blitzkeks
EN Dashboard →
Auftragsverarbeitung · Art. 28 DSGVO

Auftragsverarbeitungsvertrag

Kurzfassung Dieser AVV regelt nach Art. 28 DSGVO, wie Blitzkeks personenbezogene Daten deiner Website-Besucher in deinem Auftrag verarbeitet. Er wird mit deiner Registrierung abgeschlossen (elektronisch signierbares PDF im Dashboard). Der Text hier ist die kanonische Fassung für Legal-Review vor Vertragsschluss — Inhaltsänderungen sind ausgeschlossen, nur Vertragsparteien-Daten werden im PDF mit deinen Registrierungs-Angaben ergänzt.

Vertragsparteien

Auftragsverarbeiter
Wladislaw Mitzel
Grenzstr. 25A
63179 Obertshausen
Deutschland
Kontakt: hallo@blitzkeks.de
Sicherheit: security@blitzkeks.de

Verantwortlicher
Der Betreiber der Kunden-Website („Publisher"), der den Blitzkeks-Consent-Service in seinem Auftrag einsetzt. Name, Anschrift, gesetzliche Vertreter und Kontakt werden im signier-fähigen PDF aus den Registrierungs- und Konto-Stammdaten übernommen.

Präambel

Der Verantwortliche setzt das Blitzkeks-Consent-Management-Produkt (Banner-SDK, Consent-API, Dashboard) auf seinen Websites ein, um von seinen Besuchern Einwilligungen nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG einzuholen und zu dokumentieren. Im Rahmen dieses Einsatzes verarbeitet der Auftragsverarbeiter weisungsgebunden personenbezogene Daten der Besucher des Verantwortlichen. Dieser Vertrag konkretisiert die Pflichten nach Art. 28 Abs. 3 DSGVO und regelt die technischen und organisatorischen Maßnahmen (Art. 32 DSGVO, Anlage B).

§ 1 Gegenstand, Dauer, Inkrafttreten

  1. Gegenstand dieses Vertrages ist die weisungsgebundene Verarbeitung personenbezogener Daten der Besucher der Website(s) des Verantwortlichen durch den Auftragsverarbeiter im Rahmen des Blitzkeks-Consent-Services.
  2. Der Vertrag beginnt mit der Registrierung des Verantwortlichen im Blitzkeks-Dashboard und der elektronischen Bestätigung dieses AVV. Er läuft auf unbestimmte Zeit, solange der Verantwortliche den Consent-Service nutzt.
  3. Der Vertrag endet mit der Beendigung des zugrundeliegenden Hauptvertrags (Nutzungsvertrag für den Consent-Service). Die Regelungen zur Löschung und Rückgabe (§ 11) bleiben davon unberührt.
  4. Änderungen dieses AVV bedürfen der Textform (§ 126b BGB). Substantielle Änderungen werden mindestens 14 Tage vor Inkrafttreten in Textform angekündigt.

§ 2 Art und Zweck der Verarbeitung

  1. Zweck: Einholung, Dokumentation und revisionssichere Aufbewahrung von Einwilligungen und Ablehnungen nach Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG und dem IAB-Transparency-and-Consent-Framework (TCF) v2.3. Zusätzliche Zwecke: Banner-Anzeige, Consent-Replay beim erneuten Besuch, Audit-Trail-Bereitstellung gegenüber dem Verantwortlichen.
  2. Art der Verarbeitung: automatisierte Erhebung per Banner-SDK im Browser des Besuchers, Übermittlung an die Consent-API (cmp.blitzkeks.de), Speicherung in PostgreSQL in Deutschland, Caching in Valkey, Ausspielung der Loader.js über Bunny-CDN (EU-only Routing).
  3. Dauer der Verarbeitung: während der Vertragslaufzeit; Audit-Trail für 3 Jahre ab letzter Bestätigung oder bis zum Widerruf durch den Besucher, je nachdem was zuerst eintritt.

§ 3 Art der personenbezogenen Daten · Kategorien Betroffener

  1. Datenarten (Details in Anlage A):
    1. IP-Adresse, gekürzt auf /24 IPv4 bzw. /48 IPv6 innerhalb von 24 Stunden.
    2. User-Agent-String des Browsers.
    3. Site-UUID (identifiziert die Website des Verantwortlichen, keinen Besucher).
    4. TCF-Consent-String nach IAB TCF v2.3 (CMP-ID aktuell Platzhalter; IAB-Registrierung läuft).
    5. Referrer (Domain der Publisher-Website).
    6. Zeitstempel der Interaktion.
    7. GeoIP-Ableitung: ISO-Ländercode, in-process via MaxMind GeoLite2 / db-ip Lite berechnet, keine externen API-Calls.
  2. Kategorien Betroffener: Besucher der Website(s) des Verantwortlichen. Der Auftragsverarbeiter verarbeitet keine Kategorien besonderer Daten nach Art. 9 DSGVO und keine Daten von Kindern unter 16 Jahren wissentlich.
  3. Der Verantwortliche bleibt dafür verantwortlich, die Rechtmäßigkeit der Verarbeitung dieser Daten gegenüber den Betroffenen sicherzustellen (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht).

§ 4 Rechte und Pflichten des Verantwortlichen

  1. Der Verantwortliche ist für die Beurteilung der Rechtmäßigkeit der Verarbeitung allein verantwortlich (Art. 4 Nr. 7, Art. 24 DSGVO).
  2. Der Verantwortliche erteilt Weisungen an den Auftragsverarbeiter über die im Dashboard konfigurierten Einstellungen (Purposes, Vendors, Banner-Texte, Retention-Optionen) sowie ergänzend in Textform an hallo@blitzkeks.de .
  3. Der Verantwortliche ist berechtigt, die Einhaltung der Pflichten aus diesem Vertrag beim Auftragsverarbeiter nach den Regeln in § 12 (Kontrollrechte und Audits) zu prüfen.
  4. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung feststellt.

§ 5 Weisungsgebundenheit

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht ausnahmsweise eine Verarbeitung nach Unionsrecht oder dem Recht eines Mitgliedstaates vorgeschrieben ist (Art. 28 Abs. 3 lit. a DSGVO). In letzterem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das jeweilige Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
  2. Weisungen erfolgen ausschließlich in Textform (§ 126b BGB), im Dashboard oder per E-Mail an die in § 4 Nr. 2 genannten Kontakte. Mündliche oder telefonische Weisungen werden nicht entgegengenommen.
  3. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, unterrichtet er den Verantwortlichen unverzüglich und ist berechtigt, die Durchführung der Weisung bis zur Klarstellung oder Aufhebung durch den Verantwortlichen auszusetzen.

§ 6 Vertraulichkeit

  1. Der Auftragsverarbeiter verpflichtet alle Personen, die Zugang zu personenbezogenen Daten des Verantwortlichen haben, vor Aufnahme der Tätigkeit schriftlich auf die Vertraulichkeit nach Art. 28 Abs. 3 lit. b und Art. 32 Abs. 4 DSGVO sowie auf das Datengeheimnis nach § 5 BDSG. Diese Verpflichtung wirkt über die Beendigung des Beschäftigungsverhältnisses hinaus.
  2. Der Auftragsverarbeiter stellt sicher, dass der Zugang zu personenbezogenen Daten auf diejenigen Personen beschränkt ist, die zur Erfüllung ihrer vertraglichen Pflichten Zugang benötigen (Need-to-know-Prinzip).
  3. Aktuell ist ausschließlich der Inhaber (Wladislaw Mitzel) mit Produktions-Datenzugang befasst. Bei Aufnahme weiterer Mitarbeitender oder Dienstleister wird die Vertraulichkeitsverpflichtung entsprechend ausgedehnt.

§ 7 Technische und organisatorische Maßnahmen

  1. Der Auftragsverarbeiter trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus. Die konkreten Maßnahmen sind in Anlage B abschließend beschrieben.
  2. Der Auftragsverarbeiter prüft die Wirksamkeit der Maßnahmen regelmäßig (Art. 32 Abs. 1 lit. d DSGVO) und passt sie an den Stand der Technik an. Substantielle Änderungen der Maßnahmen werden dem Verantwortlichen in Textform mitgeteilt; das Schutzniveau darf durch Anpassungen nicht unter den Stand bei Vertragsschluss sinken.
  3. Nachweise über die Umsetzung der Maßnahmen legt der Auftragsverarbeiter auf Anforderung gemäß § 12 vor.

§ 8 Unterauftragsverarbeitung

  1. Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine schriftliche Genehmigung zur Inanspruchnahme der in Anlage C gelisteten Unterauftragsverarbeiter (Art. 28 Abs. 2 Satz 2 DSGVO).
  2. Die kanonische, laufend aktualisierte Liste aller eingesetzten Unterauftragsverarbeiter ist Anlage C dieses Vertrages. Diese Seite (/avv) ist öffentlich einsehbar und versioniert; jede Änderung an Anlage C ist über die Git-Commit-History dieses Dokuments nachvollziehbar. Über Änderungen an Anlage C (Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern) unterrichtet der Auftragsverarbeiter den Verantwortlichen in Textform (z. B. per E-Mail an die im Konto hinterlegte Adresse) ohne unangemessene Verzögerung; die Änderung wird mit Aktualisierung der Anlage wirksam. Der Verantwortliche kann innerhalb von 30 Tagen ab Erhalt der Unterrichtung in Textform Einspruch einlegen. Bei begründetem Einspruch ist der Verantwortliche berechtigt, den Vertrag aus wichtigem Grund mit einer Frist von 30 Tagen zu kündigen.
  3. Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zu den im vorliegenden AVV niedergelegten Datenschutzpflichten (Art. 28 Abs. 4 DSGVO). Dies umfasst insbesondere TOMs nach Art. 32 DSGVO, Vertraulichkeit, Meldepflichten bei Datenschutzverletzungen, Löschung nach Vertragsende und Auskunftsrechte.
  4. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter (Art. 28 Abs. 4 Satz 2 DSGVO).
  5. Nicht als Unterauftragsverarbeiter im Sinne dieser Vorschrift gelten reine Nebenleistungen ohne Zugriff auf personenbezogene Daten (z. B. Telekommunikation, Reinigung, Wartung durch Hersteller ohne Zugriff auf Produktions-Daten).

§ 9 Unterstützung bei Betroffenenrechten (Art. 15–21 DSGVO)

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anfragen Betroffener auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf der Einwilligung (Art. 7 Abs. 3).
  2. Erreicht eine Betroffenenanfrage den Auftragsverarbeiter direkt, leitet er sie unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter antwortet selbst nicht inhaltlich gegenüber dem Betroffenen, sofern der Verantwortliche nicht anders weist.
  3. Die technische Unterstützung umfasst insbesondere: Bereitstellung aller zu einem Besucher gespeicherten Daten auf Grundlage der IP-Adresse oder des Zeitstempels, technische Löschung einzelner Consent-Records, Exportformate (CSV, JSON) für Datenübertragbarkeits-Anfragen.
  4. Die Unterstützung erfolgt innerhalb von fünf Werktagen nach Eingang der Weisung des Verantwortlichen. Für komplexe oder umfangreiche Anfragen kann die Frist angemessen verlängert werden; der Verantwortliche wird hierüber unverzüglich informiert.
  5. Kosten für die Unterstützung trägt der Auftragsverarbeiter im Rahmen des im Tarif enthaltenen Supports. Außergewöhnlich aufwändige Anfragen können nach vorheriger Abstimmung gesondert vergütet werden.

§ 10 Meldepflichten · DSFA · Konsultation (Art. 33–36 DSGVO)

  1. Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten (Data Breach, Art. 33 DSGVO) ohne unangemessene Verzögerung, spätestens innerhalb von 48 Stunden nach Kenntnisnahme. Die Meldung erfolgt in Textform an die beim Verantwortlichen hinterlegte Kontaktadresse und an das Dashboard-Postfach des Kontos.
  2. Die Meldung enthält mindestens:
    1. Art der Verletzung inklusive soweit möglich Kategorien und ungefährer Zahl betroffener Personen und betroffener Datensätze;
    2. Name und Kontaktdaten einer Ansprechperson beim Auftragsverarbeiter;
    3. voraussichtliche Folgen der Verletzung;
    4. ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Eindämmung.
  3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Die Entscheidung über externe Meldungen (Aufsichtsbehörde, Betroffene) trifft allein der Verantwortliche.
  4. Auf Anforderung unterstützt der Auftragsverarbeiter den Verantwortlichen bei einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und bei vorheriger Konsultation der Aufsichtsbehörde (Art. 36 DSGVO), soweit dies ohne Offenlegung von Geschäftsgeheimnissen möglich ist.
  5. Interne Meldungen von Verdachtsfällen werden rund um die Uhr an security@blitzkeks.de angenommen. Die Bestätigung des Eingangs erfolgt innerhalb von 24 Stunden.

§ 11 Löschung, Rückgabe, Aufbewahrungspflichten

  1. Nach Beendigung der Verarbeitungstätigkeit oder auf Weisung des Verantwortlichen löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen zurück. Die Auswahl zwischen Löschung und Rückgabe trifft der Verantwortliche (Art. 28 Abs. 3 lit. g DSGVO).
  2. Für den Consent-Audit-Trail beträgt die reguläre Aufbewahrungsfrist drei Jahre ab letzter Bestätigung oder bis zum Widerruf durch den Besucher, je nachdem was zuerst eintritt. Auf Weisung des Verantwortlichen kann eine frühere Löschung erfolgen; der Verantwortliche trägt dann die Verantwortung für etwaige Nachweislücken gegenüber Aufsichtsbehörden.
  3. Die Rückgabe erfolgt in einem gängigen, strukturierten und maschinenlesbaren Format (CSV oder JSON) über einen geschützten Download-Link im Dashboard oder per verschlüsselter Übermittlung.
  4. Nach vollständiger Löschung oder Rückgabe bestätigt der Auftragsverarbeiter dem Verantwortlichen die Durchführung in Textform, soweit nicht gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters selbst (z. B. handels- oder steuerrechtlich) entgegenstehen; in letzterem Fall werden die Daten gesperrt und nur noch zu diesen Pflichten zugänglich gemacht.
  5. Sicherungskopien (Backups) werden im Rahmen der üblichen Backup-Rotation (maximal 30 Tage) automatisch überschrieben.

§ 12 Kontrollrechte und Audits

  1. Der Auftragsverarbeiter stellt auf Anfrage die zum Nachweis der Pflichterfüllung aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer (Art. 28 Abs. 3 lit. h DSGVO). Prüfungen werden in Textform mit angemessener Vorlauffrist angekündigt und auf ein angemessenes Maß beschränkt. Der Auftragsverarbeiter kann Prüfer aus wichtigem Grund ablehnen.
  2. Anerkannte Zertifizierungen und externe Audit-Berichte können Überprüfungen ersetzen oder verkürzen (Art. 28 Abs. 5 DSGVO).

§ 13 Drittlandtransfers

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen ausschließlich in der Europäischen Union. Eine Übermittlung in Drittländer oder an internationale Organisationen findet nicht statt (Art. 44 ff. DSGVO).
  2. Alle Unterauftragsverarbeiter im Verarbeitungspfad sind in der EU ansässig; die vollständige geografische Lokation ist in Anlage C dokumentiert.
  3. Sollte zukünftig eine Drittlandübermittlung erforderlich werden, bedarf diese der vorherigen Genehmigung des Verantwortlichen in Textform. Der Auftragsverarbeiter wird dann geeignete Garantien nach Art. 46 DSGVO sicherstellen (Standardvertragsklauseln, Angemessenheitsbeschluss oder sonstige Garantien).

§ 14 Haftung

  1. Die Haftung gegenüber Betroffenen richtet sich nach Art. 82 DSGVO und ist im Außenverhältnis nicht begrenzbar. Im Innenverhältnis trägt jede Partei den Schaden entsprechend ihrem Verantwortungsanteil (Art. 82 Abs. 5 DSGVO). Der Verantwortliche haftet dabei insbesondere für die Rechtmäßigkeit der Verarbeitung und der Weisungen, der Auftragsverarbeiter für Verletzungen seiner spezifischen Pflichten aus diesem Vertrag.
  2. Die Haftung des Auftragsverarbeiters im Innenverhältnis gegenüber dem Verantwortlichen ist — soweit gesetzlich zulässig — auf die Summe der in den zwölf Monaten vor dem schaden­auslösenden Ereignis vom Verantwortlichen an den Auftragsverarbeiter gezahlten Netto-Vergütung beschränkt.
  3. Die Begrenzung nach Nr. 2 gilt nicht bei Vorsatz oder grober Fahrlässigkeit, bei der schuldhaften Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), bei Verletzung von Leben, Körper oder Gesundheit sowie in Fällen zwingender gesetzlicher Haftung (z. B. Produkthaftungsgesetz).

§ 15 Schlussbestimmungen

  1. Textform: Änderungen und Ergänzungen dieses AVV, einschließlich dieser Klausel, bedürfen der Textform nach § 126b BGB. Dazu zählen auch E-Mail und Dashboard-Bestätigungen.
  2. Verhältnis zum Hauptvertrag: Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag/Tarif-Vertrag gehen die Regelungen dieses AVV vor, soweit sie datenschutzrechtliche Pflichten betreffen.
  3. Anwendbares Recht: Auf diesen Vertrag findet das Recht der Bundesrepublik Deutschland Anwendung unter Ausschluss des UN-Kaufrechts.
  4. Gerichtsstand: Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Frankfurt am Main, soweit der Verantwortliche Unternehmer, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist. Für Verbraucher gelten die gesetzlichen Gerichtsstände.
  5. Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlich Gewollten am nächsten kommt.
  6. Kündigung: Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor bei einem schwerwiegenden Verstoß des Auftragsverarbeiters gegen Datenschutzpflichten, der nach Abmahnung nicht behoben wird.
Anlage A

Datenarten · Betroffenenkategorien · Zwecke

A.1 Verarbeitete Datenarten

Datenart Beschreibung Pseudonymisierung
IP-Adresse IPv4/IPv6 des Besucher-Geräts Kürzung auf /24 (IPv4) bzw. /48 (IPv6) nach 24 Stunden
User-Agent Browser- und Betriebssystem-Identifikation keine (Freitext)
Site-UUID ID der Website des Verantwortlichen kein Personenbezug
TCF-Consent-String IAB TCF v2.3 Einwilligungsdaten inkl. Purposes, Vendors, LI, DisclosedVendors strukturelle Daten, kein direkter Personenbezug
Referrer Domain der Publisher-Website kein Personenbezug
Zeitstempel Zeitpunkt der Banner-Interaktion
GeoIP-Ländercode ISO-Ländercode, in-process aus IP abgeleitet nur Ländercode, nicht die Original-IP

A.2 Kategorien Betroffener

  • Besucher der Website(s) des Verantwortlichen (Art. 4 Nr. 1 DSGVO).

Nicht verarbeitet: Daten besonderer Kategorien nach Art. 9 DSGVO, strafrechtliche Daten nach Art. 10 DSGVO, Daten von Kindern unter 16 Jahren (wissentlich).

A.3 Zwecke der Verarbeitung

  • Erhebung und Dokumentation von Einwilligungen nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
  • Revisionssichere Aufbewahrung des Consent-Audit-Trails zum Nachweis nach Art. 7 Abs. 1 DSGVO.
  • Wiedererkennung zurückkehrender Besucher für Consent-Replay (Vermeidung wiederholter Banner-Einblendung).
  • Aggregierte Statistiken im Dashboard (Opt-in-Rate pro Purpose, aggregiert, ohne Einzelprofile).
Anlage B

Technische und organisatorische Maßnahmen (TOMs)

Gegliedert nach Art. 32 DSGVO. Alle Maßnahmen folgen dem Stand der Technik und werden regelmäßig überprüft (§ 7 Nr. 2 AVV).

B.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

  • Produktions-Infrastruktur in ISO-27001-zertifizierten EU-Rechenzentren. Physische Sicherheit, Zutrittskontrolle und Umweltschutz verantworten und dokumentieren die Hosting-Subprozessoren (siehe Anlage C).
  • Kein dezentraler Betrieb außerhalb dieser Rechenzentren. Keine lokalen Server oder Client-Geräte mit Produktions-Datenzugang.

Zugangskontrolle

  • Authentifizierung zum Dashboard über ein selbst betriebenes Auth-System. Verfügbare Verfahren: E-Mail-Magic-Link, Passwort, Passkey (FIDO2) — nach Wahl des Konto-Inhabers.
  • Administrativer Zugriff auf die Server-Infrastruktur ausschließlich über SSH-Key-Authentifizierung und Firewall; Admin-Dienste binden nur auf lokale Listener und sind von außen nicht erreichbar.
  • Session-Cookies werden mit SameSite=Lax, Secure-Flag und sicheren Ablaufzeiten ausgestellt.

Zugriffskontrolle

  • Rollenbasierte Berechtigungen im Backend. Pro Konto und Site getrennte Zugriffs-Scopes.
  • Need-to-know-Prinzip: Lesezugriff auf Produktions-Daten nur für die Inhaber-Rolle.
  • Audit-Log auf allen Konfigurations-Writes mit Zeitstempel und Konto-ID (Retention: 3 Jahre).

Trennungsgebot

  • Mandantentrennung: Datensätze verschiedener Verantwortlicher werden logisch getrennt gespeichert und über separierte Abfrage-Scopes ausgelesen.
  • Dev- und Prod-Umgebungen sind technisch vollständig getrennt.

Pseudonymisierung

  • IP-Adressen werden zu keinem Zeitpunkt dauerhaft gespeichert. In Consent-Datensätzen wird ausschließlich ein nicht-umkehrbarer Hash (IP + User-Agent + Site-Salt) sowie das Herkunftsland abgelegt. Am CDN-Edge werden Zugriffslogs quellseitig anonymisiert (letztes Oktett IPv4 entfällt, entsprechende Kürzung bei IPv6). Für Rate-Limiting wird die IP flüchtig im Cache verwendet und spätestens nach Ablauf des Zeitfensters (unter einer Minute) verworfen.
  • TCF-Consent-Strings enthalten strukturelle Einwilligungsdaten ohne direkten Personenbezug. Eine Verknüpfung mit anderen Datenquellen erfolgt nicht.

B.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle (Transportverschlüsselung)

  • TLS 1.2+ auf allen öffentlichen Endpoints erzwungen (HSTS-Header, keine TLS-1.0/1.1-Fallbacks).
  • Edge-Routing auf EU-Points-of-Presence beschränkt. Keine Traffic-Übergabe an Nicht-EU-PoPs.
  • Keine Übertragung personenbezogener Daten in Drittländer (§ 13 AVV).

Eingabekontrolle

  • Nachvollziehbarkeit aller Konfigurations-Änderungen durch Audit-Log (Konto-ID, Zeitstempel, geänderte Felder, Alt-/Neu-Wert-Hash).
  • Consent-Write-Pfad ist atomar (Datenbank-Transaktionen); partielle Writes sind ausgeschlossen.

Schutz der ruhenden Daten

  • Produktions-Datenträger liegen ausschließlich in EU-Rechenzentren mit physischer Zutrittskontrolle durch den Hosting-Subprozessor (siehe Anlage C).
  • Postgres-Backups und WAL-Archive werden auf dem Object-Storage-Subprozessor serverseitig mit AES-256 verschlüsselt abgelegt (siehe Anlage C, Scaleway Object Storage). Produktions-Volume-Verschlüsselung auf Datenträger-Ebene ist in Vorbereitung und wird nach Umsetzung an dieser Stelle dokumentiert.

B.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b + c DSGVO)

Verfügbarkeitskontrolle

  • Container-Orchestrierung mit Health-Checks und automatischem Neustart bei Fehlzuständen.
  • Edge-Caching über EU-weite Points-of-Presence senkt das Single-Point-of-Failure-Risiko der Origin.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

  • Tägliche Datenbank-Backups (RPO ≤ 24 h) auf geografisch getrenntes EU-Storage.
  • Point-in-Time-Recovery verfügbar.
  • Wiederherstellungs-Tests werden mindestens quartalsweise durchgeführt; Ergebnisse dokumentiert.

Belastbarkeit (Resilienz)

  • Rate-Limiting auf dem Consent-Write-Pfad schützt vor Überlast und Abuse.
  • Container-Images der datenverarbeitenden Dienste werden minimal gehalten — ohne Shell, ohne Paketmanager — und laufen als non-root.
  • Infrastructure-as-Code mit getrennten Stacks ermöglicht gezielten Teil-Rollback.

B.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management

  • Öffentliche, versionierte Dokumente: Datenschutzerklärung, AVV (diese Seite einschließlich Anlage C Subprozessoren-Liste), Impressum.
  • Jede Änderung durchläuft einen Code-Review im Git-Workflow und landet über signierte Commits im Produktiv-Stand.

Incident-Response

  • 24/7-Meldeadresse security@blitzkeks.de, Bestätigung innerhalb von 24 Stunden.
  • Breach-Notifikation an Verantwortliche binnen 48 Stunden nach Kenntnisnahme (§ 10 Nr. 1 AVV).
  • Incident-Playbook: Erkennung → Eindämmung → Analyse → Benachrichtigung → Nachbereitung, dokumentiert intern.

Auftragskontrolle

  • Weisungen des Verantwortlichen laufen über Dashboard-Konfiguration oder Textform-E-Mail.
  • Alle Weisungen werden protokolliert; Abweichungen werden vom Auftragsverarbeiter aktiv gemeldet.

Datenschutz durch Technikgestaltung und durch Voreinstellungen (Art. 25 DSGVO)

  • Pseudonymisierung (IP-Truncation) als Default, keine Opt-in-Konfiguration.
  • Keine US-Unterauftragsverarbeiter im Besucher- oder Kundendatenpfad (Sovereignty-Commitment).

B.5 Schlüssel- und Secret-Management

  • Produktions-Secrets in einem zentralen Secret-Store mit verschlüsselter Ablage und definiertem Rotations-Intervall (mindestens jährlich, ad hoc bei Verdacht auf Kompromittierung).
  • Kein Secret liegt im Klartext im Quellcode-Repository oder in Container-Images.
  • TLS-Zertifikate werden automatisiert ausgestellt und regelmäßig rotiert.

B.6 Überprüfungszyklus

  • TOMs werden mindestens einmal jährlich oder anlassbezogen (substantielle Infrastruktur-Änderungen, neue Unterauftragsverarbeiter, Sicherheitsvorfall) überprüft.
  • Substantielle Änderungen werden dem Verantwortlichen in Textform mitgeteilt (§ 7 Nr. 2 AVV).
  • Stand dieser Anlage siehe Abschnitt „Stand + Versionshistorie" am Ende des Vertrags.
Anlage C

Unterauftragsverarbeiter

Diese Anlage ist die verbindliche und öffentlich einsehbare Fassung der Subprozessoren-Liste. Maßgeblicher Stand ist die jeweils veröffentlichte Version dieses AVV-Dokuments; frühere Fassungen sind über die unter „Stand + Versionshistorie" verlinkte Git-Commit-History nachvollziehbar. Änderungen werden dem Verantwortlichen nach Maßgabe von § 8 Nr. 2 in Textform unterrichtet, mit Einspruchs- und Kündigungsrecht des Verantwortlichen.

C.1 Visitor-Data-Pfad

Unterauftragsverarbeiter Sitz Zweck AVV/DPA
Netcup GmbH
Daimlerstraße 25, 76185 Karlsruhe		 🇩🇪 DE VPS-Hosting (Origin, PostgreSQL, Valkey) AVV ↗
BunnyWay d.o.o.
Cesta Komandanta Staneta 4a, 1215 Medvode		 🇸🇮 SI Edge-CDN (Loader.js, Config-Cache), EU-only Routing DPA ↗
INWX GmbH
Prinzessinnenstraße 30, 10969 Berlin		 🇩🇪 DE DNS-Auflösung und ACME DNS-01 Challenges AVV ↗
Scaleway SAS
8 Rue de la Ville l'Évêque, 75008 Paris		 🇫🇷 FR Object Storage (Region fr-par) — verschlüsselte Postgres-Backups inkl. WAL-Archiv; Backups enthalten Consent-Records und Tenant-Daten, verbleiben ausschließlich in der EU DPA ↗
Internet Security Research Group (ISRG) / Let's Encrypt 🇺🇸 US TLS-Zertifikatssignatur — kein Zugriff auf Request-Pfad oder Besucherdaten Subscriber Agreement ↗

C.2 Customer-Data-Pfad (Konto, Auth, Kontakt)

Unterauftragsverarbeiter Sitz Zweck AVV/DPA
Scaleway SAS
8 Rue de la Ville l'Évêque, 75008 Paris		 🇫🇷 FR Transaktions-Mails (Hanko Login-Magic-Links, Verifizierung) DPA ↗
Heinlein Support GmbH / mailbox.org
Schwedter Str. 8/9A, 10119 Berlin		 🇩🇪 DE Posteingang für hallo@blitzkeks.de, security@blitzkeks.de AVV ↗

Keine US-Unterauftragsverarbeiter im Besucher- oder Kundendatenpfad. Let's Encrypt (ISRG) signiert TLS-Zertifikate außerhalb des Request-Pfads und sieht keinen Traffic — für die Besucherdatenverarbeitung besteht keine Auftragsverarbeitung nach Art. 28 DSGVO.

Stand + Versionshistorie

Stand: 22. April 2026 · v2 (TCF v2.3) — überarbeitete Fassung zum Launch.

Frühere Fassungen: Git-Commit-History auf GitHub ↗ .

Substantielle Änderungen an AVV oder Anlagen werden vor Inkrafttreten in Textform angekündigt (§ 1 Nr. 4 und § 8 Nr. 2); Konto-Inhaber erhalten zusätzlich eine E-Mail-Benachrichtigung.