenstand des Hauptvertrages sind:

  • Erstellung und Pflege von Websites, Online-Shops und Apps,
  • laufende technische Betreuung (Service-Pakete WEB Care, WEB Plus, WEB Pro), insbesondere mit Updates, Backups, Sicherheitsprüfungen und Monitoring,
  • Suchmaschinenoptimierung (SEO), Local-SEO, Online-Marketing, Google-Ads-Betreuung,
  • Auswertung von Web-Analytics-Daten und Google-Search-Console-Daten,
  • Pflege und Verwaltung des Google-Business-Profiles (Local-SEO), einschließlich Bewertungs- und Reputationsmanagement,
  • Kommunikation und Support gegenüber dem Auftraggeber.

(2) Dauer. Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrages. Mit Beendigung des Hauptvertrages endet auch dieser AVV; die Pflichten zur Löschung oder Rückgabe der Daten gemäß § 9 dieses AVV bleiben unberührt.

(3) Art und Zweck der Verarbeitung. Die Verarbeitung umfasst je nach beauftragter Leistung insbesondere folgende Tätigkeiten:

  • Erheben, Erfassen, Speichern, Organisieren, Anpassen, Verändern,
  • Auslesen, Abfragen, Verwenden, Übermitteln, Verbreiten,
  • Anpassen oder Bereitstellen, Abgleichen oder Verknüpfen,
  • Einschränken, Löschen, Vernichten der Daten,
  • technische und organisatorische Wartung von Systemen, in denen Daten verarbeitet werden.

Zweck der Verarbeitung ist ausschließlich die Erfüllung der vertraglich geschuldeten Leistungen aus dem Hauptvertrag.

§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen

(1) Datenkategorien. Je nach Art der beauftragten Leistung können folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Stammdaten: Name, Anschrift, Telefonnummer, E-Mail-Adresse, Unternehmenszugehörigkeit, Funktion, Umsatzsteuer-Identifikationsnummer,
  • Vertrags- und Abrechnungsdaten: Vertragsdaten, Rechnungsdaten, Zahlungsdaten (soweit über Zahlungsdienstleister),
  • Login- und Zugangsdaten: Zugangsdaten zu Systemen und Plattformen des Auftraggebers (z. B. WordPress-Admin, Hosting-Konto, Google-Business-Profile, Google-Search-Console, Google-Analytics, Domainverwaltung), soweit diese zur Leistungserbringung übergeben werden,
  • Kommunikationsdaten: E-Mail-Verkehr, Support-Anfragen, Tickets, Notizen aus Beratungsgesprächen,
  • Inhalts- und Bilddaten: auf der Website veröffentlichte Texte, Bilder, Videos einschließlich darin abgebildeter Personen,
  • Bewertungstexte und Profildaten Dritter: bei Bewertungsmanagement im Google-Business-Profile Klarnamen und Inhalte abgegebener Bewertungen,
  • Web-Nutzungsdaten: über die Website des Auftraggebers erhobene Nutzungs-, Geräte- und Standortinformationen (insbesondere über Google Analytics, Google Search Console, Google Business Profile-Insights),
  • Backup- und Log-Daten: im Rahmen der Service-Pakete erstellte Backups, Plugin-Logs, Aktivitätslogs, IT-Sicherheits-Logs und Monitoring-Daten der Kunden-Website.

(2) Kategorien betroffener Personen:

  • Mitarbeiter, Vertretungsberechtigte und Ansprechpartner des Auftraggebers,
  • Endkunden und Interessenten des Auftraggebers (z. B. Verfasser von Bewertungen, Kontaktformular-Nutzer),
  • Besucher der Website und Plattform-Auftritte des Auftraggebers,
  • sonstige natürliche Personen, deren Daten im Auftrag des Auftraggebers verarbeitet werden.

(3) Keine besonderen Kategorien personenbezogener Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (z. B. Gesundheitsdaten, religiöse Überzeugungen) ist nicht Bestandteil der Leistung. Soweit der Auftraggeber solche Daten in eigenverantwortlich bereitgestellten Inhalten überträgt, erfolgt dies in seiner alleinigen Verantwortung.

§ 3 Weisungsbindung

(1) SEO-Retter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen werden in der Regel durch den Hauptvertrag sowie diesen AVV erteilt. Zusätzliche Weisungen kann der Auftraggeber jederzeit in Textform an office@seo-retter.de richten.

(2) Eine Verarbeitung zu anderen als den vereinbarten Zwecken erfolgt nur, wenn dies nach Unionsrecht oder dem Recht eines Mitgliedstaats, dem SEO-Retter unterliegt, erforderlich ist; in einem solchen Fall teilt SEO-Retter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(3) SEO-Retter informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltende datenschutzrechtliche Bestimmungen verstößt. SEO-Retter ist berechtigt, die Ausführung der entsprechenden Weisung so lange auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird.

§ 4 Technisch-organisatorische Maßnahmen (TOM)

(1) SEO-Retter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen werden dem Stand der Technik regelmäßig angepasst.

(2) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO):

  • Zutrittskontrolle: Verarbeitung in einem deutschen Rechenzentrum (Hetzner Online GmbH, Standort: Falkenstein / Nürnberg / Helsinki). Zutritt nur für autorisierte Mitarbeiter des Rechenzentrumsbetreibers nach dokumentierter Identifikation.
  • Zugangskontrolle: Zugriff auf das Portalsystem (app.seo-retter.de) ausschließlich über verschlüsselte Verbindungen (TLS 1.2+), passwortgeschütztes Login mit Mindestkomplexität, zeitlich begrenzte Sessions, automatische Session-Invalidierung bei Inaktivität.
  • Zugriffskontrolle: Differenziertes Rollen- und Rechtekonzept (Superadmin, Admin-Rollen, Owner, Sub-User), zugriffsbeschränkte Datenbankrollen, Zugriffsprotokollierung in Audit-Logs.
  • Trennungskontrolle: Logische Mandantentrennung der Kundendaten (jeder Kunde = eigene Datenebene mit user_id-basierter Zugriffsbeschränkung in der Datenbank).
  • Pseudonymisierung: Sensible Schlüsseldaten (Magic-Link-Tokens, Session-Tokens, Zahlungstoken) werden ausschließlich pseudonymisiert gespeichert.

(3) Integrität (Art. 32 Abs. 1 lit. b DSGVO):

  • Weitergabekontrolle: Datenübertragung ausschließlich über TLS-verschlüsselte Verbindungen, sichere SFTP-/SSH-Zugänge, verschlüsselte API-Kommunikation (HMAC-signiert, wo angebracht).
  • Eingabekontrolle: Audit-Logs für sicherheitsrelevante Aktionen (Anlegen, Ändern, Löschen von Daten) mit Zeitstempel, Akteur und IP-Adresse.

(4) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO):

  • Verfügbarkeitskontrolle: Regelmäßige automatisierte Backups, USV-gestützte Stromversorgung im Rechenzentrum, redundante Netzwerk-Anbindung, Monitoring der Systeme.
  • Rasche Wiederherstellbarkeit: Wiederherstellung aus Backups im Rahmen branchenüblicher Wiederherstellungszeiten.
  • Belastbarkeit der Systeme: Performance-Monitoring, Lastausgleich, Schutzmaßnahmen gegen Überlast.

(5) Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO):

  • Sicherheits-Updates: Regelmäßige Aktualisierung der eingesetzten Software (Betriebssystem, Webserver, PHP, Datenbank, Bibliotheken).
  • Schwachstellen-Management: Überwachung sicherheitsrelevanter Veröffentlichungen, Einbindung von Schutzmaßnahmen (z. B. Wordfence Premium bei kundenseitigen WordPress-Installationen im Rahmen der Service-Pakete WEB Plus / WEB Pro).
  • Datenschutz-Folgenabschätzung: Bei neuen Leistungsbereichen oder eingesetzten Drittanbietern erfolgt eine vorhergehende Risikobeurteilung.

(6) Auftragskontrolle: Alle Mitarbeiter und Hilfspersonen, die mit personenbezogenen Daten des Auftraggebers in Berührung kommen, sind schriftlich zur Vertraulichkeit verpflichtet und auf das Datengeheimnis hingewiesen.

(7) SEO-Retter ist berechtigt, die TOM weiterzuentwickeln und an aktuelle Anforderungen anzupassen. Wesentliche Änderungen, die das Schutzniveau betreffen, werden dem Auftraggeber in Textform mitgeteilt.

§ 5 Unterauftragsverarbeiter (Sub-Auftragsverarbeiter)

(1) Genehmigte Sub-Auftragsverarbeiter. Der Auftraggeber stimmt dem Einsatz der nachfolgend aufgeführten Sub-Auftragsverarbeiter zu. Diese Liste kann sich im Laufe der Vertragslaufzeit ändern; aktuelle Fassung jeweils einsehbar unter https://seo-retter.de/auftragsverarbeitung/.

AnbieterZweckSitzDrittlandbezug
Hetzner Online GmbHHosting des Portals app.seo-retter.de inkl. Datenbank, Backups, LogsDeutschlandnein
HubSpot Ireland Ltd.CRM für Kunden-Stammdaten, Deals, RechnungenIrlandja (USA, Standardvertragsklauseln gem. Art. 46 DSGVO bzw. EU-US Data Privacy Framework)
Microsoft Ireland Operations Ltd.E-Mail-Versand via Microsoft Graph API, Microsoft Teams (Online-Meetings)Irlandja (USA, EU-US Data Privacy Framework)
Stripe Payments Europe Ltd.Zahlungsabwicklung bei SEPA-Lastschrift- und Kartenzahlungen (nur soweit der Auftraggeber diesen Zahlungsweg wählt)Irlandja (USA, EU-US Data Privacy Framework)
Google Ireland Ltd.Google Business Profile, Google Search Console, Google Analytics, Google Ads (jeweils nur bei beauftragter Leistung)Irlandja (USA, EU-US Data Privacy Framework)
WP Umbrella SASBackup, Monitoring und Update-Verwaltung von Kunden-WordPress-Installationen im Rahmen der Service-PaketeFrankreichnein
Calendly LLCOnline-Terminbuchung (nur bei Nutzung)USAja (USA, EU-US Data Privacy Framework)
Anthropic PBC*KI-gestützte Verarbeitung (z. B. Klassifizierung, Zusammenfassung, KI-Assistenz) — derzeit nur intern, geplante Bereitstellung für Auftraggeber-FunktionenUSAja (USA, Standardvertragsklauseln gem. Art. 46 DSGVO)
Voyage AI Innovations Inc.*Generierung von Text-Embeddings für semantische Suche und Kontextverknüpfung — derzeit nur intern, geplante Bereitstellung für Auftraggeber-FunktionenUSAja (USA, Standardvertragsklauseln gem. Art. 46 DSGVO)

* Anthropic PBC und Voyage AI Innovations Inc. werden derzeit ausschließlich intern durch SEO-Retter für administrative Tätigkeiten genutzt. Eine Verarbeitung von Auftraggeber-Daten erfolgt durch diese Anbieter erst bei aktiver Bereitstellung entsprechender KI-Funktionen für den Auftraggeber. Der Auftraggeber wird hierüber jeweils gesondert informiert.

(2) Pflichten von SEO-Retter bei Sub-Auftragsverarbeitern. SEO-Retter wählt Sub-Auftragsverarbeiter unter sorgfältiger Berücksichtigung der Eignung und Zuverlässigkeit aus und stellt durch vertragliche Vereinbarungen sicher, dass die Sub-Auftragsverarbeiter die gleichen datenschutzrechtlichen Verpflichtungen einhalten wie sie SEO-Retter selbst aus diesem AVV obliegen.

(3) Drittlandtransfer. Erfolgt eine Übermittlung personenbezogener Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums (EWR), stellt SEO-Retter sicher, dass die Anforderungen der Art. 44 ff. DSGVO eingehalten werden, insbesondere durch Standardvertragsklauseln, Angemessenheitsbeschlüsse (z. B. EU-US Data Privacy Framework) oder andere geeignete Garantien.

(4) Änderung der Sub-Auftragsverarbeiter. SEO-Retter informiert den Auftraggeber über beabsichtigte Änderungen der Liste der Sub-Auftragsverarbeiter mit einer Vorlaufzeit von mindestens 14 Tagen in Textform (E-Mail an die hinterlegte Kontaktadresse genügt). Der Auftraggeber kann der Änderung innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen in Textform widersprechen. Im Fall eines berechtigten Widerspruchs sind die Parteien zur einvernehmlichen Klärung verpflichtet; lässt sich keine einvernehmliche Lösung herbeiführen, steht beiden Parteien ein außerordentliches Kündigungsrecht des Hauptvertrages zu.

(5) Nicht als Sub-Auftragsverarbeiter gelten Telekommunikationsdienstleister, Postdienste, Energie- und Wartungsdienstleister sowie sonstige Anbieter von Nebenleistungen, die keinen regelmäßigen oder gezielten Zugriff auf personenbezogene Daten des Auftraggebers haben.

§ 6 Pflichten von SEO-Retter

SEO-Retter verpflichtet sich, insbesondere:

  • personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers zu verarbeiten,
  • die unter § 4 beschriebenen TOM einzuhalten,
  • die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten,
  • den Auftraggeber unverzüglich zu informieren, wenn ihm aus seiner Sicht eine Weisung als rechtswidrig erscheint,
  • den Auftraggeber zu unterstützen bei der Erfüllung von Anträgen betroffener Personen (Art. 15 bis 22 DSGVO), insbesondere bei Auskunfts-, Berichtigungs- und Löschungsbegehren,
  • den Auftraggeber zu unterstützen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldepflichten, Datenschutz-Folgenabschätzung),
  • nach Abschluss der Erbringung der Verarbeitungstätigkeit nach Wahl des Auftraggebers entweder alle personenbezogenen Daten zu löschen oder zurückzugeben (vgl. § 9),
  • dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen.

§ 7 Pflichten des Auftraggebers

(1) Der Auftraggeber ist als Verantwortlicher für die Einhaltung der datenschutzrechtlichen Bestimmungen sowie der Rechtsmäßigkeit der Verarbeitung allein verantwortlich.

(2) Der Auftraggeber stellt insbesondere sicher, dass:

  • die zur Verarbeitung übermittelten Daten rechtmäßig erhoben wurden,
  • die erforderlichen Rechtsgrundlagen für die Verarbeitung vorliegen (insbesondere Einwilligungen, Verträge, berechtigte Interessen),
  • die betroffenen Personen über die Verarbeitung ihrer Daten gemäß Art. 13 und 14 DSGVO informiert wurden (insbesondere durch Datenschutzerklärung auf der Website),
  • bei besonderen Verarbeitungen (z. B. Cookies, Tracking-Tools, Analytics) die jeweils erforderlichen Einwilligungen eingeholt werden (z. B. via Cookie-Consent-Tool nach TTDSG/DSGVO),
  • Anträge betroffener Personen primär an den Auftraggeber gerichtet werden und dieser SEO-Retter unverzüglich informiert, soweit zur Beantwortung Daten aus der Verarbeitung erforderlich sind.

(3) Der Auftraggeber benennt eine zuständige Kontaktperson für Datenschutzfragen, soweit er nicht selbst Ansprechpartner ist.

(4) Der Auftraggeber führt das gemäß Art. 30 Abs. 1 DSGVO erforderliche Verzeichnis von Verarbeitungstätigkeiten. SEO-Retter führt das Verzeichnis gemäß Art. 30 Abs. 2 DSGVO für die Auftragsverarbeitung.

§ 8 Datenschutzverletzungen, Meldepflichten

(1) SEO-Retter meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, nachdem sie SEO-Retter bekannt geworden sind, spätestens jedoch innerhalb von 48 Stunden.

(2) Die Meldung erfolgt in Textform an die im Hauptvertrag hinterlegte Kontaktadresse des Auftraggebers und enthält insbesondere:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,
  • betroffene Kategorien und Anzahl betroffener Personen, betroffene Datenkategorien,
  • Name und Kontaktdaten des Datenschutzansprechpartners bei SEO-Retter,
  • Beschreibung der wahrscheinlichen Folgen der Verletzung,
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung sowie ggf. zur Abmilderung möglicher nachteiliger Auswirkungen.

(3) Die Pflicht zur Meldung der Datenschutzverletzung an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO sowie zur Benachrichtigung betroffener Personen gemäß Art. 34 DSGVO obliegt dem Auftraggeber als Verantwortlichem.

(4) SEO-Retter unterstützt den Auftraggeber bei der Erfüllung dieser Pflichten im Rahmen der zumutbaren Möglichkeiten.

§ 9 Löschung und Rückgabe personenbezogener Daten

(1) Nach Abschluss der Verarbeitung — spätestens nach Beendigung des Hauptvertrages — gibt SEO-Retter sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers zurück oder löscht sie nach datenschutzrechtlichen Anforderungen.

(2) Der Auftraggeber teilt seine Wahl SEO-Retter innerhalb von 30 Tagen nach Vertragsende in Textform mit. Erfolgt keine Mitteilung, ist SEO-Retter berechtigt, die Daten innerhalb angemessener Frist datenschutzkonform zu löschen.

(3) Bestehende gesetzliche Aufbewahrungspflichten (z. B. Steuer-, Handels- oder Aufbewahrungsfristen für Rechnungen) bleiben unberührt. Daten, die solchen Aufbewahrungspflichten unterliegen, werden für die Dauer der Aufbewahrungspflicht weiter gespeichert und anschließend gelöscht.

(4) Die ordnungsgemäße Löschung wird dem Auftraggeber auf Verlangen in Textform bestätigt.

§ 10 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, sich von der Einhaltung der vereinbarten Pflichten durch SEO-Retter zu überzeugen.

(2) SEO-Retter stellt dem Auftraggeber auf Anfrage in angemessener Frist alle erforderlichen Informationen, Nachweise und Dokumentationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus diesem AVV erforderlich sind.

(3) Vor-Ort-Kontrollen sind nach vorheriger Anmeldung mit einer Frist von mindestens 14 Tagen während der üblichen Geschäftszeiten zulässig, soweit ein berechtigtes Interesse besteht und dies zur Erfüllung gesetzlicher Pflichten erforderlich ist. Die Kontrollen dürfen den Geschäftsbetrieb von SEO-Retter nicht über das erforderliche Maß hinaus beeinträchtigen.

(4) Soweit für eine Kontrolle ein angemessener Aufwand auf Seiten von SEO-Retter entsteht, der über die übliche Bereitstellung von Auskünften hinausgeht, ist SEO-Retter berechtigt, den Aufwand zu marktüblichen Sätzen zu berechnen.

(5) Die Anwesenheit von Beratern und sonstigen Hilfspersonen des Auftraggebers ist zulässig, soweit diese zur Vertraulichkeit verpflichtet sind und keine Wettbewerber von SEO-Retter sind oder für solche tätig sind.

§ 11 Haftung

Die Haftung der Parteien für Verstöße gegen datenschutzrechtliche Bestimmungen richtet sich nach Art. 82 DSGVO. Die im Hauptvertrag und in den AGB vereinbarten allgemeinen Haftungsregelungen gelten ergänzend, soweit sie diesen AVV nicht widersprechen und mit Art. 82 DSGVO vereinbar sind.

§ 12 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt die gesetzliche Regelung; soweit eine solche nicht besteht, eine wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(2) Im Widerspruchsfall zwischen diesem AVV und dem Hauptvertrag oder den AGB gehen die Regelungen dieses AVV in datenschutzrechtlicher Hinsicht vor.

(3) Änderungen oder Ergänzungen dieses AVV bedürfen der Textform.

(4) Auf diesen AVV findet ausschließlich das Recht der Bundesrepublik Deutschland Anwendung. Erfüllungsort und Gerichtsstand richten sich nach den entsprechenden Regelungen der AGB.

SEO-Retter
Inhaber: Alexandros Hatzopulos
Europaplatz 7, 74177 Bad Friedrichshall
E-Mail: office@seo-retter.de · Telefon: +49 (0) 7136 2953 101

Datenschutzfragen: office@seo-retter.de