Dieses Dokument kann als PDF gespeichert werden: Datei → Drucken → „Als PDF speichern" (oder Strg+P / ⌘+P).

Rechtliche Angaben · Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO)

Hinweis zur Unterzeichnung: Dieser AVV gilt als vereinbart, sobald der Auftraggeber die Nutzungsbedingungen von CERTavia (certavia.org/agb) durch den Kauf eines Produkts oder die Anmeldung zu einem Newsletter akzeptiert. Eine gesonderte Unterzeichnung ist nicht erforderlich. Auf Wunsch stellen wir ein gegengezeichnetes Exemplar als PDF aus — bitte kontaktieren Sie uns über certavia.org/kontakt.
Stand
23. Juni 2026
Auftragsverarbeiter
Litzki Systems LLC, St. Petersburg, FL, USA
Auftraggeber (Verantwortlicher)
Das Unternehmen, das CERTavia-Produkte erwirbt oder Newsletter abonniert
Rechtsgrundlage
Art. 28 DSGVO

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der CERTavia-Dienste.

(2) Die Auftragsverarbeitung beginnt mit der ersten Nutzung von CERTavia-Diensten und endet mit der Beendigung des Vertragsverhältnisses. Die Regelungen zur Löschung nach Vertragsende bleiben unberührt (§ 9).

§ 2 Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen

Verarbeitungskontext Art der Daten Betroffene Personen Zweck
Infrastruktur-Scan (certavia.org/scan) Domainname (bei natürlichen Personen ggf. personenbezogen), technische Scan-Ergebnisse Mitarbeiter oder Inhaber des Unternehmens, die ihren Domainnamen eingeben Technische Prüfung der öffentlichen Infrastruktur zur Erstellung des Infrastruktur-Nachweises
Scan-Report per E-Mail (freiwillig) E-Mail-Adresse, Domainname, CES-Score, Cluster-Bewertungen, Zeitstempel Mitarbeiter oder Inhaber, die ihre E-Mail angeben Einmaliger Versand des Scan-Ergebnisses auf Anforderung
Kauf eines Infrastruktur-Nachweises E-Mail-Adresse (aus Stripe), Domainname, Kaufzeitpunkt Mitarbeiter oder Inhaber, die den Kauf durchführen Vertragserfüllung: Erstellung und Zustellung des bestellten Nachweises
Newsletter-Anmeldung E-Mail-Adresse, Newsletter-Typ, Zeitstempel der Anmeldung und Bestätigung, IP-Adresse bei DOI-Bestätigung Mitarbeiter oder Inhaber, die den Newsletter abonnieren Versand des abonnierten Newsletters; Nachweis der Einwilligung
Kontaktformular Name, E-Mail-Adresse, Nachrichteninhalt, ggf. Telefonnummer und Unternehmen Mitarbeiter oder Inhaber, die das Kontaktformular nutzen Bearbeitung und Beantwortung der Anfrage

Der CERTavia-Scanner verarbeitet ausschließlich öffentlich zugängliche technische Infrastrukturparameter (DNS-Records, HTTP-Header, SSL-Konfiguration, öffentliche Web-Inhalte). Seiteninhalte, interne Systemdaten und personenbezogene Nutzerdaten der gescannten Domain werden nicht erfasst.

§ 3 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.

(2) Weisungen können schriftlich (per E-Mail an [email protected]) erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(3) Sofern der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, teilt er dies dem Verantwortlichen unverzüglich mit. Der Auftragsverarbeiter ist berechtigt, die Ausführung der Weisung bis zur Klärung auszusetzen.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • Personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten (§ 3);
  • Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO);
  • Alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu treffen (§ 6);
  • Die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter gemäß § 7 einzuhalten;
  • Unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen bei der Einhaltung der Betroffenenrechte (Art. 12–22 DSGVO) zu unterstützen;
  • Den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten zu unterstützen;
  • Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Verarbeitung zu löschen oder zurückzugeben (§ 9);
  • Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen.

§ 5 Meldepflichten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenpannenvorfällen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(2) Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden. Die Meldung erfolgt per E-Mail an die zuletzt bekannte E-Mail-Adresse des Verantwortlichen.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten. Die aktuell implementierten Maßnahmen umfassen:

Vertraulichkeit

  • Transportverschlüsselung: TLS 1.2 / 1.3 für alle Datenübertragungen
  • Verschlüsselung ruhender Daten in der Hetzner-Datenbank (AES-256)
  • Zugangskontrolle: Rollenbasiertes Zugriffsmanagement, MFA für administrative Zugänge
  • Pseudonymisierung von Scan-Logs durch IP-Verkürzung (letztes Oktet entfernt)

Integrität

  • Kryptografische Signatur aller Audit-Records (Ed25519)
  • DNS-Verankerung der Vault-Records zur Manipulationssicherheit
  • Audit-Logs für administrative Datenbankzugriffe

Verfügbarkeit und Belastbarkeit

  • Hosting-Infrastruktur in zertifizierten Rechenzentren (Hetzner, ISO 27001)
  • Cloudflare-CDN mit DDoS-Schutz für die Webpräsenz
  • Regelmäßige Datensicherungen (tägliche Backups, 7-Tage-Retention)

Verfahren zur regelmäßigen Überprüfung

  • Halbjährliche Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
  • Automatische Löschroutinen für abgelaufene Datensätze (Scan-Leads nach 30 Tagen, Vault-Records nach 90 Tagen bei Basic-Tier)

§ 7 Einsatz von Unterauftragsverarbeitern

(1) Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Die Unterauftragsverarbeiterverhältnisse sind dem Verantwortlichen bekannt zu geben. Durch die Veröffentlichung unter certavia.org/datenschutz gilt die generelle Genehmigung des Verantwortlichen als erteilt, sofern er nicht binnen 14 Tagen nach Bekanntgabe widerspricht.

(2) Derzeit eingesetzte Unterauftragsverarbeiter:

Unterauftragsverarbeiter Sitz Verarbeitungszweck Drittlandssicherung
Hetzner Online GmbH Gunzenhausen, Deutschland Hosting der Scan-API und Datenbank (scan_leads, newsletter_leads) EU-Verarbeitung (kein Drittland)
Cloudflare, Inc. San Francisco, USA Hosting certavia.org (Cloudflare Pages), CDN, DDoS-Schutz, Turnstile-CAPTCHA EU-US Data Privacy Framework
Stripe, Inc. / Stripe Payments Europe, Ltd. San Francisco, USA / Dublin, Irland Zahlungsabwicklung EU-US Data Privacy Framework, SCCs
Resend, Inc. San Francisco, USA Transaktionale E-Mails, Newsletter-Versand, Double-Opt-in-Bestätigungen SCCs gemäß Art. 46 DSGVO
Calendly LLC Atlanta, USA Buchung von Erstgesprächen (Enterprise-Anfragen) SCCs gemäß Art. 46 DSGVO

(3) Der Auftragsverarbeiter legt seinen Unterauftragsverarbeitern gleichwertige Datenschutzverpflichtungen auf, wie sie in diesem Vertrag vereinbart sind.

§ 8 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der Datenschutzvorschriften und der Vereinbarungen dieses Vertrags durch den Auftragsverarbeiter zu überprüfen.

(2) Überprüfungen werden in der Regel durch Anforderung von Dokumentation, Zertifikaten oder Revisionsberichten durchgeführt. Vor-Ort-Prüfungen sind nach vorheriger Ankündigung (mindestens 14 Tage) und auf Kosten des Verantwortlichen möglich.

(3) Anfragen für Nachweise und Dokumentationen richten Sie an: [email protected]

§ 9 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Vertragsverhältnisses löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück, die im Zusammenhang mit dem Auftrag verarbeitet wurden, sofern keine gesetzliche Verpflichtung zur weiteren Aufbewahrung besteht.

(2) Auf Anfrage bestätigt der Auftragsverarbeiter die vollständige Löschung schriftlich.

(3) Gesetzliche Aufbewahrungspflichten (insbesondere Buchhaltungsunterlagen, 10 Jahre) bleiben unberührt.

§ 10 Haftung

Für die Haftung zwischen Verantwortlichem und Auftragsverarbeiter gilt Art. 82 DSGVO sowie die allgemeinen Haftungsregelungen der Allgemeinen Geschäftsbedingungen von CERTavia.

§ 11 Anwendbares Recht und Gerichtsstand

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Für Streitigkeiten gelten die Bestimmungen der AGB von CERTavia.

§ 12 Vertragsschluss

Dieser AVV wird durch Annahme der CERTavia-Nutzungsbedingungen bei Kauf eines Produkts oder bei Newsletter-Anmeldung wirksam. Auf Anfrage kann ein gegengezeichnetes Exemplar ausgestellt werden.

Auftragsverarbeiter

Litzki Systems LLC
7901 4th St N, #32272
St. Petersburg, FL 33702, USA
Vertreten durch: Thorsten Litzki
[email protected]

Ort, Datum / Unterschrift (auf Anforderung)

Verantwortlicher (Auftraggeber)

Das Unternehmen, das CERTavia-Dienste in Anspruch nimmt.
Name und Daten des Unternehmens gemäß Kaufnachweis oder Registrierungsdaten.

Ort, Datum / Unterschrift (auf Anforderung)
Gegengezeichnetes Exemplar anfordern: Wenn Ihr Beschaffungsprozess eine individuelle Unterzeichnung erfordert, senden Sie uns eine Anfrage über certavia.org/kontakt. Wir stellen das Dokument innerhalb von 2 Werktagen aus.