Rechtsdokument

Auftragsverarbeitungsvertrag.

nach Artikel 28 Datenschutz-Grundverordnung (DSGVO)
Stand: 2026-05-02 · Version 1.0

Verantwortlicher (Auftraggeber)

[Firmenname Kunde]
[Anschrift]
[PLZ Ort]
[Land]

vertreten durch:
[Name vertretungsberechtigte Person]

— nachfolgend „Verantwortlicher" —

Auftragsverarbeiter

DisplayMetric — Inhaber Kagan Yavuz
Brühlstr. 40, 72555 Metzingen, Deutschland
E-Mail: hello@displaymetric.de

— nachfolgend „Auftragsverarbeiter" —

— gemeinsam auch „die Parteien" —

Gliederung

Präambel
Gegenstand und Dauer
Art und Zweck der Verarbeitung
Kategorien betroffener Personen und Daten
Pflichten des Auftragsverarbeiters
Technische und organisatorische Maßnahmen
Unterauftragsverarbeiter
Rechte und Pflichten des Verantwortlichen
Meldung von Verletzungen
Beendigung und Löschung
Haftung und Schadenersatz
Schlussbestimmungen

1. Präambel

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen durchführt. Er findet Anwendung auf alle Tätigkeiten, bei denen Beschäftigte des Auftragsverarbeiters oder durch ihn beauftragte Sub-Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeiten.

2. Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Gegenstand ist die Bereitstellung der DisplayMetric-Plattform für Digital Signage mit anonymer Audience-Analytics. Der Auftragsverarbeiter stellt dem Verantwortlichen eine Software-as-a-Service-Lösung zur Verfügung, die folgende Funktionen umfasst:

Cloud-basiertes Content-Management-System für digitale Bildschirminhalte
Verteilung von Inhalten an die Display-Player des Verantwortlichen
Anonyme Erfassung von Reichweiten- und Aufmerksamkeitsdaten an den Displays
Aggregation und Bereitstellung statistischer Auswertungen
Verwaltung von Nutzerkonten des Verantwortlichen (Mitarbeiter mit CMS-Zugang)

2.2 Dauer

Die Dauer dieses Vertrages richtet sich nach der Laufzeit des zwischen den Parteien geschlossenen Hauptvertrages über die Nutzung der DisplayMetric-Plattform. Endet der Hauptvertrag, endet auch dieser AVV automatisch mit allen sich daraus ergebenden Rechten und Pflichten zur Datenlöschung gemäß Ziffer 10.

3. Art und Zweck der Verarbeitung

3.1 Art der Verarbeitung

Folgende Verarbeitungen werden im Auftrag durchgeführt:

Erhebung, Speicherung, Strukturierung und Aggregation von anonymen Audience-Messdaten
Speicherung und Auslieferung von Mediendateien des Verantwortlichen
Verwaltung von Nutzer- und Geräte-Stammdaten
Bereitstellung statistischer Reports im CMS
Versand von System-Benachrichtigungen (z.B. Offline-Alerts) an benannte Empfänger
Backup und Wiederherstellung der genannten Daten

3.2 Zweck

Zweck ist die Bereitstellung der vertraglich vereinbarten Software-Plattform und die Ermöglichung von Reichweitenmessung digitaler Inhalte. Die Verarbeitung erfolgt ausschließlich zu den vom Verantwortlichen festgelegten Zwecken im Rahmen dieses Vertrages.

4. Kategorien betroffener Personen und Daten

4.1 Kategorien betroffener Personen

Mitarbeiter des Verantwortlichen mit Zugang zum CMS
Personen, die im Erfassungsbereich der Display-Kameras passieren (anonym, nicht identifizierbar)

4.2 Kategorien personenbezogener Daten (CMS-Nutzer)

Stammdaten: Name, E-Mail-Adresse, Rolle
Authentifizierungsdaten: Passwort-Hash (bcrypt), 2FA-Geheimnisse, Session-Tokens
Aktivitätsdaten: Login-Zeitpunkte, durchgeführte Aktionen (Audit-Log), IP-Adresse beim Login

4.3 Kategorien anonymer Audience-Daten (Passanten)

Anzahl gleichzeitig anwesender Personen pro Zeitintervall
Aufmerksamkeitsindex auf Basis grober Kopfausrichtung
Verweildauer (Dwell Time) im Erfassungsbereich
Korrelation: welcher Inhalt war zu welchem Zeitpunkt sichtbar

Ausdrücklich NICHT verarbeitet werden: biometrische Identifizierungsdaten, Fotos, Videos, Audio, demografische Schätzungen (Stand: 2026-05-01). Bilddaten verlassen das Edge-Gerät niemals und werden nach der Live-Auswertung im Arbeitsspeicher sofort verworfen.

4.4 Besondere Kategorien (Art. 9 DSGVO)

Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet. Sollte sich daran etwas ändern, wird dieser Vertrag entsprechend angepasst und der Verantwortliche zuvor informiert.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

personenbezogene Daten ausschließlich nach den dokumentierten Weisungen des Verantwortlichen zu verarbeiten;
den Verantwortlichen unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt;
sicherzustellen, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
die in Ziffer 6 genannten technischen und organisatorischen Maßnahmen zu ergreifen und aufrechtzuerhalten;
den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO mit angemessenen Mitteln zu unterstützen;
den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit) mit angemessenen Mitteln zu unterstützen;
nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten nach Beendigung der Verarbeitung zu löschen oder zurückzugeben (siehe Ziffer 10);
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen.

6. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 1 (TOM) beschriebenen technischen und organisatorischen Maßnahmen zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus gemäß Art. 32 DSGVO. Die TOM werden regelmäßig überprüft und bei Bedarf an den Stand der Technik angepasst. Wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.

7. Unterauftragsverarbeiter

7.1 Allgemein zugelassene Unter-Auftragsverarbeiter

Der Verantwortliche genehmigt mit Abschluss dieses Vertrages den Einsatz folgender Unter-Auftragsverarbeiter:

Unternehmen	Sitz	Leistung	Datentyp
Hetzner Online GmbH	Gunzenhausen, Deutschland	Server-Hosting, Off-Site-Backup-Storage	Alle Daten gemäß Ziffer 4
Heinlein Hosting GmbH (mailbox.org)	Berlin, Deutschland	E-Mail-Empfang für datenschutz@displaymetric.de	E-Mails an die Datenschutz-Kontaktadresse
Resend Inc.	USA, Kalifornien	Versand transaktionaler E-Mails	E-Mail-Adresse + Inhalt der Systemnachricht

Bezüglich Resend Inc. (USA) gilt: Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Adequacy Decision der EU-Kommission vom 10. Juli 2023). Resend Inc. ist DPF-zertifiziert. Zusätzlich wurden Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO als Absicherung für den Fall eines Wegfalls des Adequacy-Status geschlossen.

7.2 Allgemeine Genehmigung weiterer Unter-Auftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Unter-Auftragsverarbeiter hinzuzuziehen oder bestehende auszutauschen. Der Auftragsverarbeiter wird den Verantwortlichen mindestens vier Wochen im Voraus per E-Mail über geplante Änderungen informieren. Der Verantwortliche kann der Beauftragung innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen widersprechen.

7.3 Sub-Auftragsverarbeiter-Verträge

Der Auftragsverarbeiter wird mit allen Unter-Auftragsverarbeitern Verträge schließen, die mindestens dasselbe Schutzniveau wie dieser AVV gewährleisten und insbesondere die Pflichten aus Art. 28 Abs. 3 DSGVO enthalten.

8. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche

ist alleiniger Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung im Sinne der DSGVO;
erteilt seine Weisungen grundsätzlich in dokumentierter Form (E-Mail genügt). Mündliche Weisungen werden vom Auftragsverarbeiter unverzüglich in Textform bestätigt;
ist für die Information der betroffenen Personen verantwortlich, insbesondere für das Anbringen des Hinweisschildes am Display gemäß Art. 13 DSGVO;
hat das Recht, die Einhaltung dieses Vertrages durch den Auftragsverarbeiter zu überprüfen, einschließlich Vor-Ort-Kontrollen mit angemessener Vorankündigung (mindestens 14 Tage), maximal einmal jährlich, sofern kein konkreter Anlass für häufigere Kontrollen besteht;
kann alternativ Audit-Berichte unabhängiger Prüfer (z.B. ISO 27001-Zertifikate) als Nachweis akzeptieren.

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung erfolgt per E-Mail an die vom Verantwortlichen benannte Datenschutzkontaktadresse.

Die Meldung enthält mindestens:

Eine Beschreibung der Art der Verletzung
Die Kategorien und ungefähre Anzahl der betroffenen Personen
Die Kategorien und ungefähre Anzahl der betroffenen Datensätze
Wahrscheinliche Folgen der Verletzung
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Risikominderung

10. Beendigung und Löschung

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach Unionsrecht oder nationalem Recht eine Verpflichtung zur Speicherung besteht.

Der Verantwortliche kann seine Daten jederzeit über die DSGVO-Export-Funktion im CMS exportieren. Eine vollständige Löschung des Accounts inklusive aller Daten kann der Verantwortliche eigenständig über die Account-Löschungs-Funktion im CMS auslösen oder schriftlich beim Auftragsverarbeiter beantragen. Die Löschung erfolgt innerhalb von 30 Tagen nach Beendigung des Vertrages, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Backups werden gemäß der in Anlage 1 (TOM) festgelegten Retention nach maximal 30 Tagen automatisch überschrieben.

11. Haftung und Schadenersatz

Die Parteien haften gegenüber betroffenen Personen nach den Bestimmungen der Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für eigenes Verschulden nach den allgemeinen gesetzlichen Vorschriften. Die Haftung des Auftragsverarbeiters ist im Übrigen auf die Bestimmungen des Hauptvertrages beschränkt.

12. Schlussbestimmungen

12.1 Vorrang

Bei Widersprüchen zwischen diesem AVV und Bestimmungen anderer Vereinbarungen, insbesondere des Hauptvertrages, gehen die Regelungen dieses AVV vor.

12.2 Schriftform

Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Klausel.

12.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

12.4 Anwendbares Recht und Gerichtsstand

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit gesetzlich zulässig, Reutlingen, Deutschland.

12.5 Anlagen

Bestandteil dieses Vertrages sind:

Anlage 1: Technische und organisatorische Maßnahmen (TOM) — verfügbar unter /legal/tom/

Ort, Datum

Unterschrift Verantwortlicher

Ort, Datum

Unterschrift Auftragsverarbeiter (DisplayMetric — Inhaber Kagan Yavuz)

Stand: Mai 2026

← Zurück zur Startseite