Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem Kunden der Arengraf Hosting UG (haftungsbeschränkt) (nachfolgend „Auftraggeber") und der:

geschlossen. Der Auftraggeber nimmt Hosting-Dienstleistungen des Auftragnehmers in Anspruch, im Rahmen derer personenbezogene Daten des Auftraggebers oder von Dritten, für die der Auftraggeber verantwortlich ist, verarbeitet werden. Dieser AVV regelt die datenschutzrechtlichen Pflichten beider Parteien gemäß Art. 28 DSGVO.

Der AVV wird durch elektronische Zustimmung des Auftraggebers bei der Kontoregistrierung wirksam und ist integraler Bestandteil des Hauptvertrags (AGB).

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand: Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers im Rahmen der gebuchten Hosting-Dienstleistungen (Webhosting, E-Mail-Hosting, Datenbank-Services, Domain-Management).

1.2 Dauer: Dieser AVV gilt für die gesamte Laufzeit des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten aus § 9 (Löschung und Rückgabe).

1.3 Art der Verarbeitung: Speicherung, Übermittlung, Sicherung und Löschung von Daten auf den Servern des Auftragnehmers.

1.4 Zweck der Verarbeitung: Technische Bereitstellung der vom Auftraggeber gebuchten Hosting-Infrastruktur.

§ 2 Art der Daten und Kategorien betroffener Personen

2.1 Kategorien personenbezogener Daten (abhängig von der Nutzung des Auftraggebers, nicht abschließend):

• Bestandsdaten (Name, Adresse, Kontaktdaten)
• Kommunikationsdaten (E-Mail-Inhalte, Metadaten)
• Nutzungsdaten (IP-Adressen, Log-Daten, Zugriffszeiten)
• Inhaltsdaten (gespeicherte Dateien, Datenbankinhalte, Website-Inhalte)
• Sonstige Daten, die der Auftraggeber auf der bereitgestellten Infrastruktur speichert

2.2 Kategorien betroffener Personen (abhängig von der Nutzung des Auftraggebers):

• Kunden und Interessenten des Auftraggebers
• Mitarbeiter und Vertragspartner des Auftraggebers
• Besucher der vom Auftraggeber betriebenen Websites
• Sonstige Personen, deren Daten der Auftraggeber auf der Infrastruktur verarbeitet

Hinweis: Der Auftragnehmer hat keinen Einblick in die tatsächlich gespeicherten Daten und übernimmt keine Verantwortung für deren Inhalt oder rechtliche Zulässigkeit.

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

• Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO), sofern keine gesetzliche Pflicht zur anderweitigen Verarbeitung besteht
• Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe § 6 dieses AVV)
• Die Bedingungen dieses AVV bei der Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (siehe § 7)
• Den Auftraggeber unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung von Betroffenenrechten zu unterstützen
• Den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen
• Alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen
• Datenpannen (Art. 33 DSGVO) unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, dem Auftraggeber zu melden

§ 4 Pflichten des Auftraggebers

Der Auftraggeber verpflichtet sich:

• Ausschließlich rechtmäßig erhobene und verarbeitete personenbezogene Daten auf der Infrastruktur des Auftragnehmers zu speichern
• Weisungen gegenüber dem Auftragnehmer dokumentiert zu erteilen
• Den Auftragnehmer unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten festgestellt hat
• Betroffene Personen über die Verarbeitung ihrer Daten gemäß Art. 13, 14 DSGVO zu informieren
• Sicherzustellen, dass die Verarbeitung der Daten auf der bereitgestellten Infrastruktur einer Rechtsgrundlage nach Art. 6 DSGVO entspricht

§ 5 Weisungsrecht

5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach dokumentierter Weisung des Auftraggebers. Weisungen können schriftlich, per E-Mail oder über das Ticketsystem erteilt werden.

5.2 Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung bis zur Klärung auszusetzen.

5.3 Die regelmäßige Erbringung der vertraglich geschuldeten Hosting-Leistungen (Betrieb der Server, Sicherheitsmaßnahmen, Backups) gilt als dauerhaft erteilte Weisung des Auftraggebers.

§ 6 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

6.1 Zutrittskontrolle

• Serverbetrieb ausschließlich in zertifizierten Rechenzentren (Hetzner, Deutschland)
• Kein direkter physischer Zugriff durch Mitarbeiter des Auftragnehmers auf Produktivserver

6.2 Zugangskontrolle

• Starke Passwortrichtlinien und Zwei-Faktor-Authentifizierung für alle Administrations-Zugänge
• SSH-Key-basierter Zugriff auf Produktivsysteme, Passwort-Login deaktiviert
• Automatische Sperrung bei mehrfachen Fehlversuchen (fail2ban)

6.3 Zugriffskontrolle

• Strikte Mandantentrennung — kein Kunde kann auf Daten anderer Kunden zugreifen
• Rollenbasiertes Berechtigungssystem (RBAC)
• Minimalprinzip bei Zugriffsrechten

6.4 Übertragungssicherheit

• Ausschließlich verschlüsselte Übertragung via HTTPS/TLS (mind. TLS 1.2)
• E-Mail-Übertragung via STARTTLS/TLS
• Keine unverschlüsselte Übermittlung personenbezogener Daten

6.5 Verfügbarkeit und Belastbarkeit

• Regelmäßige Backups der Kundendaten
• DDoS-Schutz durch Rechenzentrumsbetreiber
• Hochverfügbarkeitsarchitektur via Kubernetes
• Monitoring der Systemverfügbarkeit

6.6 Integrität

• Datenbankzugriffe ausschließlich über gesicherte Anwendungsschicht
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert
• Protokollierung sicherheitsrelevanter Ereignisse

6.7 Datenschutzmanagement

• Dokumentierte Lösch- und Aufbewahrungskonzepte
• Sensibilisierung der Mitarbeiter für Datenschutz
• Vertraulichkeitsverpflichtungen für alle Mitarbeiter mit Datenzugriff

§ 7 Unterauftragsverarbeiter

7.1 Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zur Beauftragung der nachfolgend aufgelisteten Unterauftragsverarbeiter. Der Auftragnehmer schließt mit diesen Unterauftragsverarbeitern Verträge ab, die dem Schutzniveau dieses AVV entsprechen (Art. 28 Abs. 2 DSGVO).

7.2 Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus per E-Mail über geplante Änderungen (Hinzufügung oder Austausch von Unterauftragsverarbeitern). Der Auftraggeber hat das Recht, einer solchen Änderung binnen 14 Tagen schriftlich zu widersprechen, wenn er konkrete datenschutzrechtliche Gründe benennt. Im Falle eines berechtigten Widerspruchs werden beide Parteien eine einvernehmliche Lösung anstreben.

7.3 Zahlungsdienstleister (Stripe Payments Europe Ltd., Irland) ist kein Unterauftragsverarbeiter im Sinne dieses AVV, da er ausschließlich im Rahmen eines eigenen Vertragsverhältnisses mit dem Auftraggeber tätig wird.

§ 8 Kontrollrechte des Auftraggebers

8.1 Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Vereinbarungen dieses AVV durch den Auftragnehmer zu überprüfen.

8.2 Audits sind schriftlich mit einer Vorlaufzeit von mindestens 4 Wochen anzukündigen, dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen und sind auf maximal einmal pro Kalenderjahr beschränkt. Die Kosten eines Audits trägt der Auftraggeber.

8.3 Alternativ kann der Auftragnehmer dem Auftraggeber geeignete Nachweise (Zertifikate, Auditberichte, Eigenerklärungen) zur Verfügung stellen, die eine eigene Prüfung ersetzen können.

§ 9 Löschung und Rückgabe nach Vertragsende

9.1 Nach Beendigung des Hauptvertrags werden personenbezogene Daten des Auftraggebers gemäß den in den AGB (§ 8) festgelegten Fristen gelöscht:

• Zugriff bis Monatsende (letzte Vertragslaufzeit)
• Interne Aufbewahrung ohne Kundenzugriff: weitere 30 Tage
• Anschließend unwiderrufliche Löschung aller Inhaltsdaten

9.2 Nach vollständiger Löschung erhält der Auftraggeber automatisch eine Löschbestätigung per E-Mail, die als Nachweis der Erfüllung der Löschpflicht dient.

9.3 Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen (insbesondere Rechnungs- und Vertragsdaten, 10 Jahre gemäß § 147 AO), sind von der Löschung ausgenommen. Diese Daten werden nach Ablauf der Aufbewahrungspflicht ebenfalls gelöscht.

9.4 Vor Löschung kann der Auftraggeber eine Datenübertragung in einem gängigen Format (SQL-Dump, ZIP-Archiv) beauftragen. Details hierzu über das Ticketsystem.

§ 10 Meldung von Datenpannen

10.1 Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden per E-Mail an die im Kundenkonto hinterlegte E-Mail-Adresse.

10.2 Die Meldung enthält soweit möglich: Art der Verletzung, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen sowie ergriffene oder geplante Abhilfemaßnahmen.

10.3 Der Auftraggeber ist selbst dafür verantwortlich, die zuständige Aufsichtsbehörde (LDI NRW) gemäß Art. 33 DSGVO fristgerecht zu informieren.

§ 11 Schlussbestimmungen

11.1 Dieser AVV unterliegt deutschem Recht. Gerichtsstand ist Remscheid, soweit gesetzlich zulässig.

11.2 Änderungen dieses AVV werden dem Auftraggeber mit einer Frist von mindestens 4 Wochen per E-Mail mitgeteilt. Widerspricht der Auftraggeber nicht innerhalb von 2 Wochen nach Zugang, gilt die Änderung als akzeptiert.

11.3 Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

11.4 Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) gehen die Regelungen dieses AVV in datenschutzrechtlichen Belangen vor.