Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 23. Mai 2026

Dieser Auftragsverarbeitungsvertrag ("AVV") wird zwischen Monoid ("Auftragsverarbeiter") und dem Website-Betreiber, der Monoids Analytics-Dienst nutzt ("Verantwortlicher"), geschlossen. Er ist Teil der Nutzungsbedingungen und regelt die Verarbeitung personenbezogener Daten, die Monoid im Auftrag des Verantwortlichen durchführt.

1. Definitionen

"Personenbezogene Daten", "Verantwortlicher", "Auftragsverarbeiter", "Betroffene Person", "Verarbeitung" und "Aufsichtsbehörde" haben die in der EU-Datenschutz-Grundverordnung (DSGVO) 2016/679 definierten Bedeutungen. "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten im Rahmen dieses AVV beauftragt wird.

2. Gegenstand und Art der Verarbeitung

Der Auftragsverarbeiter bietet datenschutzfreundliche Web-Analytics an. Die Verarbeitung umfasst: Empfang anonymisierter Seitenaufruf-Signale von den Website-Besuchern des Verantwortlichen, Berechnung eines täglich rotierenden SHA-256-Besucher-Hashs (IP + User-Agent + serverseitiger Salt + Datum), Speicherung aggregierter Analytics-Daten (Seitenpfade, Verweiser-Hostnamen, Ländercodes, Gerätetypen, Browser-Familien, tägliche Besucherzahlen) und Bereitstellung aggregierter Statistiken im Dashboard des Verantwortlichen. Rohe IP-Adressen und User-Agent-Strings werden nur im Speicher zur Hash-Berechnung verwendet und nie gespeichert.

3. Laufzeit

Dieser AVV ist in Kraft, solange der Verantwortliche ein Monoid-Konto unterhält. Er endet automatisch bei Kontolöschung.

4. Pflichten des Auftragsverarbeiters (Art. 28(3) DSGVO)

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen zu verarbeiten, außer wenn dies nach geltendem Recht erforderlich ist.
  • Sicherzustellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Schweigepflicht unterliegen.
  • Angemessene technische und organisatorische Maßnahmen zu implementieren (Art. 32 DSGVO) — einschließlich ausschließlich HTTPS-Übertragung, PBKDF2-SHA256-Passwort-Hashing, httpOnly-Sitzungs-Cookies, Zod-Anfrage-Validierung und Rate-Limiting auf allen sensiblen Endpunkten.
  • Keinen Unterauftragsverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen zu beauftragen (die Genehmigung wird durch die Annahme dieser Bedingungen und des AVV erteilt; die in Abschnitt 6 aufgeführten Unterauftragsverarbeiter sind hiermit vorab genehmigt).
  • Den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Zugang, Löschung, Portabilität, Widerspruch) zu unterstützen, indem die auf Kontoebene dokumentierten Tools unter /privacy bereitgestellt und, wo technisch nicht möglich, auf emaillierte Anfragen innerhalb von 30 Tagen geantwortet wird.
  • Den Verantwortlichen bei seinen Pflichten gemäß Art. 32–36 DSGVO zu unterstützen, einschließlich der Bereitstellung von Informationen zur Nachweiserbringung der Compliance, Unterstützung bei Datenschutz-Folgenabschätzungen und Zusammenarbeit mit Aufsichtsbehörden.
  • Alle personenbezogenen Daten am Ende des Dienstes zu löschen oder an den Verantwortlichen zurückzugeben und bestehende Kopien zu löschen, es sei denn, die Speicherung ist nach geltendem Recht erforderlich. Die Kontolöschung löst die sofortige kaskadierte Entfernung aller Analytics-Daten aus.
  • Alle Informationen bereitzustellen, die zur Nachweiserbringung der Compliance mit diesem AVV erforderlich sind, und Audits und Inspektionen durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Prüfer zu ermöglichen und dazu beizutragen.

5. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich: (a) sicherzustellen, dass er eine rechtmäßige Grundlage hat, um den Auftragsverarbeiter zur Verarbeitung personenbezogener Daten anzuweisen; (b) sicherzustellen, dass das Tracker-Skript nur auf Websites eingesetzt wird, die dem Verantwortlichen gehören oder von ihm kontrolliert werden; (c) in seiner eigenen Datenschutzrichtlinie angemessen über den Analytics-Dienst zu informieren; und (d) den Auftragsverarbeiter unverzüglich über Änderungen der Verarbeitungsanweisungen zu informieren.

6. Unterauftragsverarbeiter

Der Verantwortliche genehmigt folgende Unterauftragsverarbeiter:

  • Cloudflare, Inc. (USA) — Edge-Computing und D1-Datenbank-Infrastruktur. Übertragungsmechanismus: EU-Standardvertragsklauseln (SCCs), EU-US-Datenschutzrahmen, Schweizer-US-DPF, UK IDTA. DPA: cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (USA) — Zustellung transaktionaler E-Mails. Übertragungsmechanismus: EU-SCCs. DPA: resend.com/legal/dpa
  • Stripe, Inc. (USA) — Zahlungsabwicklung (nur Abrechnung des Verantwortlichen; keine Besucher-Analytics-Daten werden mit Stripe geteilt). Übertragungsmechanismus: EU-SCCs, EU-US-DPF, UK IDTA. DPA: stripe.com/legal/dpa

Der Auftragsverarbeiter gibt mindestens 30 Tage vorherige schriftliche Ankündigung (über die registrierte Konto-E-Mail) bei beabsichtigten Änderungen der Unterauftragsverarbeiter und gibt dem Verantwortlichen die Möglichkeit, Widerspruch einzulegen.

7. Internationale Übertragungen

Personenbezogene Daten können über die in Abschnitt 6 aufgeführten Unterauftragsverarbeiter in die Vereinigten Staaten übertragen werden. Jede Übertragung ist durch eine angemessene Schutzmaßnahme (EU-SCCs, EU-US-Datenschutzrahmen, Schweizer-US-DPF oder UK IDTA) wie oben angegeben abgedeckt. Keine weiteren Drittlandübertragungen finden statt.

8. Sicherheit und Datenpannen-Meldung

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 24 Stunden, nachdem er von einer Datenpanne erfahren hat, die die unter diesem AVV verarbeiteten Daten betrifft. Die Benachrichtigung erfolgt an die registrierte Konto-E-Mail des Verantwortlichen und enthält: die Art der Panne, Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen.

9. Prüfungsrechte

Der Verantwortliche kann einmal pro Kalenderjahr eine schriftliche Zusammenfassung der Sicherheitsmaßnahmen des Auftragsverarbeiters anfordern. Wo eine regulatorische Anforderung eine Vor-Ort-Prüfung vorschreibt, vereinbaren die Parteien vorab Zeitplan, Umfang und Vertraulichkeitspflichten.

10. Geltendes Recht

Dieser AVV unterliegt dem Recht Brasiliens, außer wenn zwingendes EU-, UK- oder Schweizer Datenschutzrecht dem Verantwortlichen zusätzliche Rechte gewährt, auf die nicht verzichtet werden kann.

11. Kontakt

Fragen zu diesem AVV: monoid@monoid.website