Login

Get started

Data Processing Agreement (DPA)

Data Processing Agreement (DPA) pursuant to Art. 28 GDPR

This document is a translation of the original German Auftragsverarbeitungsvertrag (AVV). For convenience purposes, this English version is provided to the Customer. In the event of any conflict or discrepancy between the German and the English version, the German version shall prevail and be legally binding.

This Order Processing Agreement (hereinafter referred to as “DPA”) supplements the General Terms and Conditions (hereinafter referred to as “GTC”) between you and the company you represent (hereinafter referred to as “Customer,” “you,” or “Controller”) and

Void One Technologies GmbH, Barmbeker Str. 33, Quartier 33, 22303 Hamburg, represented by the management Malte Meiburg (hereinafter referred to as “CROLabs”, “we”, “provider” or “processor”) for the use of the CROLabs platform / SaaS solution (the “services”).

This DPA is a legally binding agreement and becomes effective upon your electronic consent during the registration process.

Effective Date: August 11, 2025

1. Subject matter, scope, and duration of processing

1.1 Subject

This DPA governs the processing of personal data by the processor on behalf of the controller in connection with the use of the Software-as-a-Service solution (hereinafter referred to as SaaS, SaaS solution or SaaS platform) “CROLabs” (A/B testing editor).

1.2 Scope (functional scope)

The order processing exclusively comprises the functions activated by the customer in which the provider processes personal data for the purposes of the customer. This includes, in particular, the assignment and consistent display of an experiment variation (“sticky”) created by the controller by setting or storing and local (client-side) requests or reading of an identifier on the end device of the visitor to the customer’s website (e.g. cookie/local storage) and the associated transmission and processing of the pseudonymous metadata/online identifiers (e.g., UUID) required for this purpose when the provider’s services are accessed (e.g., request metadata such as timestamps, URL/referrer, user agent). The processed online identifiers cannot be assigned to a natural person by the provider without the use of additional information; the provider does not store such additional information. No profiling, cross-site tracking, or linking to external databases takes place. Insofar as the variant assignment takes place exclusively on the client side without transmission to the provider, it is not subject to this DPA (see section 1.3 Dual role / processing outside the DPA).

Furthermore, if activated by the customer, order processing includes the recording of simple events (“events”) for measuring experiment results (e.g., clicks on defined elements, reaching a dwell time threshold). Within this framework, the provider processes the event messages triggered by the customer’s website visitors via the customer’s website and transmitted to the provider on behalf of the customer for validation, counting, and aggregation per experiment/variant. No cross-user profiling, session linking across experiments, or cross-site tracking takes place.

1.3 Dual role / processing outside the DPA

The DPA does not cover processing operations carried out by the provider as an independent controller, namely: (a) the creation and storage of server/security logs when the JavaScript snippet and the services provided by the SaaS platform are accessed (including IP address, timestamp, user agent, technical headers) for the purposes of IT security, troubleshooting, and ensuring operational stability and fulfillment of the contract between the customer and the provider, as well as (b) processing in relation to account/billing data of the customer and its users (administration/billing purposes). The provider’s privacy policy applies to this processing; it is not subject to this DPA.

1.4 Duration

Processing on behalf of the customer begins when the SaaS contract takes effect and ends when it is terminated. Thereafter, the provisions on deletion/return in Section 10 apply.

2. Type and purpose of processing

2.1 Purpose

Provision of the contractually agreed services within the scope of the configuration selected by the customer, in particular (i) Assignment and consistent display of a fixed experiment variation per website visitor (“sticky variation”) in order to display the same variation when the page is viewed repeatedly, and (ii) if activated, measurement/aggregation of events (e.g., clicks, dwell time thresholds) for the evaluation of experiments.

2.2 Type of processing

Collection (by setting/reading the identifier), storage, reading, transmission, restriction/deletion, receiving of event messages, counting/aggregation. Profiling for extensive tracking/marketing purposes does not take place within the scope of this DPA.

3. Categories of data subjects and types of data

3.1 Data subjects

Visitors to the customer’s website(s).

3.2 Types of data (typical, depending on customer settings)

  • Online identifiers (e.g., expid/experiment ID, pseudonymous tracking ID/UUID from cookie ID/local storage ID),
  • Request/device metadata (timestamp, URL/referrer, pseudonymized or truncated IP address, user agent, if applicable),
  • Experiment context (experiment/variant identifier, traffic allocation, runtime),
  • Log data from order processing.

(Note: The security/server logs and customer account data mentioned in 1.3 are not part of data processing agreement.)

4. Right of instruction of the controller

4.1 The processor shall process personal data only on documented instructions from the controller (including for transfer to a third country), unless required to do so by law; in such a case, it shall inform the controller of these legal requirements prior to processing, unless such notification is prohibited by law on grounds of important public interest.

4.2 Instructions shall be given in text form via the customer account/support ticket/email. The processor shall inform the controller if it considers an instruction to be unlawful.

5. Obligations of the controller

5.1 The controller is responsible for the lawfulness of the data processing and for obtaining/verifying any necessary consent (end device access such as cookies/local storage, consent signals).

5.2 The controller shall configure the software in such a way that only data necessary for the purpose of variant assignment is processed (data minimization) and shall specify storage/deletion periods as far as practicable.

6. Confidentiality, secrecy

6.1 The processor shall oblige all persons subject to the contract to maintain confidentiality and shall provide evidence of this upon request.

7. Technical and organizational measures (TOM)

7.1 The processor implements appropriate TOM in accordance with Art. 32 GDPR that are appropriate to the risk of processing. The current measures can be found at Appendix 1: Technical and organizational measures (TOM).

7.2 The controller has verified the suitability of the TOM and will be informed of any significant changes.

8. Subcontracting

8.1 The processor may use subprocessors (e.g., hosting, CDN, email/support) provided that it obliges them in accordance with this DPA and, where necessary, agrees EU standard contractual clauses or equivalent guarantees with them.

8.2 A current list of subcontractors can be found at Appendix 2: Subprocessors. The processor shall inform the controller of any planned changes (additions/replacements) at least 15 days in advance; the controller may object for good cause. If no objection is raised within the deadline, the change shall be deemed approved. In the event of a justified objection, the parties shall endeavor to find a solution; otherwise, the controller may terminate the service affected by the change for cause with immediate effect.

9. Support obligations

9.1 Rights of data subjects

The processor shall support the controller in fulfilling requests from data subjects, taking into account the nature of the processing, with appropriate technical and organizational measures.

9.2 Security/incidents

The processor shall support the controller in complying with the obligations under Articles 32–36 GDPR, in particular in reporting breaches of personal data protection. The processor shall immediately report security incidents affecting the data processed by the controller to the contact address stored in the customer account.

9.3 DPIA

Where necessary, the processor shall provide appropriate assistance in data protection impact assessments and consultations with supervisory authorities.

10. Deletion and return of data

10.1 Upon termination of the order processing – at the latest upon termination of the contract – the processor shall delete the personal data processed on behalf of the controller and purge any residual identifiers from its systems, unless a statutory retention obligation or a legitimate security/evidence interest precludes this. Upon written instructions from the controller, the processor shall provide a machine-readable export of the data processed on behalf of the controller prior to deletion, if technically available.

10.2 This DPA does not cover the processing referred to in Section 1.3 as an independent controller (e.g., security/server logs); the deletion periods specified therein in accordance with the provider’s privacy policy apply.

11. Obligation to provide evidence and audits

11.1 Obligation to provide evidence

The processor shall provide the controller with all information necessary to demonstrate compliance with the obligations laid down in this DPA and shall allow audits, including inspections, to be carried out by the controller or an auditor appointed by the controller.

11.2 Notice period

Audits shall be announced with reasonable advance notice (at least 14 days), scheduled on working days, proportionate, and shall not unreasonably interfere with business operations, security, or the rights of third parties. Audit reports from independent third parties (e.g., certifications) may be provided on a preferential basis.

11.3 Remote-first verification

The processor shall fulfill audit/verification obligations primarily by means of suitable documents and evidence (including a description of the TOM, authorization concept, sub-processor list, data flow/architecture overview, sample logs/screenshots, incident/backup/change process, and, if applicable, reports on the results of independent audits).

11.4 Limits of access

Audits shall be carried out without access to source code, without productive database/system access and, in particular, without access to other customers’ data. Active security tests (e.g., pen tests/scans) by the controller require the prior written consent of the processor.

11.5 Frequency, announcement, duration, costs

Audits may take place no more than once every 12 months (additionally only for important reasons, e.g., reportable security incidents), must be announced with at least 14 days’ notice, must be proportionate, and must be limited to a maximum of one working day. The controller shall bear the costs of the audit; documented internal costs at standard hourly rates incurred by the processor shall be reimbursable.

11.6 Confidentiality & third-party evidence

Auditors must sign a non-disclosure agreement (NDA) in advance. If equivalent evidence from independent third parties (e.g., pen test summary, security report) is available and covers the relevant scope , this is sufficient; an on-site audit is then only necessary for important reasons.

12. International data transfers

The processor shall only transfer personal data to third countries if the requirements of Art. 44 ff. GDPR are met (e.g., adequacy decision, standard contractual clauses, supplementary measures). Details can be found in Appendix 2: Subprocessors.

13. Liability and priority

13.1 The liability provisions of the main contract (CROLabs GTC) apply accordingly.

13.2 In the event of any conflict between this DPA and other contractual provisions, the provisions of this DPA shall prevail with regard to data protection.

14. Final provisions

14.1 Amendments/additions to this DPA must be made in text form.

14.2 Should any provision of this DPA be or become invalid, the validity of the remaining provisions shall remain unaffected; such provision shall be replaced by a provision that comes closest to the economic purpose of the invalid provision.

14.3 This contract shall become effective upon the customer’s electronic consent during the ordering or registration process on the provider’s website and does not require a handwritten or digital signature. The identity of the contractual partner (responsible party) is determined by the associated customer account and the company data stored with the payment service provider (Stripe). The customer may enter their company data on the first page of this document for their own documentation.

14.4 The contract language is German. Insofar as versions of this agreement or related documents exist in other languages, they are provided for informational purposes only. In the event of any conflict or questions of interpretation between the German and a foreign-language version, the German version shall be solely legally binding.

Appendix 1: Technical and organizational measures (TOM)

  1. Access control:
    Physical access control to the data centers is ensured by our carefully selected subcontractors (e.g., Hetzner, AWS, Digital Ocean), who are certified according to current industry standards (e.g., ISO 27001) and implement appropriate security measures. The processor is responsible for logical access control: individual accounts, MFA for admin/productive access, least privilege roles, SSH keys/IAM, regular recertification of authorizations, and logging of admin activities.
  2. Encryption:
  • Transport encryption: All data transmission between the client and our servers, as well as between internal services, is carried out exclusively via state-of-the-art encrypted connections (TLS 1.2 or higher).
  • Encryption of customer data (at rest): Personal data of the customer (in particular name and email address) is encrypted at the application level using a strong, state-of-the-art cryptographic method (AES-256-GCM) before being stored in the database. The key used for this purpose is securely managed outside the source code and the database as an environment variable on the application server. This ensures that this data cannot be read in plain text even if the database files are accessed without authorization.
  • Pseudonymization of visitor data: Data from visitors to the customer’s website is processed exclusively in pseudonymized form. Assignment is carried out using a randomly generated, non-personal identifier (UUID).
  • Backup encryption: All database backups are encrypted before storage to ensure the confidentiality of the data at rest.
  • Server logs (access.log): To ensure the security and stability of our systems and for error analysis, server logs including the complete IP addresses of the requesting systems are stored. This log data is processed on the basis of our legitimate interest in defending against attacks and ensuring technical operations (Art. 6 para. 1 lit. f GDPR).
  • Data minimization through retention policy: Server logs are automatically deleted after a retention period of 14 days in order to comply with the principle of data minimization.
  • Integrity & recovery: Access to production systems and configurations is strictly regulated. Regular, encrypted backups and a documented recovery process ensure the availability of data after a malfunction.
  1. Separation & pseudonymization:
    Logical client separation, use of pseudonymous identifiers (variant/cookie IDs), no plain text personal content in A/B configurations.
  2. Integrity & availability:
    Change/deployment controls (code reviews, CI/CD), regular backups of configuration data, internal recovery targets (RPO 24h / RTO 4h), DDoS/rate limit protection.
  3. Logging & monitoring:
  1. Vulnerability/patch management:
    Regular and automated vulnerability scans, timely patches, dependency monitoring. Operating system and application patches are installed promptly after release.
  2. Incident management:
    Documented incident response process, reporting channels, lessons learned.
  3. Supplier management:
    Selection/contracting/monitoring of subcontractors, including SCC/additional measures for third-country transfers.
  4. Employees & awareness:
    Confidentiality agreement (NDA), data protection/security training, need-to-know.
  5. Data protection by design & by default:
    Data minimization, configuration options to limit storage duration, no further tracking/profiling by default.

Appendix 2: Subprocessors

The controller agrees to the appointment of the following subprocessors by the processor. The processor will inform the controller of any intended change regarding the involvement or replacement of subprocessors, giving the controller the opportunity to object.

Purpose of processingProvider & CompanyLocation of data processing & transfer mechanism
Hosting & Cloud InfrastructureHetzner Online GmbHGermany
Hosting & Cloud InfrastructureAmazon Web Services EMEA SARLEU (e.g. Germany, Ireland) ¹
Hosting & Cloud InfrastructureDigitalOcean, LLCEU (e.g. Germany) ¹
Hosting & Cloud InfrastructureGoogle Ireland Ltd. / Google LLCEU / Global (USA) ¹
CDN & Security (WAF)Cloudflare, Inc.Global (headquarters in the USA) ¹
Email communication & supportGoogle Ireland Ltd. / Google LLCEU / Global (USA) ¹
AI text analysisOpenAI, L.L.C.USA ¹
AI text analysisAnthropic, PBCUSA
AI text analysisMistral AIEU (France)
AI text analysisGoogle Ireland Ltd. / Google LLCEU / Global (USA) ¹

¹ This provider is a company based outside the EU/EEA or an EU subsidiary of such a company. In order to ensure an adequate level of data protection in the event of any data transfer to third countries, this is carried out on the basis of standard contractual clauses (SCCs) of the EU Commission in accordance with Art. 46 GDPR, which become effective upon conclusion of the respective data processing agreement (DPA) with the provider.

Appendix 3: Description of processing on behalf of the controller


The processor processes personal data for the functions and purposes described below on behalf of and in accordance with the instructions of the controller.

  1. Function: Event tracking (performance measurement)
    • Description: Records user interactions defined by the customer on the customer’s website in order to measure the success of the various experiment variants. Typical events are clicks on certain elements (e.g., buttons, links), the submission of forms, reaching a certain dwell time, or calling up a confirmation page (conversion).
    • Legal basis for the controller: Primarily the consent of the website visitor (Art. 6 para. 1 lit. a GDPR). The tracking of user interactions for the purpose of measuring success is not technically necessary for the mere functionality of the website and therefore requires active consent.
    • Storage/deletion periods: Event data linked to a visitor ID is stored for the duration of the respective experiment. After completion and evaluation of an experiment, but no later than 90 days, this raw data is deleted. Only anonymized, aggregated statistics (e.g., “Variant A had a 15% click rate”) are stored permanently for the controller.
    • Data flow: End device (triggers event) → Customer site → CROLabs server (stores event data: event type, timestamp, associated visitor ID). No form content or other personal data entered by the user is collected. There is no cross-site tracking or transfer to third parties (except for approved subcontractors).
  2. Function: Sticky variation (persistent variant assignment)
    • Description: Ensures that a returning visitor to a website is consistently shown the same experiment variant (e.g., variant “A” or “B”) assigned to them during the duration of an A/B test. This prevents “flickering” between variants and ensures the validity of the experiment. The assignment is made by setting and reading an identifier (cookie or local storage) in the visitor’s browser.
    • Legal basis for the controller: As a rule, the consent of the website visitor (Art. 6 (1) lit. a GDPR) via a consent management tool, as access to the end device is usually not technically necessary for the pure functionality of the website (§ 25 TDDDG).
    • Storage/deletion periods: The identifier for variant assignment is stored in the visitor’s browser for the duration of the experiment, usually a maximum of 90 days, or until the visitor deletes the cookies/local data.
    • Data flow: End device ↔ customer site ↔ CROLabs server (to query the variant configuration based on the visitor identifier). No cross-site tracking takes place.
German Version (Deutsche Fassung AVV)

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) ergänzt die Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“), die zwischen Ihnen und dem Unternehmen, das Sie vertreten (nachfolgend „Kunde“, „Sie“ oder „Verantwortlicher“), und der

Void One Technologies GmbH, Barmbeker Str. 33, Quartier 33, 22303 Hamburg, vertreten durch die Geschäftsführung Malte Meiburg (nachfolgend „CROLabs“, „wir“, „Anbieter“ oder „Auftragsverarbeiter“) für die Nutzung der CROLabs Plattform / SaaS-Lösung (die „Dienste“) gelten.

Dieser AVV ist eine rechtsverbindliche Vereinbarung und wird durch Ihre elektronische Zustimmung während des Registrierungsprozesses wirksam.

Stand: 11. August 2025


1. Gegenstand, Umfang und Dauer der Verarbeitung

1.1 Gegenstand

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der Software-as-a-Service-Lösung (kurz: SaaS, SaaS‑Lösung o. SaaS-Plattform) „CROLabs“ (A/B‑Testing‑Editor).

1.2 Umfang (funktionale Reichweite)

Die Auftragsverarbeitung umfasst ausschließlich die vom Kunden aktivierten Funktionen, bei denen der Anbieter personenbezogene Daten für Zwecke des Kunden verarbeitet. Hierzu gehört insbesondere die Zuweisung und persistente Ausspielung einer durch den Verantwortlichen angelegten Experimentvariation („Sticky“) durch Setzen bzw. Speichern sowie lokale (client-seitige) Anfordern bzw. Auslesen einer Kennung auf dem Endgerät des Besuchers der Kundenwebsite (z. B. Cookie/Local‑Storage) sowie die damit verbundene Übermittlung und Verarbeitung der hierfür erforderlichen pseudonymen Metadaten / Online-Kennungen (z.B. UUID) bei Aufrufen von Diensten des Anbieters (z.B. Request‑Metadaten wie z. B. Zeitstempel, URL/Referer, User‑Agent). Die verarbeiteten Online-Kennungen sind für den Anbieter ohne Hinzuziehung zusätzlicher Informationen nicht einer natürlichen Person zuzuordnen; der Anbieter hält solche Zusatzinformationen nicht vor. Eine Profilbildung, ein Cross‑Site‑Tracking oder eine Verknüpfung mit externen Datenbeständen findet nicht statt. Soweit die Variantenzuweisung ausschließlich clientseitig ohne Übermittlung an den Anbieter erfolgt, ist sie nicht Gegenstand dieses AVV (vgl. Ziffer 1.3 Doppelrolle / außerhalb des AVV liegende Verarbeitungen).

Ferner – sofern vom Kunden aktiviert – umfasst die Auftragsverarbeitung die Erfassung einfacher Ereignisse („Events“) zur Messung von Experiment‑Ergebnissen (z. B. Klick auf definierte Elemente, Erreichen einer Verweildauer-Schwelle). In diesem Rahmen verarbeitet der Anbieter die vom Webseitenbesucher des Kunden über die Kundenwebseite ausgelösten und an den Anbieter übermittelten Event-Meldungen im Auftrag zur Validierung, Zählung und Aggregation je Experiment/Variante. Eine nutzerübergreifende Profilbildung, Session‑Verknüpfung über Experimente hinweg oder Cross‑Site‑Verfolgung findet nicht statt.

1.3 Doppelrolle / außerhalb des AVV liegende Verarbeitungen

Nicht vom AVV umfasst sind Verarbeitungsvorgänge, die der Anbieter als eigenständig Verantwortlicher durchführt, namentlich: (a) die Erstellung und Vorhaltung von Server‑/Sicherheitslogs beim Abruf des JavaScript‑Snippets und der von der SaaS‑Plattform bereitgestellten Dienste (inkl. IP‑Adresse, Zeitstempel, User‑Agent, technische Header) zum Zweck der IT‑Sicherheit, Fehlersuche und Sicherstellung der Betriebsstabilität und Erfüllung des Vertrages zwischen Kunde und Anbieter, sowie (b) Verarbeitungen in Bezug auf Account‑/Rechnungsdaten des Kunden und seiner Nutzer (Administrations‑/Abrechnungszwecke). Für diese Verarbeitungen gilt die Datenschutzerklärung des Anbieters; sie sind nicht Gegenstand dieses AVV.

1.4 Dauer

Die Verarbeitung im Auftrag beginnt mit Wirksamwerden des SaaS‑Vertrags und endet mit dessen Beendigung. Danach gelten die Regelungen zur Löschung/ Rückgabe gemäß Ziff. 10.

2. Art und Zweck der Verarbeitung

2.1 Zweck

Erbringung der vertraglich geschuldeten Leistungen im Rahmen der vom Kunden gewählten Konfiguration, insbesondere (i) Zuweisung und persistente Ausspielung einer festen Experiment-Variation je Webseitenbesucher („Sticky Variation“), um bei wiederholten Seitenaufrufen dieselbe Variante auszuspielen, und (ii) sofern aktiviert, Messung/Aggregation von Events (z.B. Klicks, Verweildauer-Schwellen) zur Bewertung von Experimenten.

2.2 Art der Verarbeitung

Erheben (durch Setzen/Auslesen der Kennung), Speichern, Auslesen, Übermitteln, Beschränken/Löschen, Empfangen von Event-Meldungen, Zählen/Aggregieren. Eine Profilbildung im Sinne weitreichender Tracking-/Marketingzwecke findet im Rahmen dieses AVV nicht statt.

3. Kategorien betroffener Personen und Datenarten

3.1 Betroffene Personen

Besucher der Website(n) des Kunden.

3.2 Datenarten (typisch, je nach Kundeneinstellung)

  • Online-Kennungen (z. B. expid/Experiment-ID, pseudonym trackingId/UUID aus Cookie ID/Local‑Storage‑ID),
  • Request-/Geräte-Metadaten (Zeitstempel, URL/Referer, ggf. pseudonymisierte oder gekürzte IP-Adresse, User Agent),
  • Experiment‑Kontext (Experiment‑/Variante‑Bezeichner, Traffic‑Zuteilung, Laufzeit),
  • Protokolldaten der Auftragsverarbeitung.

(Hinweis: Die in 1.3 genannten Sicherheits‑/Serverlogs und Kunden‑Accountdaten sind nicht Teil der Auftragsverarbeitung.)

4. Weisungsrecht des Verantwortlichen

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen (einschließlich zur Übermittlung an ein Drittland), sofern er nicht gesetzlich dazu verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, soweit das Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

4.2 Weisungen werden über das Kundenkonto/Support‑Ticket/E‑Mail in Textform erteilt. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Ansicht ist, eine Weisung sei rechtswidrig.

5. Pflichten des Verantwortlichen

5.1 Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitungen und die Einholung/Nachweis etwa erforderlicher Einwilligungen (Endgerätezugriffe wie Cookies/Local‑Storage, Consent‑Signale) verantwortlich.

5.2 Der Verantwortliche konfiguriert die Software so, dass nur solche Daten verarbeitet werden, die für den Zweck der Variantenzuweisung erforderlich sind (Datenminimierung) und legt – soweit möglich – Speicher‑/Löschfristen fest.

6. Vertraulichkeit, Verschwiegenheit

6.1 Der Auftragsverarbeiter verpflichtet alle dem Auftrag unterliegenden Personen auf Vertraulichkeit und weist dies auf Anfrage nach.

7. Technische und organisatorische Maßnahmen (TOM)

7.1 Der Auftragsverarbeiter setzt geeignete TOM gemäß Art. 32 DSGVO um, die dem Risiko der Verarbeitung angemessen sind. Die jeweils aktuellen Maßnahmen sind  Anlage 1: Technische und organisatorische Maßnahmen (TOM) zu entnehmen.

7.2 Der Verantwortliche hat sich von der Eignung der TOM überzeugt und wird über wesentliche Änderungen informiert.

8. Unterauftragsverhältnisse

8.1 Der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen (z. B. Hosting, CDN, E‑Mail/Support), sofern er diese nach Maßgabe dieses AVV verpflichtet und mit ihnen – soweit erforderlich – EU‑Standardvertragsklauseln oder gleichwertige Garantien vereinbart.

8.2 Eine aktuelle Liste der Unterauftragsverarbeiter findet sich in Anlage 2: Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen (Hinzufügen/Ersetzen) mindestens 15 Tage vorab; der Verantwortliche kann aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch binnen Frist, gilt die Änderung als genehmigt. Im Falle eines begründeten Widerspruchs bemühen sich die Parteien um eine Lösung; andernfalls kann der Verantwortliche die von der Änderung betroffene Leistung außerordentlich kündigen.

9. Unterstützungspflichten

9.1 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen.

9.2 Sicherheit/Vorfälle

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO, insbesondere bei der Meldung von Verletzungen des Schutzes personenbezogener Daten. Sicherheitsvorfälle, die verarbeitete Daten des Verantwortlichen betreffen, meldet der Auftragsverarbeiter unverzüglich an die im Kundenkonto hinterlegte Kontaktadresse.

9.3 DPIA

Soweit erforderlich, leistet der Auftragsverarbeiter angemessene Unterstützung bei Datenschutz‑Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden.

10. Löschung und Rückgabe von Daten

10.1 Nach Beendigung der Auftragsverarbeitung – spätestens nach Vertragsende – löscht der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten und entfernt etwaige verbleibende Kennungen aus seinen Systemen, sofern nicht eine gesetzliche Aufbewahrungspflicht oder ein berechtigtes Sicherheits-/Nachweisinteresse entgegensteht. Auf dokumentierte Weisung des Verantwortlichen stellt der Auftragsverarbeiter vor Löschung einen Maschinen-lesbaren Export der im Auftrag verarbeiteten Daten bereit, sofern technisch verfügbar.

10.2 Von diesem AVV nicht erfasst sind die in Ziff. 1.3 genannten Verarbeitungen als eigenständig Verantwortlicher (z. B. Sicherheits-/Serverlogs); hierfür gelten die dortigen Löschfristen gemäß Datenschutzerklärung des Anbieters.

11. Nachweispflichten und Audits

11.1 Nachweispflicht

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV niedergelegten Pflichten zur Verfügung und ermöglicht Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden.

11.2 Ankündigungsfrist

Audits sind mit angemessener Frist (mind. 14 Tage) anzukündigen, auf Werktage zu legen, verhältnismäßig auszugestalten und dürfen den Geschäftsbetrieb, die Sicherheit oder Rechte Dritter nicht unangemessen beeinträchtigen. Prüfberichte unabhängiger Dritter (z. B. Zertifizierungen) können bevorzugt zur Verfügung gestellt werden.

11.3 Remote-First-Nachweis

Der Auftragsverarbeiter erfüllt Audit-/Nachweispflichten vorrangig durch geeignete Dokumente und Nachweise (u. a. Beschreibung der TOM, Berechtigungskonzept, Sub-Prozessor-Liste, Datenfluss-/Architekturübersicht, Musterprotokolle/Screenshots, Incident-/Backup-/Change-Prozess, ggf. Ergebnisberichte unabhängiger Prüfungen).

11.4 Grenzen des Zugriffs

Audits erfolgen ohne Einsicht in Quellcode, ohne produktive Datenbank-/Systemzugriffe und insbesondere ohne Zugriff auf Daten anderer Kunden. Aktive Sicherheitstests (z. B. Pen-Tests/Scans) durch den Verantwortlichen bedürfen der vorherigen schriftlichen Zustimmung des Auftragsverarbeiters.

11.5 Frequenz, Ankündigung, Dauer, Kosten

Audits dürfen höchstens einmal je 12 Monate stattfinden (zusätzlich nur aus wichtigem Anlass, z. B. meldepflichtiger Sicherheitsvorfall), sind mit mindestens 14 Tagen Frist anzukündigen, verhältnismäßig auszugestalten und auf max. einen Arbeitstag zu begrenzen. Der Verantwortliche trägt die Kosten des Audits; angemessene interne Aufwände des Auftragsverarbeiters sind erstattungsfähig.

11.6 Vertraulichkeit & Dritt-Nachweise

Auditoren haben vorab eine Verschwiegenheitserklärung (NDA) zu unterzeichnen. Soweit gleichwertige Nachweise unabhängiger Dritter (z. B. Pen-Test-Zusammenfassung, Sicherheits-Gutachten) vorliegen und den relevanten Scope abdecken, genügen diese; ein Vor-Ort-Audit ist dann nur aus wichtigem Grund erforderlich.

12. Internationale Datenübermittlungen

Der Auftragsverarbeiter übermittelt personenbezogene Daten in Drittländer nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln, ergänzende Maßnahmen). Details ergeben sich aus Anlage 2: Unterauftragsverarbeiter.

13. Haftung und Vorrang

13.1 Die Haftungsregelungen des Hauptvertrags (AGB CROLabs) gelten entsprechend.

13.2 Im Falle von Widersprüchen zwischen diesem AVV und sonstigen vertraglichen Regelungen gehen die Bestimmungen dieses AVV hinsichtlich des Datenschutzes vor.

14. Schlussbestimmungen

14.1 Änderungen/Ergänzungen dieses AVV bedürfen der Textform.

14.2 Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; an deren Stelle tritt eine Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

14.3 Dieser Vertrag wird durch die elektronische Zustimmung des Kunden während des Bestell- bzw. Registrierungsprozesses auf der Webseite des Anbieters wirksam und bedarf keiner handschriftlichen oder digitalen Signatur. Die Identität des Vertragspartners (Verantwortlicher) ergibt sich aus dem zugehörigen Kundenkonto und den beim Zahlungsdienstleister (Stripe) hinterlegten Unternehmensdaten. Der Kunde kann seine Unternehmensdaten zur eigenen Dokumentation auf der ersten Seite dieses Dokuments eintragen.

14.4 Die Vertragssprache ist Deutsch. Soweit Fassungen dieses Vertrages oder zugehöriger Dokumente in anderen Sprachen existieren, dienen diese lediglich der Information. Bei Widersprüchen oder Auslegungsfragen zwischen der deutschen und einer fremdsprachigen Fassung ist ausschließlich die deutsche Fassung rechtsverbindlich.

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

  1. Zutritts-/Zugangskontrolle:
    Die physische Zutritts- und Zugangskontrolle zu den Rechenzentren wird durch unsere sorgfältig ausgewählten Unterauftragsverarbeiter (z.B. Hetzner, AWS, Digital Ocean) sichergestellt, die nach gängigen Industriestandards (z.B. ISO 27001) zertifiziert sind und entsprechende Sicherheitsmaßnahmen umsetzen. Der Auftragsverarbeiter verantwortet die logische Zugangskontrolle: individuelle Accounts, MFA für Admin-/Produktivzugriffe, Least-Privilege-Rollen, SSH-Schlüssel / IAM, regelmäßige Rezertifizierung von Berechtigungen sowie Protokollierung von Admin-Aktivitäten.
  2. Verschlüsselung:
  • Transportverschlüsselung: Die gesamte Datenübertragung zwischen dem Client und unseren Servern sowie zwischen internen Diensten erfolgt ausschließlich über nach dem Stand der Technik verschlüsselte Verbindungen (TLS 1.2 oder höher).
  • Verschlüsselung von Kundendaten (At-rest): Personenbezogene Daten des Kunden (insbesondere Name und E-Mail-Adresse) werden vor der Speicherung in der Datenbank auf Anwendungsebene mittels eines starken, nach dem Stand der Technik etablierten kryptografischen Verfahrens (AES-256-GCM) verschlüsselt. Der hierfür verwendete Schlüssel wird sicher außerhalb des Quellcodes und der Datenbank als Umgebungsvariable auf dem Anwendungsserver verwaltet. Dies stellt sicher, dass diese Daten selbst bei einem unbefugten Zugriff auf die Datenbankdateien nicht im Klartext lesbar sind.
  • Pseudonymisierung von Besucherdaten: Daten von Besuchern der Kundenwebseite werden ausschließlich pseudonymisiert verarbeitet. Die Zuordnung erfolgt über eine zufällig generierte, nicht personenbezogene Kennung (UUID).
  • Backup-Verschlüsselung: Alle Datenbank-Backups werden vor der Ablage verschlüsselt, um die Vertraulichkeit der Daten im Ruhezustand zu gewährleisten.
  1. Trennung & Pseudonymisierung:
    Logische Mandantentrennung, Nutzung pseudonymer Kennungen (Variant /Cookie IDs), kein Klartext personenbezogener Inhalte in A/B Konfigurationen.
  2. Integrität & Verfügbarkeit:
    Änderungs-/Deployment Kontrollen (Code Reviews, CI/CD), regelmäßige Backups der Konfigurationsdaten, interne Zielvorgaben für die Wiederherstellung (RPO 24h / RTO 4h), DDoS /Rate Limit Schutz.
  3. Protokollierung & Monitoring:
  • Server-Logs (access.log): Zur Gewährleistung der Sicherheit, Stabilität und zur Fehleranalyse unserer Systeme werden Server-Logs inklusive der vollständigen IP-Adressen der anfragenden Systeme gespeichert. Diese Protokolldaten werden auf Basis unseres berechtigten Interesses an der Abwehr von Angriffen und der Sicherstellung des technischen Betriebs (Art. 6 Abs. 1 lit. f DSGVO) verarbeitet.
  • Datenminimierung durch Retention-Policy: Die Server-Logs werden nach einer Aufbewahrungsfrist von 14 Tagen automatisiert gelöscht, um dem Grundsatz der Datensparsamkeit gerecht zu werden.
  • Integrität & Wiederherstellung: Der Zugriff auf Produktivsysteme und Konfigurationen ist stark reglementiert. Regelmäßige, verschlüsselte Backups und ein dokumentierter Wiederherstellungsprozess stellen die Verfügbarkeit der Daten nach einem Störfall sicher.
  1. Vulnerability /Patch Management:
    Regelmäßige und automatisierte Schwachstellen Scans, zeitnahe Patches, Abhängigkeits Monitoring. Betriebssystem- und Anwendungspatches werden zeitnah nach Veröffentlichung eingespielt.
  2. Vorfallmanagement:
    Dokumentierter Incident Response Prozess, Meldewege, Lessons Learned.
  3. Lieferantenmanagement:
    Auswahl/Vertrag/Überwachung von Unterauftragsverarbeitern inkl. SCC/zusätzliche Maßnahmen bei Drittlandtransfer.
  4. Mitarbeiter & Awareness:
    Vertraulichkeitsverpflichtung (NDA), Datenschutz-/Sicherheits-Trainings, Need-to-Know.
  5. Datenschutz by Design & by Default:
    Datenminimierung, Konfigurationsoptionen zur Begrenzung der Speicherdauer, standardmäßig keine weitergehende Verfolgung/Profilbildung.

Anlage 2: Unterauftragsverarbeiter

Der Verantwortliche stimmt der Beauftragung der nachfolgend genannten Unterauftragsverarbeiter durch den Auftragsverarbeiter zu. Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern informieren, wodurch dem Verantwortlichen die Möglichkeit zum Einspruch gegeben wird.

Zweck der VerarbeitungAnbieter & GesellschaftStandort der Datenverarbeitung & Transfermechanismus
Hosting & Cloud-InfrastrukturHetzner Online GmbHDeutschland
Hosting & Cloud-InfrastrukturAmazon Web Services EMEA SARLEU (z.B. Deutschland, Irland)¹
Hosting & Cloud-InfrastrukturDigitalOcean, LLCEU (z.B. Deutschland) ¹
Hosting & Cloud-InfrastrukturGoogle Ireland Ltd. / Google LLCEU / Global (USA) ¹
CDN & Sicherheit (WAF)Cloudflare, Inc.Global (Hauptsitz USA) ¹
E-Mail-Kommunikation & SupportGoogle Ireland Ltd. / Google LLCEU / Global (USA) ¹
KI-TextanalyseOpenAI, L.L.C.USA ¹
KI-TextanalyseAnthropic, PBCUSA ¹
KI-TextanalyseMistral AIEU (Frankreich)
KI-TextanalyseGoogle Ireland Ltd. / Google LLCEU / Global (USA) ¹

¹ Bei diesem Anbieter handelt es sich um ein Unternehmen mit Sitz außerhalb der EU/EWR oder eine EU-Tochter eines solchen Unternehmens. Um ein angemessenes Datenschutzniveau bei einer etwaigen Datenübermittlung in Drittländer zu gewährleisten, erfolgt diese auf Basis von Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Art. 46 DSGVO, die durch den Abschluss des jeweiligen Datenverarbeitungsvertrags (DPA) mit dem Anbieter wirksam werden.

Anlage 3: Beschreibung der Verarbeitung im Auftrag

Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die nachfolgend beschriebenen Funktionen und Zwecke im Auftrag und nach Weisung des Verantwortlichen.

  1. Funktion: Event-Tracking (Erfolgsmessung)
    • Beschreibung: Erfasst vom Kunden definierte Nutzerinteraktionen auf der Webseite des Kunden, um den Erfolg der verschiedenen Experiment-Varianten messbar zu machen. Typische Events sind Klicks auf bestimmte Elemente (z.B. Buttons, Links), das Absenden von Formularen, das Erreichen einer bestimmten Verweildauer oder das Aufrufen einer Bestätigungsseite (Konversion).
    • Rechtsgrundlage beim Verantwortlichen: Primär die Einwilligung des Webseitenbesuchers (Art. 6 Abs. 1 lit. a DSGVO). Das Tracking von Nutzerinteraktionen zur Erfolgsmessung ist für die bloße Funktionalität der Webseite nicht technisch erforderlich und bedarf daher einer aktiven Zustimmung.
    • Speicher-/Löschfristen: Event-Daten, die mit einer Besucher-Kennung verknüpft sind, werden für die Dauer des jeweiligen Experiments gespeichert. Nach Abschluss und Auswertung eines Experiments, spätestens jedoch nach 90 Tagen, werden diese Rohdaten gelöscht. Es werden ausschließlich anonymisierte, aggregierte Statistiken (z.B. “Variante A hatte 15 % Klickrate”) dauerhaft für den Verantwortlichen aufbewahrt.
    • Datenfluss: Endgerät (löst Event aus) → Kundenseite → CROLabs-Server (speichert Event-Daten: Event-Typ, Timestamp, zugehörige Besucher-Kennung). Es werden keine Formularinhalte oder sonstige vom Nutzer eingegebene persönliche Daten erfasst. Es findet kein Cross-Site-Tracking oder eine Weitergabe an Dritte (außer den genehmigten Unterauftragsverarbeitern) statt.
  2. Funktion: Sticky Variation (Persistente Variantenzuweisung)
    • Beschreibung: Gewährleistet, dass ein wiederkehrender Besucher einer Webseite während der Laufzeit eines A/B-Tests konsistent dieselbe ihm zugewiesene Experiment-Variante (z.B. Variante “A” oder “B”) angezeigt bekommt. Dies verhindert ein “Flickern” zwischen den Varianten und sichert die Validität des Experiments. Die Zuweisung erfolgt durch das Setzen und Auslesen einer Kennung (Cookie oder Local Storage) im Browser des Besuchers.
    • Rechtsgrundlage beim Verantwortlichen: In der Regel die Einwilligung des Webseitenbesuchers (Art. 6 Abs. 1 lit. a DSGVO) über ein Consent-Management-Tool, da der Zugriff auf das Endgerät für die reine Funktionsfähigkeit der Webseite meist nicht technisch zwingend erforderlich ist (§ 25 TDDDG).
    • Speicher-/Löschfristen: Die Kennung zur Variantenzuweisung wird im Browser des Besuchers für die Dauer des Experiments, in der Regel maximal 90 Tage, gespeichert oder bis der Besucher die Cookies/lokalen Daten löscht.
    • Datenfluss: Endgerät ↔ Kundenseite ↔ CROLabs-Server (zur Abfrage der Varianten-Konfiguration basierend auf der Besucher-Kennung). Es findet kein Cross-Site-Tracking statt.