Was kostet eine professionelle Website?

Eine professionelle Website kostet bei mir ab 2.000 €. Der genaue Preis hängt von Umfang, Seiten und Funktionen ab. Im kostenlosen Erstgespräch sage ich dir direkt, was dein Projekt kostet – ohne versteckte Nachkalkulation.

Wie lange dauert die Umsetzung einer Website?

In der Regel 2–4 Wochen vom ersten Gespräch bis zum Launch. Das hängt davon ab, wie schnell du mir Inhalte und Feedback gibst. Ich halte dich im gesamten Prozess auf dem Laufenden.

Was ist der Unterschied zu einer Agentur?

Bei einer Agentur hast du einen Projektmanager, der dein Briefing an einen Designer weitergibt, der es an einen Entwickler weitergibt. Bei mir machst du das alles mit einer Person — mir. Das spart nicht nur Zeit, es bedeutet auch: Ich verstehe am Ende wirklich was du brauchst.

Kann ich die Website danach selbst bearbeiten?

Das kommt auf dich an. Wer keine Lust auf Technik hat, schickt mir Änderungswünsche einfach per E-Mail — ich setze sie innerhalb von 1–2 Werktagen um. Wer lieber selbst Texte und Bilder anpassen möchte, bekommt auf Wunsch einen Admin-Bereich dazu.

Ab wann sieht man Ergebnisse (z. B. bei SEO)?

Die Website ist von Tag 1 an sichtbar. Suchmaschinen-Ergebnisse und Anfragen bauen sich in den ersten Wochen bis Monaten auf – je nach Branche und Konkurrenz. Ich liefere eine technisch saubere, suchmaschinenfreundliche Basis.

Ich hatte schon mal eine schlechte Erfahrung mit einem Webdesigner...

Das höre ich öfter. Meistens liegt es an schlechter Kommunikation, vagen Versprechen oder Projekten die nie fertig werden. Deshalb arbeite ich mit klaren Absprachen, festen Zeitplänen und einem 4-Schritte-Prozess, bei dem du immer weißt was gerade passiert.

Zurück zur Startseite

Datenschutz

Auftragsverarbeitungsvereinbarung (AVV)

gemäß Art. 28 DSGVO

Stand: März 2026

Präambel

Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV") wird geschlossen zwischen:

Auftragsverarbeiter (Anbieter):

Ferry Emirer
Edisonstr. 4, 70734 Fellbach
E-Mail: office@ferryemirer.de

Verantwortlicher (Auftraggeber/Kunde):

Wird individuell im Dienstleistungsvertrag benannt.

Diese AVV ergänzt den zwischen den Parteien geschlossenen Dienstleistungsvertrag (nachfolgend „Hauptvertrag") und regelt die Rechte und Pflichten bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand dieser AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der im Hauptvertrag beschriebenen Dienstleistungen (Webdesign, Webentwicklung, Hosting, Wartung).

1.2 Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags. Sie beginnt mit Vertragsschluss und endet mit Beendigung des Hauptvertrags, sofern sich aus dieser AVV keine darüber hinausgehenden Pflichten ergeben.

§ 2 Art und Zweck der Verarbeitung

2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen zum Zweck der:

Erstellung, Pflege und Betrieb von Websites
Technischen Bereitstellung und Hosting
Einrichtung und Verwaltung von Kontaktformularen und Terminbuchungssystemen
Einbindung und Konfiguration von Webanalyse- und Tracking-Tools
Verwaltung von Kundeninhalten im Content-Management-System (CMS)

§ 3 Art der personenbezogenen Daten

3.1 Im Rahmen der Auftragsverarbeitung können folgende Kategorien personenbezogener Daten verarbeitet werden:

Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer, Nachrichteninhalte (über Kontaktformulare)
Terminbuchungsdaten: Name, E-Mail-Adresse, Telefonnummer, gewählter Termin, Anmerkungen
Nutzungsdaten / Analytics: IP-Adressen (ggf. anonymisiert), Geräte- und Browser-Informationen, Seitenaufrufe, Verweildauer, Interaktionsdaten, Cookie-IDs
CMS-/Kundendaten: Login-Daten, Bestelldaten, Adressen, sonstige im CMS hinterlegte personenbezogene Daten

§ 4 Kategorien betroffener Personen

4.1 Betroffene Personen sind:

Website-Besucher des Verantwortlichen
Kunden und Interessenten des Verantwortlichen
Mitarbeiter und Geschäftspartner des Verantwortlichen (soweit deren Daten über die Website verarbeitet werden)

§ 5 Pflichten des Auftragsverarbeiters

5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet.

5.2 Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

5.3 Der Auftragsverarbeiter trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM), insbesondere:

Verschlüsselung der Datenübertragung (SSL/TLS)
Zugangskontrollen und Authentifizierungsverfahren
Regelmäßige Sicherheitsupdates und Backups
Trennung von Mandantendaten
Schutz vor unbefugtem Zugriff, Verlust und Zerstörung

5.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.

5.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).

5.6 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

5.7 Der Auftragsverarbeiter setzt gelegentlich Subunternehmer (Freelancer) für die technische Umsetzung ein. Diese werden vor Zugriff auf personenbezogene Daten zur Vertraulichkeit verpflichtet und unterliegen denselben Datenschutzanforderungen wie der Auftragsverarbeiter selbst.

§ 6 Unterauftragsverarbeiter (Sub-Prozessoren)

6.1 Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Einschaltung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.

6.2 Der Auftragsverarbeiter setzt zum Zeitpunkt des Vertragsschlusses folgende Unterauftragsverarbeiter ein:

Dienstleister	Zweck	Sitz / Land
Vercel Inc.	Hosting & Deployment	USA (SCCs / DPF)
Supabase Inc.	Datenbank, Authentifizierung, Backend	USA (SCCs / DPF)
Stripe Inc.	Zahlungsabwicklung	USA (SCCs / DPF)
Google LLC	Google Analytics, Google Fonts	USA (SCCs / DPF)
Meta Platforms Inc.	Meta Pixel (Tracking)	USA (SCCs / DPF)
Microsoft Corp.	Microsoft Clarity (Analytics)	USA (SCCs / DPF)
Cal.com Inc.	Terminbuchung	USA (SCCs / DPF)

6.3 Darüber hinaus kann der Auftragsverarbeiter gelegentlich externe Freelancer/Subunternehmer für die technische Umsetzung einsetzen. Diese werden vor Zugriff auf personenbezogene Daten vertraglich zur Vertraulichkeit und Einhaltung der DSGVO verpflichtet.

6.4 Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.

6.5 Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter denselben Datenschutzpflichten unterliegen wie in dieser AVV festgelegt.

§ 7 Drittlandtransfers

7.1 Soweit personenbezogene Daten in Drittländer übermittelt werden (insbesondere USA), stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen:

EU-US Data Privacy Framework (DPF) – sofern der Empfänger zertifiziert ist
Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914
Ergänzende Maßnahmen gemäß den Empfehlungen des EDSA

§ 8 Datenschutzverletzungen

8.1 Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden (Art. 33 Abs. 2 DSGVO).

8.2 Die Meldung enthält mindestens:

Art der Verletzung und betroffene Datenkategorien
Ungefähre Anzahl betroffener Personen und Datensätze
Wahrscheinliche Folgen der Verletzung
Ergriffene und vorgeschlagene Maßnahmen zur Behebung

8.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

§ 9 Kontroll- und Prüfrechte

9.1 Der Verantwortliche hat das Recht, die Einhaltung dieser AVV und der datenschutzrechtlichen Vorgaben zu überprüfen, einschließlich Inspektionen und Audits (Art. 28 Abs. 3 lit. h DSGVO).

9.2 Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.

9.3 Inspektionen werden mit angemessener Vorankündigung (mindestens 14 Tage) und unter Berücksichtigung der Betriebsabläufe durchgeführt. Der Verantwortliche trägt die Kosten der Inspektion.

§ 10 Löschung und Rückgabe von Daten

10.1 Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten, es sei denn, eine Aufbewahrungspflicht nach Unionsrecht oder nationalem Recht besteht.

10.2 Auf Verlangen des Verantwortlichen gibt der Auftragsverarbeiter die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format zurück.

10.3 Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende und wird dem Verantwortlichen auf Verlangen bestätigt.

§ 11 Haftung

11.1 Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.

11.2 Im Übrigen gelten die Haftungsregelungen des Hauptvertrags bzw. der AGB des Auftragsverarbeiters.

§ 12 Laufzeit und Kündigung

12.1 Diese AVV wird auf unbestimmte Zeit geschlossen und ist an die Laufzeit des Hauptvertrags gebunden.

12.2 Rechte und Pflichten aus dieser AVV, die über die Vertragslaufzeit hinausgehen (insbesondere Löschpflichten und Vertraulichkeit), bestehen fort.

12.3 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt, insbesondere bei schwerwiegenden Verstößen gegen Datenschutzbestimmungen.

§ 13 Schlussbestimmungen

13.1 Es gilt deutsches Recht. Gerichtsstand ist – soweit zulässig – Fellbach.

13.2 Änderungen und Ergänzungen dieser AVV bedürfen der Textform.

13.3 Sollten einzelne Bestimmungen dieser AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

13.4 Diese AVV kann auch durch digitale Signatur (elektronische Unterschrift mit Erfassung von Zeitstempel, IP-Adresse und User-Agent) rechtswirksam geschlossen werden. Die digitale Annahme des Hauptvertrags durch den Verantwortlichen gilt gleichzeitig als Annahme dieser AVV, sofern die AVV dem Verantwortlichen vor Vertragsschluss zur Kenntnis gebracht wurde.

13.5 Diese AVV wird automatisch Bestandteil jedes zwischen den Parteien geschlossenen Dienstleistungsvertrags. Der Verantwortliche bestätigt mit Unterzeichnung des Hauptvertrags, die AVV zur Kenntnis genommen und akzeptiert zu haben.

13.6 Diese AVV geht im Falle von Widersprüchen den AGB des Auftragsverarbeiters in datenschutzrechtlichen Angelegenheiten vor (vgl. § 1.4 AGB).

Datenschutz-Ansprechpartner

Ferry Emirer
Edisonstr. 4, 70734 Fellbach
E-Mail: office@ferryemirer.de

Bei Fragen zum Datenschutz oder zur Auftragsverarbeitung wenden Sie sich bitte an die oben genannte Kontaktadresse.

Anlage 1: Technische und Organisatorische Maßnahmen (TOM)

gemäß Art. 32 DSGVO – Stand: März 2026

1. Zutrittskontrolle

Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern:

Arbeit erfolgt ausschließlich in privaten, abschließbaren Räumlichkeiten
Keine öffentlich zugänglichen Server-Räume (Hosting über Cloud-Dienste)
Besucherregelung: Keine Drittbesucher haben unbeaufsichtigten Zugang zu Arbeitsbereichen

2. Zugangskontrolle

Maßnahmen, die die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern:

Alle Arbeitsgeräte sind passwortgeschützt
Automatische Bildschirmsperre nach max. 5 Minuten Inaktivität
Starke, einzigartige Passwörter für alle Systeme und Accounts
Nutzung eines Passwort-Managers
Zwei-Faktor-Authentifizierung (2FA) für alle kritischen Dienste (Hosting, Datenbank, E-Mail, Zahlungsdienstleister)
Regelmäßige Überprüfung und Aktualisierung von Zugangsdaten

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Zugriffsberechtigte nur auf die ihnen zugewiesenen Daten zugreifen:

Berechtigungskonzept: Zugriff auf Kundendaten nur bei konkretem Bedarf (Need-to-know-Prinzip)
Getrennte Accounts und Umgebungen pro Kundenprojekt
Subunternehmer erhalten nur projektbezogenen, zeitlich begrenzten Zugang
Entzug der Zugriffsrechte nach Projektende oder Vertragsende
Protokollierung von Admin-Zugriffen auf Hosting- und Datenbank-Systeme

4. Weitergabekontrolle

Maßnahmen zum Schutz bei der Übertragung personenbezogener Daten:

Verschlüsselte Datenübertragung (SSL/TLS) für alle Websites und APIs
Verschlüsselte E-Mail-Kommunikation (TLS) für sensible Daten
Kein Versand personenbezogener Daten über unverschlüsselte Kanäle
Sichere Übermittlung von Zugangsdaten (z. B. über verschlüsselte Passwort-Manager-Freigabe)

5. Eingabekontrolle

Maßnahmen zur Nachvollziehbarkeit, wer Daten eingegeben, verändert oder entfernt hat:

Versionskontrolle (Git) für alle Code-Änderungen mit Zeitstempel und Autor
Audit-Logs der Hosting- und Datenbank-Plattformen
Nachvollziehbare Änderungshistorie im CMS (soweit vorhanden)

6. Auftragskontrolle

Maßnahmen, die sicherstellen, dass Daten nur gemäß den Weisungen des Auftraggebers verarbeitet werden:

Dokumentierte Weisungen im Hauptvertrag und dieser AVV
Weisungsberechtigte Person: der jeweilige Auftraggeber (Kunde) bzw. sein benannter Ansprechpartner
Sorgfältige Auswahl von Subunternehmern mit vertraglicher Vertraulichkeitsverpflichtung
Regelmäßige Überprüfung der Einhaltung

7. Verfügbarkeitskontrolle

Maßnahmen zum Schutz personenbezogener Daten gegen zufällige Zerstörung oder Verlust:

Automatische Backups über die Hosting-Plattform (Vercel) und Datenbank-Plattform (Supabase)
Redundante Datenhaltung durch Cloud-Infrastruktur
Regelmäßige Sicherheitsupdates und Patches
Monitoring und Alerting bei Systemausfällen
Notfallplan: Wiederherstellung aus Backups innerhalb von 24 Stunden

8. Trennungskontrolle

Maßnahmen zur getrennten Verarbeitung von Daten verschiedener Auftraggeber:

Logische Mandantentrennung: Jedes Kundenprojekt wird in separaten Hosting-Instanzen und Datenbanken betrieben
Getrennte Repository- und Deployment-Umgebungen pro Kunde
Keine Vermischung von Kundendaten verschiedener Auftraggeber

9. Maßnahmen bei Einsatz von Subunternehmern

Vertragliche Vertraulichkeitsverpflichtung vor Zugriff auf personenbezogene Daten
Zugriff nur auf die für den Auftrag erforderlichen Daten und Systeme
Zeitliche Begrenzung des Zugriffs auf die Projektdauer
Belehrung über DSGVO-Anforderungen
Entzug aller Zugänge nach Abschluss der Tätigkeit

Überprüfung: Diese technischen und organisatorischen Maßnahmen werden regelmäßig (mindestens jährlich) überprüft und bei Bedarf dem aktuellen Stand der Technik angepasst.