Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Version PLATZHALTER: 1.0 — Stand: PLATZHALTER: Datum

Hinweis: Diese AVV-Vorlage enthält PLATZHALTER für unternehmensspezifische Angaben. Vor dem produktiven Einsatz sollte der AVV durch einen Datenschutzexperten oder Rechtsanwalt geprüft werden. Der AVV wird Bestandteil des Hauptvertrags (AGB).

Präambel

Zwischen dem Kunden (nachfolgend „Auftraggeber" oder „Verantwortlicher") und PLATZHALTER: Firmenname, PLATZHALTER: Anschrift (nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter") wird gemäß Art. 28 DSGVO dieser Auftragsverarbeitungsvertrag (AVV) geschlossen.

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der in § 1 beschriebenen Leistungen.

§ 1 Gegenstand, Dauer und Art der Verarbeitung

(1) Gegenstand: Der Auftragnehmer stellt dem Auftraggeber Hosting-Infrastruktur und das Kundenportal zur Verfügung. Im Rahmen dieser Tätigkeit verarbeitet der Auftragnehmer personenbezogene Daten ausschließlich auf Weisung des Auftraggebers.

(2) Dauer: Die Laufzeit des AVV entspricht der Laufzeit des Hauptvertrags (AGB). Nach Vertragsende gelten die Regelungen in § 9.

(3) Art der Verarbeitung: Speicherung, Übermittlung, Verarbeitung und Verwaltung personenbezogener Daten im Rahmen des Betriebs von:

Webhosting-Diensten (Websitedaten, Zugangsdaten der Endnutzer)
E-Mail-Hosting (E-Mail-Inhalte und -Metadaten der Endnutzer)
Datenbank-Hosting (Datenbankinhalt mit ggf. personenbezogenen Daten)
Backup-Diensten (Sicherung aller vorgenannten Daten)
Support-Kommunikation über das Ticket-System

§ 2 Art der Daten und Kategorien betroffener Personen

Kategorien personenbezogener Daten

Zugangsdaten (Benutzernamen, Passwort-Hashes, E-Mail-Adressen)
Kommunikationsdaten (E-Mail-Inhalte, Metadaten)
Protokolldaten (IP-Adressen, Zeitstempel, User-Agent)
Inhaltsdaten (Websitedaten, Datenbankinhalt nach Nutzung durch den Auftraggeber)
Sonstige vom Auftraggeber übertragene Daten

Kategorien betroffener Personen

Mitarbeitende des Auftraggebers
Endkunden des Auftraggebers (Nutzer der gehosteten Websites/Dienste)
Sonstige natürliche Personen, deren Daten der Auftraggeber im Panel verarbeitet

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
Sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO).
Alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe Anlage 1: TOMs).
Den Auftraggeber bei der Wahrnehmung der Betroffenenrechte (Art. 12–22 DSGVO) zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO).
Den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO).
Den Auftraggeber unverzüglich zu informieren, wenn eine Weisung gegen geltendes Datenschutzrecht verstößt (Art. 28 Abs. 3 a.E. DSGVO).
Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen (Art. 28 Abs. 3 lit. h DSGVO).

§ 4 Weisungsrecht des Auftraggebers

(1) Der Auftraggeber ist gegenüber dem Auftragnehmer weisungsberechtigt hinsichtlich der Verarbeitung personenbezogener Daten. Weisungen sind schriftlich oder per E-Mail zu erteilen.

(2) Der Auftragnehmer verarbeitet personenbezogene Daten nicht für eigene Zwecke, es sei denn, dies ist gesetzlich vorgeschrieben.

§ 5 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern (Art. 28 Abs. 2 DSGVO).

(2) Die aktuell eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen (Hinzufügen oder Ersetzen) mit einer Frist von mindestens 30 Tagen vorab. Der Auftraggeber kann Änderungen aus berechtigten Datenschutzgründen widersprechen.

(3) Der Auftragnehmer legt Unterauftragsverarbeitern dieselben Datenschutzpflichten auf wie in diesem AVV vereinbart (Art. 28 Abs. 4 DSGVO).

§ 6 Datenpannen (Art. 33/34 DSGVO)

(1) Der Auftragnehmer meldet dem Auftraggeber Datenpannen, die personenbezogene Daten des Auftraggebers betreffen, unverzüglich nach Bekanntwerden, spätestens jedoch innerhalb von 24 Stunden, damit der Auftraggeber seine Meldefrist von 72 Stunden gemäß Art. 33 DSGVO gegenüber der Aufsichtsbehörde einhalten kann.

(2) Die Meldung enthält mindestens: Art der Panne, betroffene Datenkategorien und betroffene Personen (soweit bekannt), voraussichtliche Folgen sowie ergriffene und geplante Maßnahmen.

§ 7 Audits und Kontrollen

Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV durch den Auftragnehmer zu kontrollieren. Der Auftragnehmer kann der Durchführung von Audits durch Vorlage aktueller Zertifikate (z. B. ISO 27001, SOC 2) oder Prüfberichte anerkannter Prüfer entsprechen.

§ 8 Haftung

Die Haftungsregelungen des Hauptvertrags gelten entsprechend. Im Außenverhältnis haften Auftraggeber und Auftragnehmer gemäß Art. 82 DSGVO nach Maßgabe der dort festgelegten Anforderungen.

§ 9 Rückgabe und Löschung nach Vertragsende

Nach Beendigung des Hauptvertrags stellt der Auftragnehmer dem Auftraggeber alle personenbezogenen Daten in einem gängigen Exportformat zur Verfügung und löscht danach alle Kopien, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Verlangen schriftlich bestätigt.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende TOMs gemäß Art. 32 DSGVO implementiert:

Zugangskontrolle

Passwort-Mindestanforderungen (12 Zeichen, gemischte Zeichenklassen)
Multi-Faktor-Authentifizierung (TOTP, FIDO2/WebAuthn) verfügbar und für Admins empfohlen
Session-Timeout nach 120 Minuten Inaktivität
Rate-Limiting für Login- und API-Endpunkte (Brute-Force-Schutz)
Session-Übersicht und aktives Widerrufen aller Sessions im Profil

Zugriffskontrolle

Rollenbasierte Zugriffskontrolle (RBAC): GlobalAdmin / TenantAdmin
Mandantentrennung: tenant_id-basierte Isolation mit automatischen Datenbankfiltern
Policy-Enforcement für alle Ressourcen (Laravel Policies)

Transportverschlüsselung

TLS/HTTPS für alle Web-Verbindungen
Serverseitige Session-Verschlüsselung
HttpOnly- und Secure-Flags für alle Cookies in Produktion

Datenschutz durch Technikgestaltung

Passwort-Hashing mit bcrypt
Keine Klartextspeicherung sensibler Werte (Secrets verschlüsselt)
Keine externen CDNs, keine Drittanbieter-Tracker
Lokale Schriftarten (keine Google Fonts oder vergleichbare externe Dienste)

Protokollierung und Nachvollziehbarkeit

Audit-Logging aller sicherheitsrelevanten Aktionen (Akteur, Aktion, Zeitstempel, IP)
Automatische Löschung der Audit-Logs nach 365 Tagen

Verfügbarkeit

Regelmäßige Datensicherungen mit konfigurierbarer Retention-Policy
Backup-Verifikation (SHA-256-Checksums)
Wartungsfenster mit vorab aktivierter Maintenance-Page

Trennungskontrolle

Strikte Mandantentrennung in Datenbank und Dateisystem
Separate Datenbanken pro Tenant
Linux-User-Isolation für SFTP/SSH-Zugänge

Anlage 2: Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

PLATZHALTER: Diese Liste muss vor dem Go-Live vollständig ausgefüllt werden. Typische Einträge: Rechenzentrum/Hoster, SMTP-Dienstleister, DNS-Provider, Monitoring-Dienst.

Hosting / Rechenzentrum: PLATZHALTER: Anbieter, Standort, Zweck, AVV-Status
E-Mail-Versand (Transaktionsmails): PLATZHALTER: Anbieter, Standort, Zweck, AVV-Status
Backup-Storage: PLATZHALTER: Anbieter, Standort, Verschlüsselung, AVV-Status