gemäß Art. 28 DSGVO - zwischen dem Kunden („Verantwortlicher") und der Pixel & Process UG (haftungsbeschränkt), Marliring 74, 23566 Lübeck („Auftragsverarbeiter"), betreffend die Nutzung des Sorrel-Scan-Dienstes.
1. Gegenstand und Dauer
Gegenstand der Verarbeitung ist die automatisierte Prüfung der vom Kunden beauftragten Websites auf typische DSGVO/TTDSG-Verstöße und die Bereitstellung der Ergebnisse über die Sorrel-Plattform. Die Dauer entspricht der Laufzeit des Hauptvertrags (Sorrel-Tarif).
2. Art und Zweck
Verarbeitet werden technische Beobachtungsdaten der gescannten Websites (HTTP-Requests, Cookies, gerendertes HTML, Headers). Sofern darin personenbezogene Daten enthalten sind (z. B. in Logfiles oder Beispielinhalten), erfolgt die Verarbeitung ausschließlich zum Zweck der Berichtserstellung.
3. Art der personenbezogenen Daten und Kategorien betroffener Personen
- Technische Identifikatoren (IP, User-Agent) in Server-Logs
- Im HTML potenziell enthaltene personenbezogene Daten (z. B. Mitarbeitende des Kunden)
- Cookies und Storage-Inhalte der gescannten Domain
Betroffene: Besucher der gescannten Websites, Mitarbeitende des Kunden.
4. Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen erfolgen über die Plattform-Konfiguration (Scan-Beauftragung, Domain-Liste).
5. Technische und organisatorische Maßnahmen (TOMs)
- Hosting bei Hetzner Online GmbH, Falkenstein/Nürnberg (Deutschland)
- TLS 1.3 für Datentransport, AES-256 für Storage
- Zwei-Faktor-Authentifizierung für alle Admin-Accounts
- Rollenbasierte Zugriffskontrolle (Owner / Admin / Member)
- Logging und Audit-Trails (90 Tage Aufbewahrung)
- Wöchentliche verschlüsselte Backups
- Mitarbeiter-Verpflichtung auf Datengeheimnis
6. Unterauftragsverarbeiter
Der Kunde stimmt der Inanspruchnahme folgender Unterauftragsverarbeiter zu:
- Hetzner Online GmbH (DE) - Hosting
- Stripe Payments Europe Ltd. (IE) - Zahlungsabwicklung
- Postmark / Wildbit LLC (EU-Region) - Transaktionale E-Mails
- Sentry GmbH (DE) - Error-Monitoring
Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung.
7. Drittlandtransfers
Innerhalb der EU/EWR finden sämtliche Verarbeitungen statt. Sollten Drittlandtransfers künftig erforderlich werden, geschieht dies ausschließlich auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO und nach vorheriger Information des Verantwortlichen.
8. Mitteilungs- und Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Betroffenenrechten (Auskunft, Löschung, Berichtigung), Datenschutz-Folgenabschätzungen und Meldungen an die Aufsichtsbehörde.
9. Löschung und Rückgabe
Nach Beendigung des Vertrags werden Scan-Artefakte spätestens nach 90 Tagen gelöscht; Stammdaten nach 30 Tagen (außer gesetzlich gebotene Aufbewahrungsfristen). Auf Wunsch wird vorher ein Export bereitgestellt.
10. Nachweise und Audits
Der Auftragsverarbeiter weist die Einhaltung dieses Vertrags durch geeignete Nachweise (TOMs-Dokumentation, ggf. Zertifikate) nach. Audits durch den Verantwortlichen oder einen unabhängigen Prüfer sind nach vorheriger Ankündigung zulässig.
Dieser AVV kommt mit Abschluss des Sorrel-Kostenpflichtigen-Tarifs automatisch zustande. Eine unterschriebene Fassung kann auf Anfrage unter datenschutz@pixelandprocess.de angefordert werden.