Sitealarm
Features So funktioniert's Preise
Anmelden Kostenlos starten
Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Zuletzt aktualisiert: Juli 2026

Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil unserer Allgemeinen Geschäftsbedingungen und gilt automatisch für alle Sitealarm-Accounts (Free, Pro, Team), sobald Sie personenbezogene Daten Dritter über den Dienst verarbeiten lassen. Eine gesonderte Unterschrift ist hierfür nicht erforderlich. Benötigen Sie eine unterschriebene Fassung für Ihre eigene Compliance-Dokumentation, kontaktieren Sie uns — ein ausfüllbares PDF ist in Vorbereitung.
Inhalt
  1. Parteien und Anwendungsbereich
  2. Begriffsbestimmungen
  3. Gegenstand, Dauer, Art und Zweck der Verarbeitung
  4. Kategorien betroffener Personen und Datenarten
  5. Pflichten als Auftragsverarbeiter
  6. Unterauftragsverarbeiter
  7. Technische und organisatorische Maßnahmen
  8. Kontroll- und Nachweisrechte
  9. Haftung
  10. Laufzeit, Kündigung, Löschung
  11. Änderungen dieses AVV
  12. Kontakt
  13. Änderungshistorie

1. Parteien und Anwendungsbereich

Dieser AVV wird geschlossen zwischen:

  • Auftraggeber / Verantwortlicher („Kunde", „Sie") — der Nutzer, der einen Sitealarm-Account betreibt und über die Zwecke und Mittel der Verarbeitung der von ihm über den Dienst verarbeiteten personenbezogenen Daten Dritter entscheidet.
  • Auftragsverarbeiter („ich", „Sitealarm") — Tobias Maxham als Betreiber von Sitealarm.

Dieser AVV gilt für sämtliche Verarbeitung personenbezogener Daten, die ich im Auftrag des Kunden im Zusammenhang mit der Bereitstellung von Sitealarm vornehme — insbesondere Daten, die im Rahmen von Website-Monitoring, Alert-Benachrichtigungen oder Status-Pages anfallen und sich auf Dritte (z. B. Endnutzer des Kunden) beziehen können.

Für die Verarbeitung der Daten des Kunden selbst (Account-Daten, Zahlungsdaten) gilt vorrangig die Datenschutzerklärung — dort ist der Kunde selbst betroffene Person, nicht Verantwortlicher.

2. Begriffsbestimmungen

Es gelten die Begriffsbestimmungen der DS-GVO (Art. 4 DS-GVO), insbesondere „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter" und „Auftragsverarbeitungsvertrag". Ergänzend gilt:

  • Unterauftragsverarbeiter — ein von mir eingesetzter weiterer Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Kunden verarbeitet.
  • Datenschutzverletzung — eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt.

3. Gegenstand, Dauer, Art und Zweck der Verarbeitung

Gegenstand der Verarbeitung ist die Erbringung der Sitealarm-Monitoring-Dienstleistung entsprechend dem gebuchten Plan. Die Verarbeitung dauert für die Laufzeit des zugrunde liegenden Nutzungsvertrags zwischen Kunde und mir an.

Art und Zweck der Verarbeitung umfassen insbesondere:

  • Automatisiertes Monitoring von Websites, Endpoints und Servern (Uptime, SSL, Heartbeat, Application Health)
  • Keyword- und Textprüfung, Broken-Link- und Mixed-Content-Erkennung auf überwachten Seiten
  • Versand von Alarm-Benachrichtigungen (E-Mail, Slack, Webhook, Telegram) an vom Kunden hinterlegte Kontakte
  • Bereitstellung öffentlicher Status-Pages inkl. Erfassung von Besucherdaten (bei aktivierter Funktion)
  • Speicherung und Anzeige von Monitoring-Historie und -Statistiken

4. Kategorien betroffener Personen und Datenarten

Kategorien betroffener Personen:

  • Mitarbeitende/Kontaktpersonen des Kunden, die als Alarm-Empfänger hinterlegt sind
  • Endnutzer bzw. Besucher der vom Kunden überwachten Websites, sofern deren Daten in HTTP-Antworten enthalten sind
  • Besucher öffentlicher Status-Pages des Kunden

Datenarten:

  • Kontaktdaten der Alarm-Empfänger (Name, E-Mail-Adresse, Telefonnummer bei SMS/Voice, Webhook-/Slack-Zugangsdaten)
  • Inhalte von HTTP-Antworten überwachter Endpoints, soweit diese personenbezogene Daten enthalten (abhängig von der überwachten Anwendung des Kunden)
  • IP-Adressen und Browserinformationen von Status-Page-Besuchern
  • Zugangsdaten zu überwachten Systemen, soweit vom Kunden für erweitertes Monitoring hinterlegt (z. B. Application-Health-Endpoints)

Eine bewusste Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO) ist nicht vorgesehen. Sollten überwachte Endpoints des Kunden solche Daten in ihren Antworten enthalten, obliegt es dem Kunden, hierfür eine geeignete Rechtsgrundlage sicherzustellen.

5. Pflichten als Auftragsverarbeiter

Weisungsgebundenheit: Ich verarbeite personenbezogene Daten des Kunden ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, ich bin durch EU- oder Mitgliedstaatenrecht zu einer anderweitigen Verarbeitung verpflichtet; in diesem Fall informiere ich den Kunden vorab, soweit rechtlich zulässig. Die Konfiguration des Dienstes durch den Kunden selbst (z. B. angelegte Monitore, hinterlegte Kontakte) gilt als dokumentierte Weisung.

Vertraulichkeit: Der Zugriff auf Kundendaten ist auf das für den Betrieb des Dienstes notwendige Maß beschränkt. Da Sitealarm aktuell von einer Einzelperson betrieben wird, besteht keine interne Mehrpersonen-Zugriffsproblematik; sobald weitere Personen Zugriff auf Produktivsysteme erhalten, werden diese vertraglich zur Vertraulichkeit verpflichtet.

Unterstützung bei Betroffenenrechten: Ich unterstütze den Kunden im zumutbaren Rahmen bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DS-GVO), soweit der Kunde diese nicht bereits selbst über die Sitealarm-Oberfläche (z. B. Löschen eines Alarm-Kontakts) erledigen kann.

Meldung von Datenschutzverletzungen: Kommt es zu einer Datenschutzverletzung, die Daten betrifft, für die der Kunde Verantwortlicher ist, informiere ich den Kunden unverzüglich, in der Regel innerhalb von 72 Stunden nach Bekanntwerden, einschließlich der mir zu diesem Zeitpunkt bekannten Angaben zu Art, Umfang und ergriffenen Maßnahmen.

Nachweispflichten: Ich stelle dem Kunden auf Anfrage die notwendigen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten nachzuweisen (siehe auch Abschnitt 8).

6. Unterauftragsverarbeiter

Der Kunde erteilt hiermit die allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DS-GVO. Aktuell eingesetzte Unterauftragsverarbeiter:

Unterauftragsverarbeiter Zweck Ort der Verarbeitung
Netcup GmbH Server-Hosting (Infrastruktur, auf der Sitealarm betrieben wird) Deutschland (EU)
Stripe Payments Europe, Ltd. Zahlungsabwicklung kostenpflichtiger Pläne Irland (EU)

Ergänzend werden folgende Zhylon-eigene, selbst betriebene Systeme eingesetzt, die keine Unterauftragsverarbeiter im rechtlichen Sinne sind (kein fremdes Unternehmen, gleicher Verantwortlicher wie Sitealarm selbst), aber der Vollständigkeit halber genannt werden: Mailcow (Versand von Alarm- und Systembenachrichtigungen), Zhylon Realtime (Live-Aktualisierung im Dashboard), Zhylon Analytics (anonyme Statistik der Sitealarm-Website, betrifft nicht die vom Kunden überwachten Daten).

Beabsichtigte Änderungen bei den Unterauftragsverarbeitern kündige ich mit mindestens 30 Tagen Vorlauf per E-Mail oder In-App-Hinweis an. Widerspricht der Kunde aus nachvollziehbaren datenschutzrechtlichen Gründen innerhalb dieser Frist, bemühe ich mich um eine alternative Lösung; ist diese nicht möglich, kann der Kunde die betroffene Leistung ohne Vertragsstrafe kündigen.

7. Technische und organisatorische Maßnahmen (TOM)

Ich setze folgende technische und organisatorische Maßnahmen um:

  • Verschlüsselung: Alle Verbindungen laufen über TLS (Let's Encrypt, automatisch erneuert).
  • Hosting: Ausschließlich in Deutschland (Netcup), keine Verarbeitung außerhalb der EU außer der genannten Zahlungsabwicklung.
  • Zugriffskontrolle: SSH-Key-basierter Zugriff, WireGuard-VPN-Mesh zwischen Servern, keine geteilten Zugangsdaten.
  • Isolation: Jedes Zhylon-Produkt läuft in einem eigenen PHP-FPM-Pool mit eigenem, rechtebeschränktem MariaDB-Nutzer — keine Cross-Projekt-Zugriffe.
  • Monitoring: Eigene Infrastruktur wird laufend über Netdata überwacht.
  • Backups: Regelmäßige Backups mit dem Ziel der Wiederherstellbarkeit im Störfall (siehe auch AGB, Abschnitt 5 zu den Grenzen dieser Zusage).
  • Personal: Der Dienst wird aktuell von einer Einzelperson betrieben; sobald weitere Mitarbeitende Zugriff auf personenbezogene Daten erhalten, werden Vertraulichkeitsverpflichtungen und rollenbasierte Zugriffsbeschränkungen eingeführt.

Diese Maßnahmen werden dem jeweiligen Stand der Technik und dem Risiko der Verarbeitung entsprechend fortlaufend angepasst.

8. Kontroll- und Nachweisrechte

Ich stelle dem Kunden auf Anfrage die zur Nachweisführung der Einhaltung dieses AVV notwendigen Informationen zur Verfügung. Angesichts der Betriebsgröße als Solo-Founder-Produkt erfolgt dies primär durch schriftliche Auskunft statt durch Vor-Ort-Audits; sollte ein Kunde ein berechtigtes Bedürfnis für eine weitergehende Prüfung haben, stimmen wir Umfang, Zeitpunkt und Kostentragung individuell ab.

9. Haftung

Die Haftung richtet sich nach den Regelungen der AGB, soweit gesetzlich zulässig. Für Schäden, die durch eine Verarbeitung entstehen, die gegen die Vorgaben der DS-GVO oder gegen dokumentierte Weisungen des Kunden verstößt, hafte ich im gesetzlich vorgesehenen Umfang. Für Unterauftragsverarbeiter hafte ich dem Kunden gegenüber wie für eigenes Handeln.

10. Laufzeit, Kündigung, Löschung

Dieser AVV gilt für die Dauer des zugrunde liegenden Sitealarm-Nutzungsvertrags und endet automatisch mit dessen Beendigung.

Nach Vertragsende lösche ich die im Auftrag des Kunden verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (vgl. Datenschutzerklärung, Abschnitt „Speicherung & Löschung"). Der Kunde kann seine Daten vor Vertragsende über die im jeweiligen Plan verfügbaren Export-Funktionen sichern.

11. Änderungen dieses AVV

Ich kann diesen AVV anpassen, um Änderungen der Rechtslage oder meiner Verarbeitungspraxis abzubilden. Über wesentliche Änderungen informiere ich mindestens 30 Tage im Voraus per E-Mail oder In-App-Hinweis. Widerspricht der Kunde einer wesentlichen Änderung nicht innerhalb dieser Frist, gilt sie als akzeptiert; andernfalls kann der Kunde den zugrunde liegenden Vertrag zum Ende der Frist kündigen.

12. Kontakt

Bei Fragen zu diesem AVV erreichen Sie mich unter:

  • E-Mail: [email protected]

13. Änderungshistorie

Wesentliche Änderungen dieses AVV werden ab sofort hier dokumentiert. Über materielle Änderungen informiere ich zusätzlich gemäß Abschnitt 11.

  • 08. Juli 2026: Erstfassung dieses AVV veröffentlicht, automatisch Bestandteil der AGB für alle Pläne (Free, Pro, Team).
Sitealarm

Part of the Zhylon ecosystem · zhylon.net

Produkt
Features
Preise
Dokumentation
Ecosystem
ZhylonID
Zhylon Cloud
Zhylon Automate
Rechtliches
Kontakt
Impressum
AGB / Datenschutz / AVV
Cookies

© 2011–2026 Sitealarm · Ein Produkt von Zhylon

Wir nutzen Zhylon Analytics zur anonymen Zählung von Seitenaufrufen. Erst mit deiner Einwilligung setzen wir zusätzlich ein Cookie zur Wiedererkennung. Mehr dazu in unserer Datenschutzerklärung.