Rechtliches

Auftragsverarbeitungsvertrag

Stand: April 2026

Dieser Auftragsverarbeitungsvertrag („AVV“) gilt, wenn SchemaX personenbezogene Daten im Auftrag von Kunden („Verantwortlicher“) im Rahmen der Dienste SchemaX Schema oder SchemaX Convert verarbeitet, und zwar ab Beginn eines aktiven bezahlten Abonnements. Er ergänzt die AGB und ist Bestandteil des Vertrags zwischen SchemaX und dem Verantwortlichen. Er tritt in Kraft, sobald der Verantwortliche die Dienste zur Verarbeitung personenbezogener Daten nutzt.

1. Begriffsbestimmungen

  • „Verantwortlicher“ ist der Kunde, der die Zwecke und Mittel der Verarbeitung festlegt.
  • „Auftragsverarbeiter“ ist SchemaX, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • „Personenbezogene Daten“ hat die Bedeutung gemäß Art. 4 Nr. 1 DSGVO.
  • „Verarbeitung“ hat die Bedeutung gemäß Art. 4 Nr. 2 DSGVO.

2. Gegenstand und Dauer

SchemaX verarbeitet personenbezogene Daten der Website-Besucher des Verantwortlichen zum Zweck der Erbringung von strukturierten Daten-Injektions- (Schema) und Conversion-Optimierungs- (Convert) Diensten. Die Verarbeitung erfolgt für die Dauer des Servicevertrags.

3. Art und Zweck der Verarbeitung

Personenbezogene Daten können für folgende Zwecke verarbeitet werden:

  • Einbettung von schema.org-Auszeichnungen in an Besucher ausgelieferte Webseiten
  • Durchführung von A/B-Tests zum Vergleich von Conversion-Varianten
  • Messung von Leistungskennzahlen (Seitenaufrufe, Event-Completions)

Kategorien betroffener Personen: Besucher der Website des Verantwortlichen.

Kategorien personenbezogener Daten: IP-Adressen (pseudonymisiert), Session-IDs, besuchte Seiten-URLs.

4. Pflichten von SchemaX als Auftragsverarbeiter

SchemaX verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
  • Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen (Art. 32 DSGVO)
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
  • Alle personenbezogenen Daten bei Beendigung des Dienstes zu löschen oder zurückzugeben
  • Alle erforderlichen Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO bereitzustellen

5. Unterauftragsverarbeiter

Der Verantwortliche genehmigt SchemaX die Beauftragung folgender Unterauftragsverarbeiter. SchemaX informiert den Verantwortlichen über geplante Änderungen und räumt ihm die Möglichkeit ein, Einwände zu erheben:

  • Vercel Inc.: Infrastruktur-Hosting (EU-Edge-Netzwerk)
  • Resend Inc.: Transaktionaler E-Mail-Versand (nur für Servicekommunikation)

SchemaX stellt sicher, dass alle Unterauftragsverarbeiter Datenschutzpflichten unterliegen, die diesem AVV gleichwertig sind.

6. Sicherheit

SchemaX implementiert geeignete technische und organisatorische Maßnahmen, darunter:

  • Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand
  • Zugriffskontrollen, die den Datenzugriff auf autorisiertes Personal beschränken
  • Regelmäßige Sicherheitsüberprüfungen
  • Verfahren zur Reaktion auf Sicherheitsvorfälle

7. Betroffenenrechte

SchemaX informiert den Verantwortlichen unverzüglich bei Eingang eines Betroffenenersuchens bezüglich der im Rahmen dieses AVV verarbeiteten Daten und leistet dem Verantwortlichen angemessene Unterstützung bei der Erfüllung solcher Ersuchen.

8. Datenpannen

SchemaX benachrichtigt den Verantwortlichen unverzüglich und innerhalb von 72 Stunden, nachdem SchemaX Kenntnis von einer Datenpanne erlangt hat, die die im Rahmen dieses AVV verarbeiteten Daten betrifft.

9. Internationale Übermittlungen

Personenbezogene Daten werden innerhalb der EU/des EWR verarbeitet. Übermittlungen außerhalb des EWR erfolgen ausschließlich unter geeigneten Garantien (Standardvertragsklauseln oder Angemessenheitsbeschlüsse).

10. Anwendbares Recht

Dieser AVV unterliegt österreichischem Recht (Republik Österreich), entsprechend den AGB.

11. Kontakt

AVV-Anfragen: hi@schemax.io