DSGVO · Art. 28

Auftragsverarbeitungsvertrag

Stand: März 2026 · Version 1.0 · Gilt für alle Nutzer der smartcustom.tech-Plattform

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch smartcustom.tech (Auftragsverarbeiter) im Auftrag des jeweiligen Shop-Betreibers (Verantwortlicher) gemäß Art. 28 DSGVO.

§ 1 – Vertragsgegenstand und Geltungsbereich

(1) Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil des Nutzungsvertrages zwischen dem Shop-Betreiber (nachfolgend „Verantwortlicher") und smartcustom.tech (nachfolgend „Auftragsverarbeiter") über die Nutzung der Online-Bestellplattform smartcustom.tech.

(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen und nach dessen dokumentierten Weisungen.

§ 2 – Art, Umfang und Zweck der Verarbeitung

Art der Verarbeitung: Erhebung, Speicherung, Übermittlung und Löschung von Bestelldaten im Rahmen des Betriebs der Online-Bestellseite des Verantwortlichen.

Zweck: Abwicklung von Kundenbestellungen über die Plattform des Verantwortlichen.

Betroffene Kategorien personenbezogener Daten:

Name und Kontaktdaten der Endkunden (Besteller)
Bestellinhalte und Bestellzeitpunkt
Zahlungsstatusinformationen (kein vollständiger Zahlungsdatensatz)
Optionale Notizen zur Bestellung
IP-Adressen (bei DSGVO-pflichtigen Einwilligungen)

Betroffene Personengruppen: Endkunden des Verantwortlichen (Besteller).

§ 3 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen hin zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO);
alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu ergreifen;
die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragsverarbeiter) gemäß § 5 dieses AVV einzuhalten;
angesichts der Art der Verarbeitung den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen dabei zu unterstützen, die Betroffenenrechte wahrzunehmen (Art. 28 Abs. 3 lit. e DSGVO);
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO);
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Verpflichtungen gemäß Art. 28 DSGVO zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO).

§ 4 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende technische und organisatorische Schutzmaßnahmen implementiert:

Maßnahme	Umsetzung
Zutrittskontrolle	Serverinfrastruktur ausschließlich in zertifizierten Rechenzentren (EU)
Zugangskontrolle	Passwortschutz, Supabase Auth mit sicheren Passwort-Hashes
Zugriffskontrolle	Row Level Security (RLS) auf Datenbankebene; Shop-Betreiber sieht nur eigene Daten
Transportverschlüsselung	TLS 1.2/1.3 für alle Datenübertragungen
Datenverschlüsselung	Verschlüsselung der Datenbank at rest (AES-256)
Backups	Tägliche automatisierte Backups mit 30-Tage-Retention
Zugang von Mitarbeitern	Minimalprinzip; protokollierter Zugriff
Datenlöschung	Sichere Löschung bei Vertragsende auf Anfrage

§ 5 – Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche mit Abschluss dieses AVV generell zustimmt:

Anbieter	Sitz	Zweck
Supabase Inc.	USA (Datenhaltung EU-Region)	Datenbankhosting, Authentifizierung
Vercel Inc.	USA (Edge-Nodes EU)	Hosting der Web-Applikation
Resend Inc.	USA	Transaktions-E-Mails (Bestellbenachrichtigungen)
PayPal (Europe) S.à r.l.	Luxemburg	Optionale Zahlungsabwicklung
SumUp Payments Ltd.	Irland	Optionale Zahlungsabwicklung

Bei der Einschaltung von Unterauftragsverarbeitern in Drittländern (USA) erfolgt die Datenübermittlung auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO) oder EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Änderungen der Unterauftragsverarbeiter werden dem Verantwortlichen mindestens 30 Tage im Voraus angekündigt.

§ 6 – Weisungsrecht des Verantwortlichen

(1) Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter Weisungen hinsichtlich der Verarbeitung personenbezogener Daten zu erteilen.

(2) Weisungen sind schriftlich (E-Mail genügt) an datenschutz@smartcustom.tech zu richten.

(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder sonstiges Datenschutzrecht verstößt, teilt er dies dem Verantwortlichen unverzüglich mit.

§ 7 – Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) soweit technisch möglich. Anfragen sind an datenschutz@smartcustom.tech zu richten.

§ 8 – Meldung von Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO) unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, unter Angabe der nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen.

§ 9 – Laufzeit und Kündigung

(1) Dieser AVV gilt für die Dauer des Nutzungsvertrages zwischen Verantwortlichem und Auftragsverarbeiter.

(2) Nach Beendigung des Nutzungsvertrages werden alle personenbezogenen Daten des Verantwortlichen gelöscht oder auf ausdrücklichen Wunsch zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 10 – Kontakt und Verantwortlichkeiten

Auftragsverarbeiter:
smartcustom.tech
E-Mail: datenschutz@smartcustom.tech

Verantwortlicher:
Der jeweilige Shop-Betreiber gemäß Registrierungsdaten.

← Zurück zur Registrierung