Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV”) konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem Hauptvertrag über die Nutzung der Pro-Versionen von SEOForge und/oder ShieldForge. Er gilt für alle Verarbeitungen personenbezogener Daten, die der Lizenzgeber (Auftragsverarbeiter) im Auftrag des Lizenznehmers (Verantwortlicher) durchführt.

1. Parteien

Verantwortlicher: der Kunde / Lizenznehmer (Name und Anschrift gemäß Rechnungsdaten).
Auftragsverarbeiter: Brainwerk e.U. (Eintragung in Vorbereitung), Weißdornweg 1/4/3, 2442 Unterwaltersdorf, Österreich, office@brainwerk.at.

2. Gegenstand und Dauer

Gegenstand ist die Bereitstellung der Pro-Cloud-Backends, insbesondere Lizenz-Aktivierung, Threat-Intelligence-Feed, Auto-Update-Server (api.shieldforge.eu) und Search-Console-Proxy / Geo-DB (api.seoforge.eu). Die Dauer entspricht der Laufzeit der jeweiligen Pro-Lizenz.

3. Art und Zweck der Verarbeitung

Verarbeitung zur Erbringung der vereinbarten Plugin-Funktionen, namentlich:

• Validierung von Lizenz-Schlüsseln und Aktivierungs-Zählung
• Übermittlung von Threat-Intelligence-Daten (Spamhaus DROP u. ä.) an die installierte Site
• Übermittlung von Geo-IP-Daten
• Search-Console-Proxy: Weiterleitung von authentifizierten API-Anfragen des Lizenznehmers an Google Search Console
• Empfang von Update-Pings beim Auto-Update-Endpoint

4. Art der personenbezogenen Daten

• IP-Adressen von Besuchern der vom Verantwortlichen betriebenen Websites
• HTTP-User-Agents
• Lizenz-Schlüssel und Site-URL des Verantwortlichen
• API-Tokens (verschlüsselt übertragen) zum Search-Console-Proxy

5. Kategorien betroffener Personen

• Besucher der vom Verantwortlichen betriebenen WordPress-Websites
• Mitarbeiter bzw. Administratoren des Verantwortlichen

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
• seine Mitarbeiter auf Vertraulichkeit zu verpflichten;
• geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO zu treffen (siehe Anlage TOM, Abschnitt 11);
• den Verantwortlichen bei Anfragen Betroffener und bei der Wahrnehmung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen;
• nach Beendigung des Auftrags die personenbezogenen Daten auf Wahl des Verantwortlichen zu löschen oder zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht;
• dem Verantwortlichen alle für den Nachweis der Einhaltung dieser AVV erforderlichen Informationen bereitzustellen.

7. Unter-Auftragsverarbeiter

Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter („Subprozessoren”) zu beauftragen. Mit Abschluss dieses AVV erteilt der Verantwortliche eine allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO. Aktuelle Subprozessoren:

• domainfactory GmbH, Oskar-Messter-Straße 33, 85737 Ismaning, Deutschland – Hosting der Cloud-Backends (api.*.eu) in der EU.
• Freemius Inc. bzw. Lemon Squeezy LLC – Lizenz-Aktivierung und Zahlungsabwicklung (Merchant of Record). Eigene DPAs des jeweiligen Anbieters anwendbar.

Der Auftragsverarbeiter wird den Verantwortlichen über geplante Änderungen mindestens 30 Tage im Voraus per E-Mail informieren. Der Verantwortliche kann binnen 14 Tagen Einspruch erheben; in diesem Fall steht ihm ein außerordentliches Kündigungsrecht zu.

8. Drittlandtransfers

Die Verarbeitung erfolgt grundsätzlich in der EU. Soweit der Merchant of Record (Freemius / Lemon Squeezy) personenbezogene Daten in die USA überträgt, geschieht dies auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln gemäß Beschluss 2021/914/EU.

9. Meldung von Schutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme, per E-Mail an die im Lizenz-Profil hinterlegte Kontaktadresse.

10. Kontrollrechte

Der Verantwortliche hat das Recht, sich von der Einhaltung der TOMs zu überzeugen. Soweit ein Vor-Ort-Audit unverhältnismäßig wäre, kann der Nachweis durch Vorlage eines aktuellen Prüfberichts eines unabhängigen Prüfers, Selbstauskünften oder einschlägigen Zertifikaten erfolgen.

11. Technische und organisatorische Maßnahmen (TOMs)

• Zutritts-/Zugangskontrolle: Server in EU-Rechenzentren (domainfactory) mit physischer Zutrittskontrolle, Multi-Faktor-Authentifizierung für administrativen Zugang.
• Zugriffskontrolle: Prinzip der minimalen Berechtigung; SSH-Schlüssel-basierter Zugang; passwortlose Authentifizierung; sudo-Logging.
• Weitergabekontrolle: TLS 1.2+ für sämtliche API-Verbindungen; HSTS; moderne Cipher-Suites.
• Eingabekontrolle: Logging aller relevanten administrativen Aktionen.
• Verfügbarkeitskontrolle: Tägliche Backups; Härtung gegen DoS via Fail2ban + UFW; Auto-Updates für Sicherheits-Patches.
• Trennungsgebot: Mandantentrennung auf Anwendungsebene (Lizenz-Schlüssel pro Site).
• Pseudonymisierung: IP-Anonymisierung default-on; täglich rotierende Visitor-Hashes; keine cross-site Tracking-Cookies.
• Wiederherstellung: RTO < 24 h, RPO < 24 h.
• Evaluation: jährliche Überprüfung der Maßnahmen.

12. Schlussbestimmungen

Im Übrigen gelten die AGB und die EULA. Bei Widersprüchen in datenschutzrechtlichen Fragen geht dieser AVV vor. Es gilt österreichisches Recht; ausschließlicher Gerichtsstand ist Wien, soweit zwingende Verbraucherschutzregelungen nicht entgegenstehen.

Dieser AVV gilt als geschlossen mit dem Erwerb einer Pro-Lizenz und ist auf Verlangen des Verantwortlichen zusätzlich beidseitig zu unterzeichnen. Ein unterschriftsfähiges PDF kann jederzeit per E-Mail unter office@brainwerk.at angefordert werden.

Stand: 2026-05-19