DSGVO

Auftragsverarbeitungsvertrag (AVV)

Stand: März 2026

Dieser AVV gilt für die Nutzung der Plattform PageUpgrade und ergänzt die AGB sowie die Datenschutzerklärung.

1. Vertragsparteien

Auftragnehmer: E-Business Matthias Schneider · Kolpingstraße 4 · 40667 Meerbusch
Auftraggeber: Der jeweilige Nutzer der Plattform PageUpgrade.

Dieser Vertrag wird bei der Registrierung elektronisch abgeschlossen. Zustimmung zu AVV, AGB und Datenschutzerklärung ist Voraussetzung. Die Zustimmung wird mit Zeitstempel, IP-Adresse und Dokumentversion protokolliert.

2. Gegenstand der Verarbeitung

Landing Pages, Content Parts, Visual Editor, Content-Bibliothek, WordPress-Plugin, Lead-Erfassung mit DOI, E-Mail-Serien, Popup-System, Webhooks.

3. Art der verarbeiteten Daten

Hinweis zur Datenarchitektur: Lead-Daten (E-Mail-Adresse, Vorname, Nachname der Website-Besucher) werden ausschließlich in der WordPress-Datenbank des Nutzers gespeichert — nicht auf dem PageUpgrade-Server. Bei aktiven E-Mail-Serien werden Empfängerdaten in der serverseitigen Versand-Queue verarbeitet.

4. Kategorien betroffener Personen

Empfänger von E-Mail-Serien (E-Mail-Adresse und Name in der Versand-Queue). Lead-Daten im engeren Sinne (Formularfelder, Tags, DOI-Status) werden ausschließlich in der WordPress-Datenbank des Auftraggebers verarbeitet.

5. Dauer

Dieser Vertrag gilt für die gesamte Nutzungsdauer der Plattform.

6. Pflichten des Auftragnehmers

Verarbeitung nur auf Weisung, Vertraulichkeit, geeignete technische und organisatorische Maßnahmen, Unterstützung bei DSGVO-Pflichten, Löschung nach Vertragsende, Nachweispflicht nach Art. 28 DSGVO.

7. Pflichten des Auftraggebers

Rechtmäßigkeit der Datenverarbeitung, Einholung von Einwilligungen, Information der Website-Besucher, Weiterleitung von Betroffenenanfragen.

8. Technische und organisatorische Maßnahmen

Verschlüsselung at Rest

Per-User Envelope Encryption: Sensible Zugangsdaten (WordPress-URL, Benutzername, Application Password) werden mit Fernet (AES-128-CBC + HMAC-SHA256) verschlüsselt gespeichert. Jeder Account hat einen eigenen Schlüssel, der seinerseits mit dem Master-Key verschlüsselt ist. Master-Key existiert nur im RAM — nie auf Festplatten oder in Logs.

Nutzerdaten wie E-Mail-Adresse und Anzeigename sowie die E-Mail-Versand-Queue (Empfänger-E-Mail und -Name) werden unverschlüsselt in der Datenbank gespeichert. Passwörter werden als kryptographischer Hash gespeichert (bcrypt). API-Keys werden als SHA-256-Hash gespeichert.

Weitere Maßnahmen

9. Unterauftragsverarbeiter

DienstZweckStandort
Host Europe GmbHServer-HostingDeutschland
BunnyWay d.o.o. (Bunny.net)Verschlüsselte BackupsEU (Slowenien). Backups sind vor dem Upload AES-verschlüsselt.

Optional aktivierbar:

DienstZweckAktivierung
SMTP-Provider des NutzersE-Mail-VersandNutzer konfiguriert in WordPress
Webhook-EmpfängerDatenweiterleitungNutzer konfiguriert URL
StripeZahlungsabwicklungBei kostenpflichtigen Plänen

10. Datenschutzverletzungen

Unverzügliche Unterrichtung des Auftraggebers bei Feststellung einer Verletzung.

11. Löschung nach Vertragsende

Bei Account-Löschung werden alle personenbezogenen Daten des Nutzers entfernt. Der individuelle Verschlüsselungsschlüssel wird vernichtet, wodurch alle damit verschlüsselten Daten (WordPress-Zugangsdaten) kryptographisch dauerhaft unlesbar werden. Unverschlüsselt gespeicherte Daten (E-Mail-Adresse, Anzeigename, Versand-Queue-Einträge) werden direkt aus der Datenbank gelöscht.

12. Schlussbestimmungen

Deutsches Recht. Änderungen bedürfen der Schriftform.

Impressum Datenschutz AGB AVV Trust Center Sicherheit