Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO zwischen Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – nachfolgend „Auftragsverarbeiter“ – und dem jeweiligen Kunden – nachfolgend „Verantwortlicher“ –

1. Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Bereich IT-Sicherheit und Bot-Erkennung über den Dienst „SilentShield.io“.

(2) Gegenstand der Verarbeitung ist die automatisierte Analyse und Filterung von Datenströmen zur Erkennung und Abwehr von Angriffen sowie missbräuchlichen Zugriffen.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des jeweiligen Hauptvertrages.

2. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:

• Erkennung und Abwehr automatisierter Zugriffe (Bots)
• Schutz vor Angriffen (z. B. DDoS, Spam)
• Sicherstellung der Systemstabilität und -verfügbarkeit
• Analyse von Zugriffsmustern zur Gefahrenabwehr

Dabei können automatisierte Entscheidungen (z. B. Blockierung von Anfragen) getroffen werden, soweit dies zur Systemsicherheit erforderlich ist.

3. Art der Daten

• IP-Adressen
• HTTP-Header-Daten
• Browser- und Geräteinformationen
• Zugriffsdaten (Zeitpunkt, URL, Requests)
• Interaktions- und Verhaltensdaten

4. Kategorien betroffener Personen

• Besucher von Websites des Verantwortlichen
• Nutzer von Online-Diensten des Verantwortlichen

5. Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

(2) Der Verantwortliche stellt sicher, dass er berechtigt ist, die Daten an den Auftragsverarbeiter zu übermitteln.

(3) Der Verantwortliche erfüllt seine Informationspflichten gegenüber betroffenen Personen.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter:

• verarbeitet Daten ausschließlich auf dokumentierte Weisung
• gewährleistet angemessene technische und organisatorische Maßnahmen
• stellt die Vertraulichkeit sicher
• unterstützt bei Betroffenenrechten
• unterstützt bei Datenschutz-Folgenabschätzungen

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt insbesondere folgende Maßnahmen um:

• TLS/SSL-Verschlüsselung
• Zugriffskontrollen und Rollenmodelle
• Protokollierung und Monitoring
• Schutz vor unbefugtem Zugriff
• Regelmäßige Sicherheitsüberprüfungen

8. Subunternehmer

• Cloudflare, Inc. (USA) – CDN, WAF, Proxy, DDoS-Schutz
• STRATO AG (Deutschland) – Hosting und Infrastruktur

(2) Der Auftragsverarbeiter stellt sicher, dass alle Subunternehmer gemäß Art. 28 DSGVO eingebunden sind.

(3) Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz dieser Subunternehmer.

(4) Eine aktuelle Liste der Subunternehmer wird auf Anfrage oder über die Website bereitgestellt.

9. Drittlandübermittlung

(1) Eine Übermittlung personenbezogener Daten in Drittstaaten (insbesondere USA) kann erfolgen.

(2) Diese erfolgt ausschließlich unter Einhaltung der DSGVO, insbesondere durch:

• EU-Standardvertragsklauseln (Art. 46 DSGVO)
• Ggf. EU-US Data Privacy Framework

10. Kontrollrechte

(1) Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen.

(2) Der Auftragsverarbeiter stellt hierfür geeignete Informationen zur Verfügung.

(3) Audits sind mit angemessener Frist anzukündigen und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen.

11. Datenlöschung

Nach Beendigung des Vertrags werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

12. Haftung

Es gelten die Haftungsregelungen des Hauptvertrages.