DSGVO-Compliance

Auftragsverarbeitungsverträge

Dokumentation aller Auftragsverarbeitungsverträge (DPA) gemäß Art. 28 DSGVO für transparente und rechtskonforme Zusammenarbeit mit Dienstleistern.

Aktive Auftragsverarbeitungsverträge

Alle externen Dienstleister mit Zugriff auf personenbezogene Daten

Postmark (Wildbit LLC)

E-Mail-Versendung und -Zustellung

Aktiv
🇺🇸 USA

Verarbeitete Datenarten

  • E-Mail-Adressen von Absendern und Empfängern
  • E-Mail-Inhalte (Kontaktanfragen, Terminbestätigungen)
  • Versandstatistiken und Bounce-Informationen
  • IP-Adressen für Spam-Schutz
  • Zeitstempel der E-Mail-Übertragung

Verarbeitungszwecke

  • Versendung von Kontaktbestätigungen
  • Terminbestätigungen und Kalendereinladungen
  • Newsletter-Versendung (Double-Opt-In)
  • Automatische Antworten
  • Zustellbarkeits-Monitoring

Schutzmaßnahmen und Garantien

EU-US Data Privacy Framework (Adequacy Decision)
Standardvertragsklauseln der EU-Kommission
SOC 2 Type II Zertifizierung
GDPR-konforme Datenverarbeitung
Verschlüsselung in Transit und at Rest

Speicherdauer

E-Mail-Logs: 45 Tage, Bounce-Daten: 30 Tage

Vertragsdatum

15.1.2024

Nächste Überprüfung

15.1.2025

Unterauftragsverarbeiter

Amazon Web Services (Hosting)
Cloudflare (CDN und DDoS-Schutz)

Hetzner Online GmbH

Website-Hosting und Server-Infrastruktur

Aktiv
🇺🇸 USA

Verarbeitete Datenarten

  • Website-Besucherdaten (IP-Adressen, User-Agent)
  • Hochgeladene Dateien und Dokumente
  • Datenbank-Inhalte (verschlüsselt)
  • Backup-Daten
  • Server-Log-Dateien

Verarbeitungszwecke

  • Bereitstellung der Website
  • Datenbank-Hosting
  • Backup und Disaster Recovery
  • Performance-Monitoring
  • Sicherheitsüberwachung

Schutzmaßnahmen und Garantien

EU-Datenschutzrecht (Deutschland)
ISO 27001 Zertifizierung
TISAX Zertifizierung
Physische Sicherheit der Rechenzentren
Verschlüsselte Datenübertragung

Speicherdauer

Log-Dateien: 7 Tage, Backups: 30 Tage

Vertragsdatum

10.1.2024

Nächste Überprüfung

10.1.2025

Unterauftragsverarbeiter

Keine weiteren Unterauftragsverarbeiter

Google Ireland Limited

Website-Analyse (Google Analytics)

Aktiv
🇪🇺 EU

Verarbeitete Datenarten

  • Anonymisierte IP-Adressen
  • Browser- und Geräteinformationen
  • Besuchte Seiten und Verweildauer
  • Referrer-URLs
  • Demografische Daten (geschätzt)

Verarbeitungszwecke

  • Website-Performance-Analyse
  • Nutzerverhalten verstehen
  • Content-Optimierung
  • Marketing-Effektivität messen
  • Technische Probleme identifizieren

Schutzmaßnahmen und Garantien

EU-US Data Privacy Framework
IP-Anonymisierung aktiviert
Google Ads Data Processing Terms
Datenaufbewahrung auf 14 Monate begrenzt
Opt-Out-Möglichkeit für Nutzer

Speicherdauer

14 Monate (verkürzt von Standard 26 Monate)

Vertragsdatum

20.1.2024

Nächste Überprüfung

20.1.2025

Unterauftragsverarbeiter

Google LLC (USA)
Verschiedene Google-Rechenzentren weltweit

DSGVO-Anforderungen (Art. 28 Abs. 3)

Art. 28 Abs. 3 lit. a
Erfüllt

Verarbeitung nur auf dokumentierte Weisung

Schriftliche Verträge mit allen Auftragsverarbeitern

Art. 28 Abs. 3 lit. b
Erfüllt

Vertraulichkeitsverpflichtung der Mitarbeiter

Vertragliche Schweigepflicht-Klauseln

Art. 28 Abs. 3 lit. c
Erfüllt

Technische und organisatorische Maßnahmen

Detaillierte TOM-Dokumentation

Art. 28 Abs. 3 lit. d
Erfüllt

Genehmigung für Unterauftragsverarbeiter

Schriftliche Genehmigung und Überwachung

Art. 28 Abs. 3 lit. e
Erfüllt

Unterstützung bei Betroffenenrechten

Verfahren für Auskunft, Löschung, etc.

Art. 28 Abs. 3 lit. f
Erfüllt

Unterstützung bei Datenschutz-Folgenabschätzung

Bereitstellung relevanter Informationen

Art. 28 Abs. 3 lit. g
Erfüllt

Löschung oder Rückgabe der Daten

Vertraglich geregelte Löschungsverfahren

Art. 28 Abs. 3 lit. h
Erfüllt

Nachweis der Einhaltung

Regelmäßige Audits und Zertifizierungen

Technische und Organisatorische Maßnahmen (TOM)

Verschlüsselung

  • TLS 1.3 für alle Datenübertragungen
  • AES-256 Verschlüsselung für gespeicherte Daten
  • Ende-zu-Ende Verschlüsselung für E-Mails
  • Verschlüsselte Backup-Systeme

Zugriffskontrolle

  • Multi-Faktor-Authentifizierung
  • Rollenbasierte Berechtigungen
  • Regelmäßige Passwort-Updates
  • Automatische Session-Timeouts

Monitoring

  • Kontinuierliche Systemüberwachung
  • Intrusion Detection Systeme
  • Log-Analyse und Anomalie-Erkennung
  • Incident Response Verfahren

Compliance

  • Regelmäßige Datenschutz-Audits
  • Mitarbeiterschulungen
  • Dokumentation aller Verfahren
  • Externe Sicherheitsprüfungen

Datenschutzverletzungen (Art. 33/34 DSGVO)

Meldeverfahren

  • Sofortige Benachrichtigung durch Auftragsverarbeiter
  • Bewertung binnen 24 Stunden
  • Meldung an Aufsichtsbehörde binnen 72h
  • Information der Betroffenen (falls erforderlich)

Kontaktdaten

Datenschutzbeauftragte

datenschutz@kanzlei-ordemann.de

Notfall-Hotline

+49 89 123 456 999 (24/7)

Aufsichtsbehörde

poststelle@lda.bayern.de

Überwachung und Audits

Regelmäßige Überprüfung

Jährliche Überprüfung aller DPA-Verträge und Compliance-Status

Sicherheitsaudits

Externe Sicherheitsprüfungen und Penetrationstests

Dokumentation

Vollständige Dokumentation aller Verarbeitungstätigkeiten

Postmark DPA - Detailansicht

Vertragsdetails

Vertragspartner: Wildbit LLC (Postmark)

Vertragsdatum: 15. Januar 2024

Gültigkeitsdauer: Unbefristet

Kündigungsfrist: 30 Tage

Governing Law: EU-Datenschutzrecht

Compliance-Status

EU-US Data Privacy Framework
SOC 2 Type II zertifiziert
GDPR-konforme Verarbeitung
Standardvertragsklauseln

Besondere Vereinbarungen

  • • Automatische Löschung von E-Mail-Inhalten nach 45 Tagen
  • • Keine Verwendung für eigene Marketingzwecke
  • • Sofortige Benachrichtigung bei Datenschutzverletzungen
  • • Unterstützung bei Betroffenenrechten binnen 48 Stunden
  • • Jährliche Compliance-Berichte

RoPA herunterladen

Vollständiges Verzeichnis von Verarbeitungstätigkeiten als PDF

RoPA-Dokument

Fragen zu DPA/RoPA?

Kontaktieren Sie unsere Datenschutzbeauftragte

Kontakt aufnehmen

Letzte Aktualisierung: 9. Oktober 2025

Version 1.0 | Nächste Überprüfung: 9.10.2026