Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: 2026-04-24

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "Vertrag") wird geschlossen zwischen:

dem Aussteller — d. h. dem unter seinem Aussteller-Konto auf der Plattform FAER registrierten Unternehmen, identifiziert durch die bei der Registrierung angegebenen Stammdaten (Unternehmensname, Sitzadresse, Kontakt-E-Mail), wie sie zum Zeitpunkt der Zustimmung zu diesem Vertrag im Aussteller-Konto hinterlegt sind (nachfolgend "Verantwortlicher")

und

Melvin Ciurletti, einzelunternehmerisch tätig unter der Bezeichnung FAER

Stäudach 154

72074 Tübingen

Deutschland

E-Mail: hello@faer.app

(nachfolgend "Auftragsverarbeiter")

(im Folgenden einzeln "Partei" und gemeinsam "Parteien").

Die zum Zeitpunkt der Zustimmung im Aussteller-Konto hinterlegten Stammdaten des Verantwortlichen sind für diesen Vertrag verbindlich und werden im Dashboard des Verantwortlichen sowie in den Buchungs- und Rechnungsbelegen ausgewiesen.

Der Verantwortliche hat mit dem Auftragsverarbeiter einen Vertrag über die Nutzung der Plattform FAER geschlossen (nachfolgend "Hauptvertrag"). Im Rahmen der Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten von Messebesuchern im Auftrag des Verantwortlichen. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO.

§1 Gegenstand und Anwendungsbereich

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach dokumentierter Weisung des Verantwortlichen.

(2) Die Einzelheiten der Verarbeitung — insbesondere Art, Zweck, Dauer und Gegenstand der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen — ergeben sich aus Anlage I zu diesem Vertrag.

(3) Dieser Vertrag gilt ausschließlich für die in Anlage I beschriebene Verarbeitung von Lead-Daten im Sinne der Datenschutzerklärung des Auftragsverarbeiters (§§ 14 und 15 der Datenschutzerklärung, abrufbar unter https://www.faer.app/de/privacy).

(4) Die Verarbeitung von Daten, die ausschließlich der Vertragserfüllung zwischen Verantwortlichem und Auftragsverarbeiter dienen — insbesondere Account-, Abrechnungs- und Log-Daten des Verantwortlichen selbst —, erfolgt in eigener Verantwortung des Auftragsverarbeiters und ist nicht Gegenstand dieses Vertrags.

§2 Rangfolge und Auslegung

(1) Bei Widersprüchen zwischen diesem Vertrag und den Regelungen des Hauptvertrags hat dieser Vertrag Vorrang, soweit datenschutzrechtliche Regelungen betroffen sind.

(2) Bei Widersprüchen zwischen diesem Vertrag und den Vorschriften der DSGVO oder sonstiger anwendbarer Datenschutzvorschriften haben die datenschutzrechtlichen Vorschriften Vorrang.

(3) Begriffe dieses Vertrags sind im Einklang mit der DSGVO auszulegen. Soweit dort keine Definitionen enthalten sind, gelten die Begriffsbestimmungen aus § 46 BDSG.

§3 Pflichten des Auftragsverarbeiters

Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation (Art. 28 Abs. 3 lit. a DSGVO).

(2) Als dokumentierte Weisung gelten insbesondere:

die Regelungen dieses Vertrags,
die in der Plattform vom Verantwortlichen vorgenommenen Einstellungen und Aktionen (insbesondere Export, Löschung und Sperrung von Lead-Daten),
sonstige schriftliche Weisungen des Verantwortlichen an den Auftragsverarbeiter.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige anwendbare Datenschutzvorschriften verstößt.

Zweckbindung

(4) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich zu den in Anlage I festgelegten Zwecken. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters — insbesondere zu eigenem Marketing, ausstellerübergreifendem Profiling oder zum Training von Modellen mit personenbezogenen Daten — findet nicht statt.

Sicherheit der Verarbeitung

(5) Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Die konkret ergriffenen Maßnahmen sind in Anlage II beschrieben.

(6) Der Auftragsverarbeiter überprüft die technischen und organisatorischen Maßnahmen regelmäßig und passt sie dem Stand der Technik und den Risiken für die Rechte und Freiheiten der betroffenen Personen an. Wesentliche Änderungen werden dokumentiert; eine jeweils aktuelle Fassung der Anlage II wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

Vertraulichkeit

(7) Der Auftragsverarbeiter verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, soweit diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Zum Zeitpunkt des Vertragsschlusses ist der Auftragsverarbeiter ein Einzelunternehmen ohne weitere Mitarbeiter; weitere Mitarbeiter oder beauftragte Dritte werden vor Aufnahme ihrer Tätigkeit schriftlich zur Vertraulichkeit verpflichtet.

Dokumentation und Nachweis

(8) Der Auftragsverarbeiter dokumentiert die Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO genannten Pflichten erforderlich sind.

(9) Der Auftragsverarbeiter ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen von diesem beauftragten, zur Verschwiegenheit verpflichteten Prüfer und trägt zu diesen bei. Prüfungen sind mit einer Vorlaufzeit von mindestens 30 Tagen anzukündigen, dürfen den laufenden Geschäftsbetrieb nicht unangemessen beeinträchtigen und sind auf eine Prüfung je Kalenderjahr begrenzt. Bei konkreten Anhaltspunkten für einen Datenschutzverstoß ist eine außerordentliche Prüfung auch außerhalb dieses Rahmens zulässig.

§4 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter) gemäß Art. 28 Abs. 2 Satz 2 DSGVO. Die jeweils aktuelle Liste der beauftragten Unterauftragsverarbeiter wird vom Auftragsverarbeiter fortlaufend gepflegt und ist öffentlich einsehbar unter https://www.faer.app/de/subprocessors (nachfolgend "Unterauftragsverarbeiter-Liste"). Die Unterauftragsverarbeiter-Liste ist integraler Bestandteil dieses Vertrags.

(2) Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 30 Tage vor der Beauftragung eines neuen oder dem Austausch eines bestehenden Unterauftragsverarbeiters in Textform. Die Unterrichtung erfolgt wahlweise per E-Mail an die im Aussteller-Konto hinterlegte Kontaktadresse oder durch Aktualisierung der Unterauftragsverarbeiter-Liste; bei Aktualisierung der Liste wird der Verantwortliche zusätzlich per E-Mail benachrichtigt.

(3) Der Verantwortliche kann der Änderung innerhalb von 30 Tagen nach Zugang der Unterrichtung aus sachlich gerechtfertigten datenschutzrechtlichen Gründen widersprechen. Widerspricht der Verantwortliche, kann der Auftragsverarbeiter die Leistung nach eigener Wahl entweder ohne Einbindung des betreffenden Unterauftragsverarbeiters fortführen oder den Hauptvertrag mit einer Frist von 30 Tagen zum Monatsende außerordentlich kündigen. Im Fall der Kündigung durch den Auftragsverarbeiter werden bereits entrichtete Entgelte anteilig für nicht in Anspruch genommene Leistungszeiträume erstattet.

(4) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter durch schriftlichen Vertrag zu Datenschutzpflichten, die denen dieses Vertrags im Wesentlichen entsprechen, insbesondere zu hinreichenden Garantien bezüglich geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 28 Abs. 1 DSGVO. Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Unterauftragsverarbeiters.

§5 Internationale Datenübermittlung

(1) Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums erfolgt nur, soweit ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (Art. 45 DSGVO) oder geeignete Garantien gemäß Art. 46 DSGVO bestehen.

(2) Der Auftragsverarbeiter übermittelt personenbezogene Daten ausschließlich an die in der Unterauftragsverarbeiter-Liste (§4 Abs. 1) aufgeführten Unterauftragsverarbeiter. Soweit Unterauftragsverarbeiter ihren Sitz in den Vereinigten Staaten von Amerika haben, stützt sich die Übermittlung auf die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie — soweit der jeweilige Unterauftragsverarbeiter unter dem EU-US Data Privacy Framework zertifiziert ist — auf den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (Durchführungsbeschluss (EU) 2023/1795).

§6 Unterstützung des Verantwortlichen

(1) Betroffenenrechte: Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen dabei, seinen Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte nach Art. 15 bis 21 DSGVO nachzukommen (Art. 28 Abs. 3 lit. e DSGVO). Die für die Erfüllung dieser Pflichten erforderlichen Standardfunktionen — insbesondere Einsicht, Export und Löschung einzelner Lead-Datensätze — stellt der Auftragsverarbeiter dem Verantwortlichen unmittelbar im Aussteller-Dashboard als Self-Service-Funktionen zur Verfügung. Individuelle Unterstützungsanfragen, die über diese Self-Service-Funktionen hinausgehen, sind an hello@faer.app zu richten; sie werden an Werktagen (Montag bis Freitag, ausgenommen gesetzliche Feiertage in Baden-Württemberg) innerhalb einer angemessenen Frist bearbeitet.

(2) Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter mit einem Anliegen, das in den Verantwortungsbereich des Verantwortlichen fällt, leitet der Auftragsverarbeiter das Anliegen unverzüglich an den Verantwortlichen weiter.

(3) Datenschutz-Folgenabschätzung und Konsultation: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).

(4) Für Unterstützungsleistungen nach den Absätzen 1 bis 3 wird, mit Ausnahme offensichtlich missbräuchlicher oder übermäßiger Anfragen, keine gesonderte Vergütung erhoben, soweit der Aufwand im üblichen Rahmen bleibt. Für außergewöhnlichen Aufwand — insbesondere bei forensischen Nachforschungen, individuellen Audit-Anfragen oder umfangreichen Datenexporten außerhalb der Standard-Schnittstellen des Dashboards — kann der Auftragsverarbeiter eine angemessene Vergütung in Höhe von 180,00 EUR netto je angefangener Stunde verlangen. Der Verantwortliche wird vor Erbringung kostenpflichtiger Leistungen in Textform über die voraussichtlichen Kosten informiert.

§7 Verletzung des Schutzes personenbezogener Daten

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die die nach diesem Vertrag verarbeiteten Daten betrifft, unverzüglich nach Kenntniserlangung, spätestens jedoch innerhalb von 48 Stunden.

(2) Die Meldung enthält mindestens:

eine Beschreibung der Art der Verletzung, soweit möglich unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen Datensätze,
Name und Kontaktdaten der zuständigen Ansprechperson beim Auftragsverarbeiter,
eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls zur Abmilderung ihrer nachteiligen Folgen.

(3) Soweit nicht alle Informationen zum Zeitpunkt der Meldung verfügbar sind, werden diese ohne unangemessene weitere Verzögerung nachgereicht.

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Meldepflichten nach Art. 33 und Art. 34 DSGVO gegenüber der zuständigen Aufsichtsbehörde und gegenüber den betroffenen Personen.

§8 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück (Art. 28 Abs. 3 lit. g DSGVO).

(2) Die Löschung erfolgt spätestens 30 Tage nach Beendigung des Hauptvertrags, soweit nicht unionsrechtliche oder mitgliedstaatliche Rechtsvorschriften eine längere Speicherung vorschreiben.

(3) Die vom Auftragsverarbeiter nach Art. 5 Abs. 2, Art. 7 Abs. 1 und Art. 30 Abs. 2 DSGVO vorzuhaltenden Nachweise — insbesondere das Einwilligungs-Protokoll gemäß § 15 der Datenschutzerklärung — werden von der Löschung nach Abs. 1 ausgenommen und bis zum Ablauf der jeweils einschlägigen gesetzlichen Aufbewahrungs- und Nachweisfristen in einer Form vorgehalten, die eine Nutzung für andere Zwecke technisch und organisatorisch ausschließt.

(4) Datenbank-Backups werden mit einer kontinuierlichen Rotation nach spätestens 30 Tagen überschrieben; eine gezielte Einzel-Löschung aus Backup-Beständen findet nicht statt. Die Daten sind innerhalb der Rotation jedoch nicht mehr produktiv zugänglich.

§9 Haftung

(1) Für die Haftung der Parteien untereinander gelten die Regelungen des Hauptvertrags.

(2) Die Haftung der Parteien gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO. Im Innenverhältnis tragen die Parteien entstandene Schäden entsprechend ihrem jeweiligen Verantwortungsanteil im Sinne von Art. 82 Abs. 5 DSGVO.

§10 Vertragslaufzeit

(1) Dieser Vertrag tritt mit Abschluss des Hauptvertrags zwischen den Parteien in Kraft und endet automatisch mit dessen Beendigung.

(2) Rechte und Pflichten der Parteien, die ihrer Natur nach über das Vertragsende hinaus fortbestehen — insbesondere die Löschungs-, Dokumentations- und Nachweispflichten nach § 8 —, bleiben von der Beendigung unberührt.

§11 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame zu ersetzen, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Anwendbares Recht: Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(4) Gerichtsstand: Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist, soweit gesetzlich zulässig, Tübingen, Deutschland.

(5) Sprachfassungen: Dieser Vertrag wird in deutscher und englischer Sprache bereitgestellt. Rechtsverbindlich ist ausschließlich die deutsche Fassung. Die englische Fassung dient ausschließlich der Information; im Fall von Abweichungen zwischen den Sprachfassungen hat die deutsche Fassung Vorrang.

Anlage I — Beschreibung der Verarbeitung

A. Parteien

Verantwortlicher: wie in der Präambel dieses Vertrags bezeichnet.

Auftragsverarbeiter: wie in der Präambel dieses Vertrags bezeichnet.

B. Gegenstand der Verarbeitung

Kategorien betroffener Personen

Messebesucher, die über die Plattform FAER gegenüber dem Verantwortlichen eine Einwilligung zur Weitergabe ihrer Kontaktdaten erteilt haben (Lead-Abgabe).

Kategorien personenbezogener Daten

E-Mail-Adresse des Besuchers (aus dem Besucher-Konto),
Metadaten der Einwilligung: Zeitstempel der Einwilligung, Identität des Ausstellers (d. h. des Verantwortlichen), Wortlaut des zum Zeitpunkt der Einwilligung angezeigten Einwilligungstexts, Status (erteilt/widerrufen) einschließlich Zeitpunkt und Quelle eines etwaigen Widerrufs sowie ein mit einem internen Schlüssel berechneter kryptografischer Hash (HMAC-SHA256) der IP-Adresse zum Zeitpunkt der Einwilligung und eines etwaigen Widerrufs,
Event-Kontext: Kennung des Events, auf dem die Einwilligung erteilt wurde, sowie Kennung der betreffenden Produktseite des Verantwortlichen.

Keine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO.

Art der Verarbeitung: Erhebung, Speicherung, Strukturierung, Anzeige im Aussteller-Dashboard des Verantwortlichen, Export durch den Verantwortlichen, Löschung bei Widerruf der Einwilligung durch die betroffene Person sowie Löschung bei Kontolöschung des Besuchers.

Zweck der Verarbeitung: Bereitstellung der Lead-Funktionalität der Plattform FAER für den Verantwortlichen einschließlich der Dokumentation der von den Besuchern erteilten Einwilligungen zu Nachweiszwecken nach Art. 7 Abs. 1 DSGVO.

Dauer der Verarbeitung:

Lead-Datensätze (E-Mail-Adresse, Event-Kontext): bis zum Widerruf der Einwilligung durch den Besucher, bis zur Löschung des Besucher-Kontos oder bis zur Beendigung des Hauptvertrags; in allen Fällen werden die Datensätze aus der für den Verantwortlichen abrufbaren Live-Ansicht entfernt.
Einwilligungs-Protokoll: über das Ende der Lead-Speicherung hinaus bis zum Ablauf der gesetzlichen Nachweis- und Aufbewahrungsfristen zu Nachweiszwecken nach Art. 7 Abs. 1 DSGVO und Art. 5 Abs. 2 DSGVO.

C. Zuständige Aufsichtsbehörde

Die nach Art. 55 DSGVO für den Verantwortlichen zuständige Aufsichtsbehörde richtet sich nach dessen Sitz.

Die für den Auftragsverarbeiter zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)

Hausanschrift: Heilbronner Straße 35, 70191 Stuttgart

Postanschrift: Postfach 10 29 32, 70025 Stuttgart

Anlage II — Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft die nachstehenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Die Angemessenheit der Maßnahmen ist unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu bewerten.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle — kein unbefugter Zutritt zu Datenverarbeitungsanlagen:

Die produktive Datenverarbeitung erfolgt ausschließlich in Rechenzentren der Hetzner Online GmbH innerhalb der Bundesrepublik Deutschland (Standorte Frankfurt am Main und Nürnberg). Der Auftragsverarbeiter betreibt keine eigene physische Server-Infrastruktur.
Der physische Zutrittsschutz der Rechenzentren ergibt sich aus dem mit der Hetzner Online GmbH abgeschlossenen Auftragsverarbeitungsvertrag und den dort dokumentierten TOMs (u. a. 24/7-Zutrittsüberwachung, Videoüberwachung, elektronische Zutrittskontrolle, Zutrittsprotokollierung).

Zugangskontrolle — keine unbefugte Systemnutzung:

Authentifizierung zur Plattform erfolgt ausschließlich über zeitlich befristete Magic-Link-Token. Dauerhafte Passwörter werden weder für Besucher- noch für Aussteller-Konten verwendet.
Magic-Link-Token werden vor der Speicherung in der Datenbank als kryptografischer Hash (SHA-256) abgelegt; aus den gespeicherten Werten ist der ursprüngliche Token nicht rekonstruierbar. Jeder Magic-Link-Token ist einmalig verwendbar und zeitlich eng befristet.
Session-Authentifizierung erfolgt anschließend über stateless, serverseitig mittels HMAC signierte Session-Cookies mit begrenzter Gültigkeitsdauer; eine Manipulation der Session-Daten auf Clientseite wird durch die Signatur erkannt und zurückgewiesen.
Session-Cookies werden ausschließlich mit den Attributen HttpOnly, Secure und SameSite=Lax gesetzt.

Zugriffskontrolle — kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems:

Rollentrennung auf Anwendungsebene: Besucher, Aussteller und Administrator verfügen über voneinander abgegrenzte Rechteprofile. Ein Aussteller sieht ausschließlich die Lead-Daten derjenigen Besucher, die ihm gegenüber eine Einwilligung erteilt haben; ein ausstellerübergreifender Zugriff auf Lead-Daten findet nicht statt.
Administrativer Zugriff auf Produktivsysteme ist dem Auftragsverarbeiter selbst vorbehalten und erfolgt ausschließlich über SSH mit kryptografischen Schlüsselpaaren und Passphrase-Schutz.

Trennungskontrolle:

Lead-Daten werden in der produktiven Datenbank mandantenfähig gespeichert; die Trennung der Daten unterschiedlicher Aussteller erfolgt auf Anwendungsebene durch eindeutige Aussteller-Kennungen, die bei jedem Datenbankzugriff verpflichtend ausgewertet werden.
Test-, Entwicklungs- und Produktivsysteme sind logisch voneinander getrennt; personenbezogene Produktivdaten werden nicht in Test- oder Entwicklungsumgebungen eingespielt.

Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO):

IP-Adressen werden im Rahmen des Einwilligungs-Protokolls nicht im Klartext gespeichert, sondern ausschließlich als kryptografischer Hash (HMAC-SHA256) unter Verwendung eines serverseitig verwalteten geheimen Schlüssels.
Die Übertragung zwischen Endgerät und Server erfolgt ausschließlich über TLS (mindestens TLS 1.2).

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Eingabekontrolle:

Erteilung und Widerruf von Einwilligungen werden im Einwilligungs-Protokoll mit Zeitstempel, Wortlaut des angezeigten Einwilligungstexts, Status und IP-Hash dokumentiert und sind nachträglich nicht mehr inhaltlich veränderbar.
Administrative Änderungen am Datenbankschema werden über versionskontrollierte Datenbank-Migrationen vorgenommen und dadurch nachvollziehbar gehalten.

Weitergabekontrolle:

Eine Übermittlung von Lead-Daten an Dritte außerhalb der in der Unterauftragsverarbeiter-Liste (§4 Abs. 1) aufgeführten Unterauftragsverarbeiter findet nicht statt.
Datenexport durch den Verantwortlichen ist nur aus dem jeweiligen authentifizierten Aussteller-Konto heraus und ausschließlich für dessen eigene Lead-Daten möglich.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Datenbank-Backups werden mit einer Rotation von 30 Tagen angefertigt; ältere Backup-Stände werden automatisch überschrieben.
Eine Wiederherstellung der Produktivumgebung aus einem Backup erfolgt nach einem dokumentierten Wiederherstellungsverfahren.
Der Schutz vor Denial-of-Service-Angriffen und ein grundlegender Web-Application-Firewall-Schutz werden über die Cloudflare-Infrastruktur gewährleistet.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.
Fehler- und sicherheitsrelevante Ereignisse werden über ein in der Europäischen Union (Frankfurt am Main) gehostetes Error-Monitoring (Sentry) erfasst. Die Erfassung personenbezogener Daten ist durch die Konfiguration ausgeschlossen (insbesondere sendDefaultPii: false, replaysSessionSampleRate: 0, replaysOnErrorSampleRate: 0, tracesSampleRate: 0).
Die in dieser Anlage beschriebenen Maßnahmen werden mindestens einmal jährlich sowie anlassbezogen überprüft und an den Stand der Technik angepasst.

5. Auftragskontrolle (Art. 28 DSGVO)

Mit allen eingesetzten Unterauftragsverarbeitern bestehen schriftliche Auftragsverarbeitungsverträge mit Datenschutzgarantien nach Art. 28 DSGVO.
Änderungen am Kreis der Unterauftragsverarbeiter werden gemäß § 4 dieses Vertrags behandelt.

Vertragsschluss: Dieser Vertrag ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen der Plattform FAER und wird durch ausdrückliche Bezugnahme in diese einbezogen. Er kommt mit der Registrierung eines Aussteller-Kontos zustande, indem der Verantwortliche den Allgemeinen Geschäftsbedingungen zustimmt. Die jeweils geltende Fassung dieses Vertrags ist vor Vertragsschluss unter https://www.faer.app/de/dpa abrufbar. Der Auftragsverarbeiter dokumentiert den Zeitpunkt der Zustimmung, die Identität des zustimmenden Aussteller-Kontos sowie die zum Zeitpunkt der Zustimmung gültige Fassung dieses Vertrags.

Stand: 2026-04-24

Zurück zur Startseite