Auftragsverarbeitungsvertrag (AVV)

gem. Art. 28 DSGVO — Stand: April 2026

§1 Vertragsgegenstand und Laufzeit

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen dem Auftragnehmer und dem Auftraggeber gemäß Art. 28 DSGVO im Rahmen der Nutzung der Plattform storeondemand.de.

Auftragnehmer (Verarbeiter):
Norman Voellings
Urbanização Quinta da Torre 20
8365-184 Armação de Pêra, Portugal
USt-IdNr.: PT304893803
E-Mail: info@storeondemand.de

Auftraggeber (Verantwortlicher):
Der jeweilige Shop-Betreiber, der die Plattform storeondemand.de nutzt und einen Account registriert hat.

Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags (Nutzung der Plattform). Er endet automatisch mit Beendigung des Hauptvertrags.

§2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten zum Zweck der Bereitstellung der E-Commerce-Plattform storeondemand.de, insbesondere:

  • Hosting und Betrieb des Online-Shops des Auftraggebers
  • Speicherung und Verwaltung von Bestelldaten
  • Zahlungsabwicklung über Stripe Connect
  • Versand von transaktionalen E-Mails (Bestellbestätigungen, Versandbenachrichtigungen)
  • Kundenverwaltung und Support-Kommunikation

§3 Art der personenbezogenen Daten

  • Stammdaten (Name, Adresse)
  • Kontaktdaten (E-Mail, Telefonnummer)
  • Bestelldaten (Bestellnummer, Produkte, Beträge)
  • Zahlungsdaten (verarbeitet durch Stripe, nicht direkt gespeichert)
  • Nutzungsdaten (IP-Adresse, Browser-Informationen)

§4 Kategorien betroffener Personen

  • Endkunden des Auftraggebers (Käufer im Online-Shop)
  • Mitarbeiter und Beauftragte des Auftraggebers
  • Der Auftraggeber selbst (Shop-Betreiber)

§5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • Personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • Alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)
  • Geeignete technische und organisatorische Maßnahmen zu ergreifen (Art. 32 DSGVO)
  • Den Auftraggeber bei der Erfüllung der Rechte betroffener Personen zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
  • Nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
  • Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO)

§6 Technische und organisatorische Maßnahmen

Der Auftragnehmer gewährleistet folgende Maßnahmen gem. Art. 32 DSGVO:

  • Verschlüsselung der Datenübertragung (TLS/HTTPS)
  • Zugriffskontrolle durch Authentifizierung und Autorisierung
  • Regelmäßige Backups der Datenbanken
  • Hosting bei Supabase (EU-Region) mit SOC 2 Type II Zertifizierung
  • Trennung der Mandantendaten durch Row Level Security
  • Protokollierung von Zugriffen

§7 Unterauftragnehmer (Sub-Prozessoren)

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragnehmer zu:

  • Supabase Inc. — Datenbank-Hosting, Authentifizierung (EU-Region)
  • Stripe Inc. — Zahlungsabwicklung (EU-Verarbeitung, SCCs)
  • Resend Inc. — Transaktionaler E-Mail-Versand
  • Hostinger International Ltd. — Server-Hosting (EU)

Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Auftraggeber kann gegen solche Änderungen Einspruch erheben.

§8 Drittlandtransfer

Eine Übermittlung personenbezogener Daten in Drittländer findet nur statt, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind. Für US-basierte Unterauftragnehmer (Stripe, Resend) gelten die EU-Standardvertragsklauseln (SCCs) bzw. das EU-US Data Privacy Framework.

§9 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung erfolgt per E-Mail an die beim Auftraggeber hinterlegte Kontakt-E-Mail-Adresse.

§10 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Anforderungen und der Bestimmungen dieses AVV zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und ermöglicht Audits einschließlich Inspektionen.

§11 Ansprechpartner

Für Fragen zum Datenschutz und zu diesem AVV:

Norman Voellings
E-Mail: info@storeondemand.de

Stand: April 2026