Skip to content
Zurück zum Trust Center

Zuletzt aktualisiert: April 2026

Auftragsverarbeitungsvertrag

Diese DPA-Vorlage beschreibt, wie ShiftNode Digital personenbezogene Daten im Auftrag eines Kunden verarbeiten kann, wenn ShiftNode als Auftragsverarbeiter nach Artikel 28 DSGVO handelt.

Die englische Rechtsfassung ist maßgeblich

Diese lokalisierte Fassung dient der Orientierung. Maßgeblich bleibt die englische Rechtsfassung, sofern keine separat unterzeichnete Vereinbarung etwas anderes vorsieht.

1. Rollen und Definitionen

Der Kunde ist in der Regel Verantwortlicher, wenn er Zwecke und Mittel der Verarbeitung bestimmt. ShiftNode Digital kann als Auftragsverarbeiter handeln, wenn personenbezogene Daten nach dokumentierten Weisungen des Kunden verarbeitet werden.

Personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter, Unterauftragsverarbeiter und Verletzung des Schutzes personenbezogener Daten haben die Bedeutung der DSGVO.

2. Umfang und Zweck

Die Verarbeitung kann Website-Hosting, Formularübermittlungen, Analytics-Aggregation, KI-gestützte Auditberichte, Anfragemanagement, Prozessunterstützung und Implementierungsleistungen umfassen.

Datenkategorien können Kontaktdaten, Unternehmenskontext, Website-Interaktionsdaten, Formularinhalte und technische Protokolle umfassen.

3. Pflichten des Auftragsverarbeiters

ShiftNode Digital soll personenbezogene Daten nur nach dokumentierten Weisungen verarbeiten, Vertraulichkeit wahren, geeignete technische und organisatorische Maßnahmen nutzen und den Verantwortlichen unterstützen, soweit rechtlich erforderlich.

Sicherheitsmaßnahmen richten sich nach Risiko, Leistungsumfang, Anbieter-Konfiguration und unterzeichneter Vereinbarung.

4. Unterauftragsverarbeiter

ShiftNode kann Anbieter für Hosting, Deployment, transaktionale E-Mails, Analytics, KI-Dienste, CRM und operative Tools einsetzen.

Eine projektspezifische Prozessorenliste sollte vor Abschluss einer bindenden DPA bestätigt werden.

5. Internationale Übermittlungen

Wenn Daten außerhalb des EWR übertragen werden, sollen geeignete Garantien wie Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere rechtmäßige Mechanismen genutzt werden.

6. Meldung von Datenschutzverletzungen

ShiftNode soll den Verantwortlichen nach Bekanntwerden einer Verletzung personenbezogener Daten ohne unangemessene Verzögerung informieren, abhängig von Rolle, Fakten und unterzeichneter Vereinbarung.

Der Verantwortliche bleibt für eigene Meldungen an Aufsichtsbehörden und betroffene Personen verantwortlich, sofern nichts anderes vereinbart ist.

7. Rückgabe und Löschung

Nach Ende der Leistungen sollen personenbezogene Daten nach dokumentierter Weisung des Verantwortlichen zurückgegeben oder gelöscht werden, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Audit und Unterstützung

Audit-Rechte, Nachweisanfragen, Sicherheitsfragebögen und Unterstützungspflichten sollen wirtschaftlich angemessen und unter Vertraulichkeit, Vorankündigung und Umfangsgrenzen behandelt werden.

Bereit, die Prioritäten vor der Umsetzung zu klären?

Nutzen Sie den 5-Geschäftstage-Audit, um zuerst zu entscheiden, was verbessert werden sollte, bevor Budget in Tools, Kampagnen, Automatisierung oder Umsetzung fließt.

AI Growth Audit beantragen