Auftragsverarbeitungs-Vertrag

gemäß Artikel 28 DSGVO — Vorlage

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand des Auftrags ist die Bereitstellung von Webhosting (Webspace, E-Mail-Postfächern, Datenbanken, Domain-Verwaltung) durch den Anbieter für den Kunden. Im Rahmen dieser Leistung verarbeitet der Anbieter personenbezogene Daten im Auftrag und nach Weisung des Kunden.

Die Verarbeitung beginnt mit Vertragsschluss und endet mit Beendigung des Hosting-Vertrags.

§ 2 Art, Zweck und betroffene Daten

Art der Datenverarbeitung

• Speicherung von Webseiten-Inhalten, Datenbanken und E-Mail-Postfächern
• Übermittlung dieser Inhalte über das Internet an Besucher und E-Mail-Empfänger des Kunden
• Erstellung und Vorhaltung von Sicherungen (Backups) für 14 Tage
• Protokollierung von Server-Zugriffen für Sicherheits- und Abrechnungszwecke

Zweck der Verarbeitung

Bereitstellung der vom Kunden gebuchten Hosting-Dienste und Erfüllung gesetzlicher Aufbewahrungs- und Sicherheits-Anforderungen.

Betroffene Datenarten und Personenkategorien

Welche personenbezogenen Daten konkret verarbeitet werden, hängt vom Inhalt der Webseite und der Postfächer des Kunden ab. Typischerweise:

• Stamm- und Kontaktdaten von Besuchern, Newsletter-Abonnenten, Kunden des Kunden
• Inhaltsdaten aus E-Mail-Kommunikation
• Nutzungsdaten (IP-Adressen, Zugriffs-Logs) im technisch notwendigen Umfang

§ 3 Subunternehmer

Der Anbieter setzt für den Betrieb folgende Unterauftragsverarbeiter ein:

Weitere Subunternehmer werden nicht eingesetzt. Der Kunde wird über geplante Änderungen mindestens 30 Tage im Voraus per E-Mail informiert und hat ein Widerspruchsrecht.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Anbieter trifft folgende Maßnahmen nach Art. 32 DSGVO:

• Zutrittskontrolle: Rechenzentrum ist physisch gesichert (Keyweb AG, ISO 27001 nach Konzern-Standard).
• Zugangskontrolle: Server-Zugang nur über SSH-Keys, kein Passwort-Login, 2FA für administrative Zugänge.
• Zugriffskontrolle: Plesk-Mandantentrennung, getrennte Linux-User pro Kundenwebspace, keine kreuzweisen Zugriffe.
• Weitergabekontrolle: Verschlüsselung in Transit (TLS für HTTP, IMAP, SMTP), HTTPS-Zertifikate kostenlos und automatisch.
• Eingabekontrolle: Protokollierung administrativer Zugriffe, Logs werden 90 Tage vorgehalten.
• Auftragskontrolle: Verarbeitung erfolgt ausschließlich nach Weisung des Kunden.
• Verfügbarkeitskontrolle: Tagesaktuelle Backups, räumliche Trennung Live-Server / Backup-Storage, USV im Rechenzentrum.
• Trennungsgebot: Logische Trennung der Mandanten (Datenbanken, Verzeichnisse, Postfächer).
• Datenschutz-Folgenabschätzung: Bei Änderungen der Verarbeitung erfolgt eine Bewertung; der Kunde wird informiert.

§ 5 Pflichten des Anbieters

• Verarbeitung ausschließlich nach dokumentierter Weisung des Kunden.
• Vertraulichkeitsverpflichtung aller Mitarbeiter (schriftlich).
• Unterstützung des Kunden bei Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit).
• Unverzügliche Meldung von Datenschutz-Verletzungen, spätestens binnen 24 Stunden nach Kenntnis.
• Bereitstellung der zur Erfüllung der Nachweispflichten notwendigen Informationen.

§ 6 Löschung und Rückgabe nach Beendigung

Nach Beendigung des Hauptvertrags wird der Anbieter sämtliche personenbezogenen Daten des Kunden binnen 30 Tagen löschen, einschließlich aller Sicherungen. Eine Rückgabe der Daten erfolgt auf Wunsch des Kunden vor Löschung als Plesk-Backup-Archiv.

§ 7 Schlussbestimmungen

Für diesen Vertrag gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Anbieters.

Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Webspace-Mieten.de — Auftragsverarbeitungs-Vertrag (Vorlage) — Stand