Auftragsverarbeitungsvertrag

Last updated: Mai 2026

Diese Mustervereinbarung („AVV") wird zwischen dem Kunden („Verantwortlicher") und der DexterBee GmbH, Industriestraße 13, 63755 Alzenau („Auftragsverarbeiter", „UIWeaver") geschlossen und regelt die Verarbeitung personenbezogener Daten durch UIWeaver im Auftrag des Kunden gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO). Sie ergänzt den jeweiligen Hauptvertrag (Allgemeine Geschäftsbedingungen, Statement of Work).

Eine vom Auftragsverarbeiter unterzeichnete Fassung dieser Mustervereinbarung wird auf Anforderung an privacy@uiweaver.io bereitgestellt.

§ 1 Gegenstand und Dauer

(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch UIWeaver im Rahmen der Bereitstellung der vereinbarten Leistungen (KI-gestützte Website-Erstellung, Hosting, Wartung, transaktionale Kommunikation).

(2) Die Vereinbarung beginnt mit Vertragsschluss des Hauptvertrags und endet automatisch mit dessen Beendigung. § 9 (Beendigung) bleibt unberührt.

§ 2 Art und Zweck der Verarbeitung

UIWeaver verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

  • Bereitstellung und Betrieb der Website-Plattform;
  • Erzeugung KI-gestützter Designvorschläge auf Basis der Eingaben des Endnutzers;
  • Hosting der erstellten Websites (sofern beauftragt);
  • Versand transaktionaler E-Mails an Endkunden des Verantwortlichen;
  • Bereitstellung technischer Wartung, Backups und Sicherheitsaktualisierungen.

§ 3 Art der personenbezogenen Daten

  • Stammdaten (Name, Firma, Anschrift, USt-IdNr.);
  • Kontaktdaten (E-Mail-Adresse, Telefonnummer);
  • Nutzungsdaten (IP-Adresse — gehasht binnen 24 h, Browserinformationen, Zeitstempel);
  • Inhaltsdaten (vom Endnutzer eingegebene Geschäftsbeschreibung, Konfiguration);
  • Vertragsdaten und transaktionale Daten (Bestellnummer, Abonnement-Status — nicht jedoch vollständige Zahlungsdaten).

§ 4 Kategorien betroffener Personen

  • Endnutzer und Besucher der vom Verantwortlichen betriebenen Websites;
  • Geschäftspartner und Interessenten des Verantwortlichen;
  • Beschäftigte und Beauftragte des Verantwortlichen, soweit sie das System administrieren.

§ 5 Pflichten des Auftragsverarbeiters

UIWeaver verpflichtet sich:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO); dies gilt auch in Bezug auf Übermittlungen an Drittländer, es sei denn, eine gesetzliche Verpflichtung verlangt das Gegenteil;
  • sicherzustellen, dass alle zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
  • die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO zu treffen (siehe § 7);
  • die in § 6 geregelten Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter einzuhalten;
  • den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO);
  • dem Verantwortlichen alle für den Nachweis der Einhaltung dieser AVV erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen einschließlich Inspektionen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO);
  • den Verantwortlichen umgehend zu unterrichten, sofern UIWeaver der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

§ 6 Inanspruchnahme weiterer Auftragsverarbeiter (Subunternehmer)

(1) Der Verantwortliche erteilt mit Abschluss dieses AVV eine allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 DSGVO, weitere Auftragsverarbeiter im erforderlichen Umfang heranzuziehen. Bei Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informiert UIWeaver den Verantwortlichen mit einer Frist von vier Wochen vorab und räumt ein Widerspruchsrecht ein.

(2) Aktueller Stand der eingesetzten Subunternehmer:

  • Stripe Payments Europe, Ltd., Dublin, Irland — Zahlungsabwicklung.
  • Supabase, Inc., Singapur (Datenhaltung in AWS eu-central-1, Frankfurt) — Datenbank.
  • Vercel Inc., Covina, CA, USA — Hosting und Edge-Functions.
  • Resend, Inc., San Francisco, CA, USA — Versand transaktionaler E-Mails.
  • Google LLC, Mountain View, CA, USA — Gemini API zur Designerzeugung.
  • Google Ireland Ltd., Dublin, Irland — Google Analytics 4 (nur mit Einwilligung).
  • Sanity, Inc., San Francisco, CA, USA — Headless-CMS (optional).

(3) UIWeaver stellt sicher, dass mit jedem Subunternehmer die Pflichten aus Art. 28 DSGVO in gleichwertiger Form vertraglich vereinbart sind.

§ 7 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

UIWeaver setzt geeignete technische und organisatorische Maßnahmen ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere:

  • Verschlüsselung in Übertragung (TLS 1.3) und Ruhe (AES-256);
  • rollenbasierte Zugriffskontrollen und Mehr-Faktor-Authentifizierung für administrative Konten;
  • Logging sicherheitsrelevanter Ereignisse und automatisierte Anomalieerkennung;
  • regelmäßige Backups mit dokumentierten Wiederherstellungstests;
  • Pseudonymisierung (z.B. Hashing von IP-Adressen);
  • Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen.

Eine detaillierte Liste der eingesetzten technischen und organisatorischen Maßnahmen wird auf Anfrage in Anlage 1 zu dieser AVV bereitgestellt.

§ 8 Unterstützungspflichten, Betroffenenrechte

UIWeaver unterstützt den Verantwortlichen bei der Erfüllung der Anträge betroffener Personen nach Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Wendet sich eine betroffene Person unmittelbar an UIWeaver, leitet UIWeaver die Anfrage unverzüglich an den Verantwortlichen weiter.

§ 9 Meldung von Datenschutzverletzungen (Art. 33 DSGVO)

UIWeaver meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, in der Regel binnen 24 Stunden ab Kenntnis. Die Meldung umfasst eine Beschreibung des Vorfalls, der betroffenen Datenkategorien, der voraussichtlichen Folgen und der bereits ergriffenen Maßnahmen.

§ 10 Audit- und Kontrollrechte

(1) Der Verantwortliche hat das Recht, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessenem Umfang von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO).

(2) Audits können durch Einsichtnahme in Selbstauskünfte, Zertifizierungen (z.B. SOC 2, ISO 27001) oder Prüfberichte unabhängiger Dritter erfolgen. Vor-Ort-Prüfungen sind mit einer Vorlauffrist von 30 Tagen abzustimmen und auf das erforderliche Maß zu beschränken.

§ 11 Drittlandübermittlung

Soweit personenbezogene Daten im Rahmen der Auftragsverarbeitung außerhalb der EU/EWR verarbeitet werden, stützt UIWeaver die Übermittlung primär auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (C(2023) 4745) sowie ergänzend auf EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914. Zusätzliche technische und organisatorische Maßnahmen (Verschlüsselung, Zugriffsbeschränkungen) werden umgesetzt.

§ 12 Beendigung, Datenlöschung

Nach Beendigung des Hauptvertrags löscht oder gibt UIWeaver — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern nicht eine gesetzliche Aufbewahrungspflicht (insbesondere §§ 147 AO, 257 HGB) entgegensteht. Die Rückgabe oder Löschung erfolgt innerhalb von 30 Tagen nach Vertragsbeendigung; auf Anfrage wird der Löschvorgang dokumentiert.

§ 13 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und nach den Bestimmungen des Hauptvertrags. Im Innenverhältnis gilt die im Hauptvertrag vereinbarte Haftungsbegrenzung entsprechend, soweit gesetzlich zulässig.

§ 14 Schlussbestimmungen

(1) Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag gehen die Regelungen dieser AVV vor, soweit es um den Schutz personenbezogener Daten geht.

(2) Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Anwendbares Recht: Recht der Bundesrepublik Deutschland. Gerichtsstand: Aschaffenburg.

Kontakt

Anfragen zu diesem AVV: privacy@uiweaver.io
Anbieterkennzeichnung: Impressum.