Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Stand: April 2026
Parteien
Auftraggeber (Verantwortlicher)
Das Unternehmen bzw. die Person, die cachly.dev nutzt und einen zahlungspflichtigen Tarif (Dev, Pro, Speed oder Business) gebucht hat (nachfolgend „Auftraggeber“).
Auftragnehmer (Auftragsverarbeiter)
cachly.dev – [Vorname Nachname], [Straße Nr.], [PLZ Stadt], Deutschland (nachfolgend „Auftragnehmer“).
§ 1 Gegenstand und Dauer
Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung des SaaS-Dienstes cachly.dev (verwaltete Cache-Instanzen auf Basis von Valkey/Dragonfly). Die Laufzeit entspricht der des zugrundeliegenden Hauptvertrags (AGB).
§ 2 Art, Zweck und Umfang der Verarbeitung
| Merkmal | Beschreibung |
|---|---|
| Art der Verarbeitung | Speicherung, Abruf und Löschung von Cache-Einträgen |
| Zweck | Bereitstellung verwalteter In-Memory-Cache-Instanzen für die Anwendungen des Auftraggebers |
| Kategorien betroffener Personen | Endnutzer der Anwendungen des Auftraggebers (keine direkte Erhebung durch cachly.dev) |
| Kategorien personenbezogener Daten | Beliebige vom Auftraggeber gespeicherte Cache-Inhalte; cachly.dev hat keinen Einblick in die Inhalte |
| Ort der Verarbeitung | Deutschland (Hetzner Nürnberg, Rechenzentrum AMS1/NBG1) |
§ 3 Weisungsrecht
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers – einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland – es sei denn, er ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, zu einer Verarbeitung verpflichtet. Weisungen sind per E-Mail an privacy@cachly.dev zu erteilen.
§ 4 Vertraulichkeit
Der Auftragnehmer stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 5 Technische und organisatorische Maßnahmen (TOM)
- Verschlüsselung aller Verbindungen per TLS 1.2/1.3 (HTTPS und Redis-TLS)
- Passwortauthentifizierung für alle Cache-Instanzen
- Namensraum-Isolation: jede Instanz läuft in einem eigenen Kubernetes-Namespace
- Zugriffskontrolle: Cluster-Zugang nur über verwaltete kubeconfig mit RBAC
- Datenspeicherung ausschließlich auf Hetzner-Servern in Deutschland (DSGVO-konform)
- Regelmäßige Sicherheitsupdates für Valkey/Dragonfly-Images
- Persistente Volumes mit täglichen BGSAVE-Snapshots (Pro-Tier+)
§ 6 Einsatz von Unterauftragsverarbeitern
Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein. Der Auftraggeber erteilt hiermit eine allgemeine Genehmigung für den Einsatz dieser Unterauftragsverarbeiter:
| Anbieter | Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Serverhosting / IaaS + PostgreSQL (self-hosted) | AV-Vertrag gem. Art. 28 DSGVO |
| Clerk, Inc. | USA | Authentifizierung | EU-US DPF |
| Stripe Inc. / Stripe Payments Europe | USA / Irland | Zahlungsabwicklung | EU-US DPF + SCCs |
Änderungen an dieser Liste werden dem Auftraggeber mindestens 14 Tage im Voraus per E-Mail mitgeteilt. Der Auftraggeber hat das Recht, Einwände zu erheben.
§ 7 Rechte der betroffenen Personen
Der Auftragnehmer unterstützt den Auftraggeber, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch). Anfragen sind an privacy@cachly.dev zu richten.
§ 8 Löschung und Rückgabe
Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Kubernetes-Namespaces und persistente Volumes werden vollständig deprovisioniert.
§ 9 Audit und Nachweispflicht
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Prüfungen – einschließlich Inspektionen – durch den Auftraggeber oder einen vom Auftraggeber beauftragten Prüfer. Prüfungen sind mindestens 14 Tage im Voraus anzukündigen und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen.
Dieser AVV gilt automatisch für alle zahlungspflichtigen Tarife (Dev, Pro, Speed, Business). Durch die Anmeldung und Buchung eines kostenpflichtigen Tarifs akzeptiert der Auftraggeber diesen AVV.
Bei Fragen: privacy@cachly.dev
Stand: April 2026