Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO zwischen der Dipalino UG (haftungsbeschränkt) als Auftragsverarbeiter und den Nutzerinnen und Nutzern der Live-Daten-Funktion als Verantwortliche.

Stand: 06.04.2026 — maßgeblich ist die jeweils aktuelle auf turbometrics.de veröffentlichte Fassung.

1. Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch turbometrics.de im Auftrag der Nutzerin bzw. des Nutzers (nachfolgend „Verantwortliche/r“) im Rahmen der Live-Daten-Funktion (Real User Monitoring, RUM).

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich innerhalb Deutschlands auf Servern der Hetzner Online GmbH (Nürnberg/Falkenstein). Ein Transfer personenbezogener Daten in Drittländer außerhalb der EU/des EWR findet nicht statt.

Der AVV gilt für die Dauer der Nutzung der Live-Daten-Funktion und endet automatisch mit deren Beendigung.

2. Art und Zweck der Verarbeitung

Art der Verarbeitung: Erhebung, Übermittlung, Speicherung, Auswertung und Löschung von Performance-Messdaten.

Zweck: Bereitstellung der Live-Daten-Funktion zur Analyse der Ladezeiten und Core Web Vitals der Website des Verantwortlichen aus Sicht der Endnutzer.

Art der Daten: Anonymisierte technische Performance-Daten, insbesondere:

  • Ladezeitmesswerte (LCP, CLS, INP, FCP, TTFB)
  • Geräteklasse (Desktop, Mobile, Tablet) — abgeleitet aus der Bildschirmbreite
  • Browser und Betriebssystem — abgeleitet aus dem User Agent
  • Verbindungstyp und Netzwerkqualität (soweit vom Browser bereitgestellt)
  • Herkunftsland — ermittelt aus der IP-Adresse, die anschließend anonymisiert wird
  • Anonyme Seiten-ID zur Zuordnung zusammengehöriger Metriken eines Seitenaufrufs

Kategorien betroffener Personen: Endnutzer der Websites des Verantwortlichen.

3. Pflichten des Auftragsverarbeiters

turbometrics.de als Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten — die Nutzung der Live-Daten-Funktion gilt als solche Weisung
  • geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten zu treffen
  • sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
  • den Verantwortlichen unverzüglich zu informieren, wenn eine erteilte Weisung gegen geltendes Recht verstößt
  • nach Wahl des Verantwortlichen alle Daten nach Beendigung zu löschen und vorhandene Kopien zu vernichten
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung zu stellen

4. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

  • die Erhebung von Performance-Daten in seiner Datenschutzerklärung zu dokumentieren
  • sicherzustellen, dass eine geeignete Rechtsgrundlage für die Datenerhebung vorliegt (typischerweise Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der technischen Optimierung des Webangebots)
  • das Tracking-Snippet nur auf Websites einzubinden, für die er berechtigt ist
  • Endnutzer über die Datenerhebung zu informieren — einen fertigen Datenschutz-Textbaustein stellt turbometrics.de im Dashboard bereit

5. Technische und organisatorische Maßnahmen (TOMs)

Standort und Datensouveränität: Alle personenbezogenen Daten werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert (Hetzner Online GmbH, Rechenzentren Nürnberg und Falkenstein). Es findet keine Verarbeitung personenbezogener Daten außerhalb Deutschlands statt. Hetzner Online GmbH ist nach ISO 27001 zertifiziert und hat mit turbometrics.de einen AVV gemäß Art. 28 DSGVO abgeschlossen.

Scan-Worker: Zur Durchführung synthetischer Website-Scans werden temporär Scan-Worker in verschiedenen Regionen eingesetzt (derzeit Deutschland und Finnland). Diese Scan-Worker rufen ausschließlich öffentlich zugängliche URLs ab und verarbeiten keine personenbezogenen Daten. Scan-Ergebnisse (technische Messwerte) werden ausschließlich auf deutschen Servern gespeichert.

Pseudonymisierung und Anonymisierung: IP-Adressen werden ausschließlich zur Ermittlung des Herkunftslandes verwendet. Das letzte Oktett der IPv4-Adresse bzw. die letzten 80 Bit der IPv6-Adresse werden vor der Speicherung auf null gesetzt. Die vollständige IP-Adresse wird nicht gespeichert. Seiten-IDs sind zufällig generierte Zeichenketten ohne Personenbezug.

Verschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über HTTPS/TLS. Daten werden verschlüsselt übertragen und auf verschlüsselten Systemen in deutschen Rechenzentren gespeichert.

Zugriffskontrolle: Zugriff auf Produktionssysteme ist auf autorisierte Personen beschränkt und erfordert Authentifizierung. Kundendaten sind durch Mandantentrennung voneinander isoliert.

Löschkonzept: Performance-Daten werden automatisch nach dem im gebuchten Tarif vorgesehenen Zeitraum gelöscht (14 bis 180 Tage) und anschließend unwiderruflich vernichtet.

6. Unterauftragsverarbeiter

turbometrics.de setzt folgende Unterauftragsverarbeiter ein:

Anbieter Zweck Sitz
Hetzner Online GmbH Hosting, Infrastruktur und Datenbankbetrieb Deutschland (Nürnberg, Falkenstein)
Cloudflare Inc. CDN und DDoS-Schutz für turbometrics.de USA — zertifiziert unter EU-US Data Privacy Framework
Brevo (Sendinblue SAS) E-Mail-Versand (Benachrichtigungen) Frankreich

Hetzner: Alle personenbezogenen Daten werden ausschließlich in deutschen Rechenzentren (Nürnberg/Falkenstein) verarbeitet und gespeichert.

Cloudflare: Cloudflare ist für CDN und DDoS-Schutz von turbometrics.de zuständig. Der Beacon-Endpunkt (/api/tm) ist als „Cache Bypass“ konfiguriert — Cloudflare leitet Anfragen direkt weiter, ohne Inhalte zu speichern. Verbindungsmetadaten (IP-Adresse, Zeitstempel) können dabei vorübergehend durch Cloudflare verarbeitet werden. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.

Brevo: Wird ausschließlich für den Versand von System-E-Mails (Alerts, Berichte) eingesetzt. Keine Verarbeitung von RUM-Performance-Daten.

Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter mit der Nutzung der Live-Daten-Funktion zu. Änderungen werden auf turbometrics.de/avv rechtzeitig veröffentlicht.

7. Weisungsrecht

Der Verantwortliche kann jederzeit Weisungen zur Verarbeitung erteilen. Weisungen erfolgen in der Regel durch die Einstellungen in der turbometrics-Anwendung (z. B. Löschung von Daten, Deaktivierung der Live-Daten-Funktion, Anpassung der Sampling-Rate).

Für darüber hinausgehende Weisungen: [email protected]

8. Datenpannen

turbometrics.de informiert den Verantwortlichen unverzüglich — soweit möglich innerhalb von 24 Stunden — über Verletzungen des Schutzes personenbezogener Daten die Daten des Verantwortlichen betreffen.

Meldungen erfolgen per E-Mail an die im Nutzerkonto hinterlegte E-Mail-Adresse.

Für Rückfragen zur Datensicherheit erreichst du uns unter: [email protected]

9. Beendigung

Bei Beendigung der Nutzung der Live-Daten-Funktion oder des turbometrics-Kontos werden alle zugehörigen Performance-Daten innerhalb von 30 Tagen gelöscht.

Eine frühere Löschung kann jederzeit über die Anwendung (Deaktivierung der Live-Daten-Funktion) oder per E-Mail an [email protected] beantragt werden.

10. Schlussbestimmungen

Dieser AVV unterliegt deutschem Recht.

Änderungen werden auf turbometrics.de/avv veröffentlicht. Die fortgesetzte Nutzung der Live-Daten-Funktion nach Veröffentlichung einer neuen Fassung gilt als Zustimmung zur geänderten Fassung.

Bei Widersprüchen zwischen diesem AVV und den AGB geht dieser AVV für Fragen der Auftragsverarbeitung vor.

Kontakt für datenschutzrechtliche Anfragen: [email protected]