Data processing agreement
This data processing agreement (Auftragsverarbeitungsvertrag under Art. 28 GDPR) is provided in German below, which is the legally binding version.
Stand: Juli 2026
Dieser Vertrag zur Auftragsverarbeitung („Vertrag") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen des zwischen ihnen geschlossenen Nutzungsvertrags über den Dienst servflux (der „Hauptvertrag"). Er gilt für alle Verarbeitungen personenbezogener Daten, die der Anbieter im Auftrag des Nutzers durchführt.
Verantwortlicher ist der Nutzer des Dienstes. Auftragsverarbeiter ist Daniel Gietmann (Gietmanic), Siegburger Straße 129 B, 53229 Bonn („Anbieter").
§ 1 Gegenstand und Dauer
(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Verantwortlichen zur Erbringung des Dienstes (Hosting, Build und Auslieferung der vom Verantwortlichen bereitgestellten Websites).
(2) Die Dauer entspricht der Laufzeit des Hauptvertrags. Einzelheiten zu Art, Zweck, Datenarten und betroffenen Personen ergeben sich aus Anlage 1.
§ 2 Weisungsrecht
(1) Der Anbieter verarbeitet die Daten ausschließlich im Rahmen des Vertrags und nach den dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist rechtlich zu einer anderen Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung des Dienstes und dessen Konfiguration gelten als dokumentierte Weisung.
(2) Hält der Anbieter eine Weisung für rechtswidrig, informiert er den Verantwortlichen; er darf die Weisung bis zu deren Bestätigung aussetzen.
§ 3 Pflichten des Anbieters
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit bzw. Sicherstellung einer angemessenen gesetzlichen Verschwiegenheit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO);
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (Anlage 3);
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO);
- Unterstützung bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen;
- unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten, die die Auftragsdaten betreffen (Art. 33 DSGVO);
- Benennung einer Kontaktstelle: hello@gietmanic.com.
§ 4 Technische und organisatorische Maßnahmen
Der Anbieter trifft die in Anlage 3 beschriebenen Maßnahmen nach Art. 32 DSGVO und passt sie an den Stand der Technik an. Wesentliche Änderungen dürfen das Schutzniveau nicht unterschreiten.
§ 5 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung der in Anlage 2 genannten Unterauftragsverarbeiter (Art. 28 Abs. 2 Satz 1 DSGVO).
(2) Der Anbieter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) vorab in Textform. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb angemessener Frist widersprechen.
(3) Der Anbieter verpflichtet Unterauftragsverarbeiter auf ein Datenschutzniveau, das dem dieses Vertrags entspricht (Art. 28 Abs. 4 DSGVO).
§ 6 Betroffenenrechte und Unterstützung
Wendet sich eine betroffene Person unmittelbar an den Anbieter, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter. Der Anbieter unterstützt den Verantwortlichen im Rahmen des technisch Möglichen bei der Erfüllung von Betroffenenrechten.
§ 7 Nachweise und Kontrollen
Der Anbieter stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO). Kontrollen erfolgen mit angemessener Vorankündigung, ohne den Betrieb unangemessen zu stören; geeignete Nachweise (z. B. aktuelle Berichte) können vorrangig genutzt werden.
§ 8 Löschung und Rückgabe
Nach Abschluss der Erbringung löscht der Anbieter die Auftragsdaten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO). Der Verantwortliche kann seine Inhalte während der Laufzeit selbst exportieren.
§ 9 Übermittlung in Drittländer
Eine Verarbeitung außerhalb der EU/des EWR erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln oder Angemessenheitsbeschluss). Relevante Drittlandbezüge ergeben sich aus Anlage 2.
§ 10 Haftung
Für die Haftung gilt Art. 82 DSGVO. Die Haftungsregelungen des Hauptvertrags gelten ergänzend, soweit zwingendes Recht nicht entgegensteht.
§ 11 Schlussbestimmungen
(1) Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen hinsichtlich des Datenschutzes die Regelungen dieses Vertrags vor.
(2) Es gilt deutsches Recht. Änderungen bedürfen der Textform.
Anlage 1 — Gegenstand der Verarbeitung
Art und Zweck: Speicherung, Build und Auslieferung der vom Verantwortlichen bereitgestellten Websites sowie damit verbundene technische Verarbeitung.
Art der Daten: in den Inhalten und Anfragen der Website enthaltene personenbezogene Daten (z. B. IP-Adressen von Besuchern in Server-Logs, sowie ggf. vom Verantwortlichen in seine Website eingestellte personenbezogene Daten).
Kategorien betroffener Personen: Besucher und Nutzer der vom Verantwortlichen betriebenen Websites.
Anlage 2 — Unterauftragsverarbeiter
- Hetzner Online GmbH, 91710 Gunzenhausen, Deutschland — Server, Objektspeicher, Infrastruktur (EU).
- GitHub (Microsoft-Gruppe) — Anbindung von Quellcode-Repositorys; mögliche Verarbeitung in der EU/den USA.
- E-Mail-Versanddienstleister — transaktionale E-Mails (Kontobezug).
- Zahlungsdienstleister — Abwicklung kostenpflichtiger Tarife.
Anlage 3 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Transportverschlüsselung (TLS) für Datenübertragungen.
- Verschlüsselte Speicherung als geheim markierter Build-Variablen.
- Speicherung von Passwörtern und API-Tokens ausschließlich als kryptografische Hashes.
- Zugriffskontrolle und mandantengetrennte Datenhaltung je Konto.
- Ausführung von Builds in isolierten, kurzlebigen Containern.
- Betrieb in Rechenzentren innerhalb der EU (Hetzner).
- Protokollierung sicherheitsrelevanter Ereignisse.
- Prozesse zur Erkennung und Meldung von Datenschutzverletzungen.