1. Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch Forge12 (Auftragsverarbeiter) im Auftrag des Auftraggebers (Verantwortlicher) im Rahmen der vom Auftraggeber beauftragten Produkte und Leistungen gemäß Hauptvertrag einschließlich der jeweils vereinbarten Anlagen. Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Gegenstand, Kategorien betroffener Personen, Datenarten und Speicherdauer ergeben sich aus den produktspezifischen Anlagen.
2. Weisungsbindung
Forge12 verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht. Weisungen, die über den vereinbarten Leistungsumfang hinausgehen, können von Forge12 als Änderungsleistung gesondert vergütet werden. Forge12 ist nicht verpflichtet, Weisungen auszuführen, die offensichtlich gegen geltendes Datenschutzrecht verstoßen, und wird den Auftraggeber hierauf unverzüglich hinweisen.
3. Technische und organisatorische Maßnahmen
Forge12 trifft die geeigneten technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Die jeweils aktuellen technischen und organisatorischen Maßnahmen ergeben sich aus Anlage D – Technische und organisatorische Maßnahmen (TOM), die Bestandteil dieser Vereinbarung ist. Forge12 ist berechtigt, diese fortlaufend an den Stand der Technik anzupassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
4. Unterauftragsverarbeiter
Forge12 ist berechtigt, weitere Unterauftragsverarbeiter einzusetzen oder bestehende zu ersetzen, sofern deren Einsatz zur Leistungserbringung erforderlich ist. Der Auftraggeber wird hierüber mindestens 14 Kalendertage vor dem geplanten Einsatz in Textform (z. B. per E-Mail) informiert. Der Auftraggeber kann dem Einsatz aus datenschutzrechtlich begründeten Gründen innerhalb dieser Frist widersprechen. Erfolgt innerhalb der Frist kein Widerspruch, gilt der Einsatz als genehmigt. Erhebt der Auftraggeber einen berechtigten Widerspruch und können die Parteien keine zumutbare Lösung finden, ist jede Partei berechtigt, den betroffenen Teil der Leistungen außerordentlich mit einer Frist von 14 Tagen zu kündigen. Forge12 wird sicherstellen, dass mit jedem Unterauftragsverarbeiter eine Vereinbarung gemäß Art. 28 Abs. 4 DSGVO abgeschlossen wurde.
5. Übermittlung in Drittländer
Soweit Unterauftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln, einen Angemessenheitsbeschluss oder andere geeignete Garantien gemäß DSGVO).
6. Unterstützungspflichten
Forge12 unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung seiner datenschutzrechtlichen Pflichten gemäß Art. 28 Abs. 3 lit. e und f DSGVO, insbesondere bei Anfragen betroffener Personen, Datenschutzverletzungen sowie Datenschutz-Folgenabschätzungen, soweit dies die Verarbeitung betrifft. Ein hierdurch entstehender zusätzlicher Aufwand kann gesondert vergütet werden, sofern er nicht auf einem Pflichtverstoß von Forge12 beruht.
7. Löschung und Rückgabe nach Vertragsende
Nach Beendigung der Verarbeitung löscht oder gibt Forge12 sämtliche personenbezogenen Daten nach Wahl des Auftraggebers zurück, soweit dies technisch möglich ist und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen.
8. Kontrolle und Nachweise
Forge12 stellt dem Auftraggeber auf Anforderung alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Verpflichtungen nach Art. 28 DSGVO erforderlich sind. Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV nach angemessener Vorankündigung nachzuweisen. Forge12 kann geeignete Nachweise (z. B. Dokumentationen, Zertifizierungen oder Selbstauskünfte) zur Verfügung stellen. Vor-Ort-Audits erfolgen nur, soweit dies erforderlich ist und keine gleichwertigen Nachweise ausreichen. Die Kosten eines Audits trägt der Auftraggeber selbst, soweit kein erheblicher Verstoß von Forge12 gegen datenschutzrechtliche Pflichten festgestellt wird.
9. Meldung von Datenschutzverletzungen
Forge12 informiert den Auftraggeber unverzüglich, nachdem Forge12 Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, soweit diese die Verarbeitung nach diesem Vertrag betrifft, und unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung seiner gesetzlichen Melde- und Benachrichtigungspflichten.
10. Aufbewahrung der Vereinbarung
Forge12 ist berechtigt, Nachweise über Abschluss, Inhalt, Version sowie Zeitpunkt des Vertragsschlusses so lange aufzubewahren, wie dies zur Erfüllung gesetzlicher Nachweispflichten oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Soweit personenbezogene Kontaktdaten hierfür nicht erforderlich sind, werden diese nach Vertragsende gelöscht oder anonymisiert.
Anlagen
Anlage A — Plugins
Zweck: Lizenz- und Update-Prüfung der eingesetzten Forge12-Plugins.
Kategorien betroffener Personen: Administratoren und Website-Betreiber des Auftraggebers.
Speicherdauer: Für die Dauer der aktiven Lizenz; technische Log-Daten werden grundsätzlich nach spätestens 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten oder sicherheitsrelevanten Gründe entgegenstehen.
Arten personenbezogener Daten
- Domain/URL der Installation
- Lizenzschlüssel
- IP-Adresse
- technische Metadaten
Unterauftragsverarbeiter
| Anbieter | Zweck | Ort |
|---|---|---|
| Hetzner Online GmbH | Hosting / Rechenzentrum | Deutschland (EU) |
| Cloudflare, Inc. | CDN / DDoS-Schutz | EU/USA (SCC) |
Anlage B — SilentChat
Zweck: Betrieb des SilentChat-Systems (Chat-Kommunikation) auf der Website des Auftraggebers.
Kategorien betroffener Personen: Besucher, Kunden und Interessenten des Auftraggebers.
Speicherdauer: Nach den Einstellungen des Auftraggebers bzw. bis zur Löschung durch den Auftraggeber.
Optionale KI-Funktionen: Sofern der Auftraggeber KI-gestützte Funktionen aktiviert, können je nach aktivierter Konfiguration ein oder mehrere der nachfolgenden Unterauftragsverarbeiter eingesetzt werden — OpenAI (USA), Anthropic „Claude" (USA) oder IONOS AI (Deutschland/EU). Der konkrete Anbieter richtet sich nach der Auswahl des Auftraggebers; ohne Aktivierung der KI-Funktionen findet keine entsprechende Übermittlung statt. Der eingesetzte KI-Anbieter richtet sich ausschließlich nach der vom Auftraggeber aktiv ausgewählten Konfiguration. Die Aktivierung oder Änderung des KI-Anbieters erfolgt durch den Auftraggeber im Kundenkonto oder auf dessen dokumentierte Weisung. Bei Anbietern außerhalb des EWR erfolgt die Verarbeitung auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.
Arten personenbezogener Daten
- Chat-Inhalte
- Besucher-Kennung
- IP-Adresse
- Browser-/Gerätedaten
Unterauftragsverarbeiter
| Anbieter | Zweck | Ort |
|---|---|---|
| Hetzner Online GmbH | Hosting / Rechenzentrum | Deutschland (EU) |
| Hetzner Online GmbH | E-Mail-Versand (SMTP) | Deutschland (EU) |
| Cloudflare, Inc. | CDN / DDoS-Schutz | EU/USA (SCC) |
| OpenAI, Inc. | optionale KI-Funktionen (nur bei Aktivierung) | USA |
| Anthropic PBC | optionale KI-Funktionen (nur bei Aktivierung) | USA |
| IONOS SE (IONOS AI) | optionale KI-Funktionen (nur bei Aktivierung) | Deutschland (EU) |
Anlage C — SilentShield
Zweck: Schutz der Website des Auftraggebers vor automatisierten und missbräuchlichen Zugriffen (Bot-/Spam-Abwehr).
Kategorien betroffener Personen: Besucher der Website des Auftraggebers.
Speicherdauer: Kurzzeitige Verarbeitung zur Anfrage-Bewertung; keine dauerhafte Profilbildung.
Arten personenbezogener Daten
- IP-Adresse
- Request-Metadaten
- Verhaltenssignale (anonymisiert)
Unterauftragsverarbeiter
| Anbieter | Zweck | Ort |
|---|---|---|
| Hetzner Online GmbH | Hosting / Rechenzentrum | Deutschland (EU) |
| Cloudflare, Inc. | CDN / DDoS-Schutz | EU/USA (SCC) |
Anlage D — Technische und organisatorische Maßnahmen (TOM)
Diese Anlage beschreibt die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Forge12 darf sie fortlaufend an den Stand der Technik anpassen, ohne das vereinbarte Schutzniveau zu unterschreiten.
Vertraulichkeit: rollenbasierte Zugriffskontrolle, Need-to-know-Prinzip, verschlüsselte Authentifizierung, Mehr-Faktor-Authentifizierung für administrative Zugänge (soweit technisch verfügbar), getrennte Entwicklungs- und Produktionsumgebungen.
Datentrennung: Logische Trennung der Daten verschiedener Auftraggeber innerhalb der eingesetzten Systeme.
Integrität: Transportverschlüsselung (TLS 1.2+), Verschlüsselung sensibler Daten im Ruhezustand, auditierbare Eingabe- und Änderungsprotokollierung.
Verfügbarkeit & Belastbarkeit: regelmäßige Datensicherungen entsprechend den vereinbarten Leistungen und dem jeweiligen Backup-Konzept, Monitoring, DDoS-/Bot-Schutz, Schutz vor unbefugtem physischem Zutritt zu Server- und Büroräumen.
Wiederherstellbarkeit: Verfahren zur Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten nach einem physischen oder technischen Zwischenfall.
Verarbeitung im Auftrag: Verarbeitung nur auf dokumentierte Weisung, Verpflichtung der Mitarbeitenden auf Vertraulichkeit, sorgfältige Auswahl und Kontrolle von Unterauftragsverarbeitern.
Überprüfung: regelmäßige Evaluierung der Wirksamkeit der Maßnahmen.
Den Auftragsverarbeitungsvertrag schließen Sie rechtsverbindlich in Ihrem eingeloggten Kundenkonto ab.
Im Konto abschließen →