Auftragsverarbeitungsvertrag (AVV)

Verwendungszweck: Dieser Vertrag regelt die Auftragsverarbeitung zwischen Ihnen (als Auftraggeber/Verantwortlicher) und Ihrem Hosting-Provider oder anderen Dienstleistern (als Auftragnehmer/Auftragsverarbeiter), die personenbezogene Daten Ihrer Kunden verarbeiten.

⚠️ Wichtig: Ersetzen Sie alle [PLATZHALTER] mit den tatsächlichen Daten, bevor Sie den Vertrag unterschreiben. Dieser Vertrag ist eine rechtlich bindende Vereinbarung und muss sorgfältig ausgefüllt werden.

Präambel

Dieser Vertrag regelt die Rechte und Pflichten zwischen dem Auftraggeber und dem Auftragnehmer im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).

Vertragsparteien

Auftraggeber (Verantwortlicher im Sinne der DSGVO)

Name/Firma:	Sören Ottenjahn / abo-host.de
Anschrift:	Lübecker Str. 13c, 22087 Hamburg, Deutschland
Vertreten durch:	Sören Ottenjahn (Inhaber)
E-Mail:	office@PCmobil24.de
Telefon:	040-644 26 714

– nachfolgend "Auftraggeber" genannt –

Auftragnehmer (Auftragsverarbeiter im Sinne der DSGVO)

Name/Firma:	[NAME DES HOSTING-PROVIDERS]
Anschrift:	[STRASSE, PLZ ORT, LAND]
Vertreten durch:	[GESCHÄFTSFÜHRER/VERTRETUNGSBERECHTIGTER]
E-Mail:	[E-MAIL-ADRESSE]
Telefon:	[TELEFONNUMMER]

– nachfolgend "Auftragnehmer" genannt –

§ 1 Gegenstand und Dauer des Auftrags

1.1 Gegenstand

Der Auftragnehmer erbringt für den Auftraggeber folgende Leistungen, bei denen personenbezogene Daten verarbeitet werden:

Hosting von Websites auf Servern des Auftragnehmers
Bereitstellung von Speicherplatz und Rechenleistung
Sicherstellung der technischen Verfügbarkeit der gehosteten Websites
Erstellung und Verwaltung von Backups
Technischer Support und Wartung der Server-Infrastruktur
[WEITERE LEISTUNGEN ERGÄNZEN]

1.2 Dauer

Dieser Vertrag tritt mit Unterzeichnung in Kraft und läuft auf unbestimmte Zeit. Er endet automatisch mit Beendigung des Hauptvertrages zwischen Auftraggeber und Auftragnehmer oder kann mit einer Frist von [30 TAGEN] zum Monatsende gekündigt werden.

§ 2 Art und Zweck der Datenverarbeitung

2.1 Art der Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

Bestandsdaten: Name, Adresse, E-Mail-Adresse, Telefonnummer
Nutzungsdaten: IP-Adressen, Zugriffszeiten, Browsertyp, Betriebssystem
Inhaltsdaten: Vom Auftraggeber auf der Website veröffentlichte Inhalte
Kommunikationsdaten: Kontaktformular-Eingaben, E-Mail-Verkehr
[WEITERE DATENKATEGORIEN ERGÄNZEN]

2.2 Betroffene Personen

Die Datenverarbeitung betrifft folgende Kategorien betroffener Personen:

Kunden des Auftraggebers
Interessenten und Website-Besucher
Geschäftspartner des Auftraggebers
[WEITERE KATEGORIEN ERGÄNZEN]

2.3 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:

Bereitstellung und Betrieb der Website des Auftraggebers
Gewährleistung der technischen Sicherheit und Funktionsfähigkeit
Datensicherung durch regelmäßige Backups
Technischer Support für den Auftraggeber

§ 3 Pflichten des Auftragnehmers

3.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zu einer Verarbeitung verpflichtet.

Weisungen werden zunächst durch diesen Vertrag erteilt. Einzelweisungen können vom Auftraggeber in Textform (z.B. per E-Mail) erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

3.2 Vertraulichkeit

Der Auftragnehmer verpflichtet sich, die Vertraulichkeit der im Auftrag verarbeiteten Daten zu wahren. Der Auftragnehmer stellt sicher, dass sich alle mit der Verarbeitung beauftragten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Diese sind in Anlage 1 zu diesem Vertrag dokumentiert und werden regelmäßig überprüft und aktualisiert.

3.4 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei:

Der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.)
Der Einhaltung der Pflichten aus Art. 32-36 DSGVO
Datenschutz-Folgenabschätzungen
Meldungen von Datenschutzverletzungen

3.5 Löschung und Rückgabe von Daten

Nach Beendigung der Auftragsverarbeitung löscht der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten oder gibt diese an den Auftraggeber zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

§ 4 Rechte und Pflichten des Auftraggebers

4.1 Weisungsrecht

Der Auftraggeber hat das Recht, dem Auftragnehmer jederzeit Weisungen zur Art und Weise der Datenverarbeitung zu erteilen.

4.2 Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen beim Auftragnehmer zu kontrollieren. Dies kann durch:

Einholung von Auskünften
Einsichtnahme in relevante Unterlagen
Durchführung von Vor-Ort-Inspektionen (nach angemessener Vorankündigung)
Beauftragung unabhängiger Prüfer

erfolgen. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.

§ 5 Unterauftragsverhältnisse

5.1 Genehmigung von Unterauftragnehmern

Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur mit vorheriger schriftlicher oder textförmiger Genehmigung des Auftraggebers einsetzen.

5.2 Bereits genehmigte Unterauftragnehmer

Der Auftraggeber erteilt hiermit seine Genehmigung für folgende bereits im Einsatz befindliche Unterauftragnehmer:

Unterauftragnehmer	Leistung	Standort
[NAME]	[Z.B. Rechenzentrum]	[ORT, LAND]
Weitere Unterauftragnehmer hier eintragen

5.3 Informationspflicht

Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Auftraggeber hat die Möglichkeit, gegen solche Änderungen innerhalb von [14 TAGEN] Einspruch zu erheben.

5.4 Vertragliche Pflichten

Der Auftragnehmer stellt sicher, dass dem Unterauftragnehmer im Wesentlichen dieselben datenschutzrechtlichen Pflichten auferlegt werden, wie sie im vorliegenden Vertrag vereinbart sind.

§ 6 Datenschutzverletzungen und Meldepflichten

6.1 Meldung von Verletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme.

6.2 Inhalt der Meldung

Die Meldung muss mindestens folgende Informationen enthalten:

Art der Verletzung des Schutzes personenbezogener Daten
Kategorien und ungefähre Anzahl betroffener Personen
Kategorien und ungefähre Anzahl betroffener Datensätze
Wahrscheinliche Folgen der Verletzung
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
Name und Kontaktdaten des Ansprechpartners

6.3 Unterstützung

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und betroffenen Personen.

§ 7 Datenübermittlung in Drittländer

7.1 Grundsatz

Die Verarbeitung personenbezogener Daten findet ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) statt.

7.2 Ausnahmen

Eine Datenübermittlung in Drittländer (Länder außerhalb der EU/EWR) ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers und unter Beachtung der Art. 44 ff. DSGVO zulässig. In diesem Fall sind geeignete Garantien (z.B. EU-Standardvertragsklauseln, Binding Corporate Rules) zu vereinbaren.

§ 8 Vergütung

Die Vergütung für die Leistungen des Auftragnehmers richtet sich nach dem zwischen den Parteien geschlossenen Hauptvertrag. Zusätzliche Aufwendungen, die dem Auftragnehmer durch Weisungen des Auftraggebers oder durch Kontrollmaßnahmen entstehen, sind gesondert zu vergüten, sofern diese nicht bereits im Hauptvertrag enthalten sind.

§ 9 Haftung

9.1 Haftung des Auftragnehmers

Der Auftragnehmer haftet für Schäden, die durch eine rechtswidrige Datenverarbeitung oder durch eine nicht weisungsgemäße Handlung verursacht werden, soweit er nicht nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO).

9.2 Freistellung

Der Auftragnehmer stellt den Auftraggeber von allen Ansprüchen Dritter frei, die aufgrund schuldhafter Verstöße des Auftragnehmers gegen datenschutzrechtliche Bestimmungen geltend gemacht werden.

§ 10 Schlussbestimmungen

10.1 Änderungen

Änderungen und Ergänzungen dieses Vertrages bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.

10.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

10.3 Anwendbares Recht und Gerichtsstand

Für diesen Vertrag gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, [ORT].

10.4 Anlagen

Folgende Anlagen sind Bestandteil dieses Vertrages:

Anlage 1: Technische und organisatorische Maßnahmen (TOM)
Anlage 2: Liste der genehmigten Unterauftragnehmer

Auftraggeber

Sören Ottenjahn
abo-host.de
Lübecker Str. 13c
22087 Hamburg

Ort, Datum

Hamburg, [TT.MM.JJJJ]

Unterschrift

Sören Ottenjahn

Auftragnehmer

[FIRMA]
[STRAßE]
[PLZ ORT]

Ort, Datum

[ORT, TT.MM.JJJJ]

Unterschrift

[NAME DES UNTERZEICHNERS]

Anlage 1: Technische und Organisatorische Maßnahmen (TOM)

Hinweis: Diese Maßnahmen müssen vom Auftragnehmer (Hosting-Provider) ausgefüllt werden. Die nachfolgenden Beispiele dienen als Orientierung.

1. Zutrittskontrolle

Ziel: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren

Zugangskontrollen zu Rechenzentren (Schlüsselkarten, biometrische Scanner)
Videoüberwachung der Zugangsbereiche
Besucherregelung mit Protokollierung
Alarmanlage
[WEITERE MAßNAHMEN ERGÄNZEN]

2. Zugangskontrolle

Ziel: Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden

Benutzer-Authentifizierung mit Passwort
Zwei-Faktor-Authentifizierung (2FA)
Automatische Sperrung nach Inaktivität
Protokollierung von Zugriffen
Differenzierte Berechtigungskonzepte
[WEITERE MAßNAHMEN ERGÄNZEN]

3. Zugriffskontrolle

Ziel: Sicherstellen, dass ausschließlich zugriffsberechtigte Personen auf die Daten zugreifen können

Rechteverwaltung mit rollenbasierten Zugriffsrechten
Prinzip der minimalen Rechtevergabe
Protokollierung aller Zugriffe
Verschlüsselung sensibler Daten
[WEITERE MAßNAHMEN ERGÄNZEN]

4. Weitergabekontrolle

Ziel: Verhindern, dass Daten unbefugt gelesen, kopiert oder entfernt werden

Verschlüsselung bei Datenübertragung (SSL/TLS)
VPN für Remote-Zugriffe
Protokollierung von Datenexporten
E-Mail-Verschlüsselung
[WEITERE MAßNAHMEN ERGÄNZEN]

5. Eingabekontrolle

Ziel: Nachvollziehbarkeit, wer wann welche Daten eingegeben, verändert oder entfernt hat

Protokollierung aller Dateneingaben und -änderungen
Versionsverwaltung
Nachvollziehbare Dokumentation
[WEITERE MAßNAHMEN ERGÄNZEN]

6. Auftragskontrolle

Ziel: Sicherstellen, dass Daten nur entsprechend den Weisungen verarbeitet werden

Abschluss von Auftragsverarbeitungsverträgen
Klare Weisungsregelungen
Kontrollmechanismen
Dokumentation der Verarbeitungstätigkeiten
[WEITERE MAßNAHMEN ERGÄNZEN]

7. Verfügbarkeitskontrolle

Ziel: Schutz vor Datenverlust und Sicherstellung der Verfügbarkeit

Regelmäßige Backups (täglich/wöchentlich)
Redundante Systeme und Speicherung
Unterbrechungsfreie Stromversorgung (USV)
Notfallkonzept und Disaster Recovery Plan
Firewall und Virenschutz
[WEITERE MAßNAHMEN ERGÄNZEN]

8. Trennungskontrolle

Ziel: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

Logische Trennung durch Mandantenfähigkeit
Physische Trennung durch separate Server/Systeme
Datenbanktrennungen
[WEITERE MAßNAHMEN ERGÄNZEN]

Anlage 2: Genehmigte Unterauftragnehmer

Unterauftragnehmer	Anschrift	Leistung	Standort Datenverarbeitung
[NAME]	[ADRESSE]	[LEISTUNG]	[ORT, LAND]
Weitere Unterauftragnehmer hier eintragen

Hinweise zur Verwendung dieses AVV:

Personalisierung: Ersetzen Sie alle [PLATZHALTER] mit den korrekten Daten Ihres Hosting-Providers
TOM ausfüllen: Fordern Sie von Ihrem Provider eine detaillierte Liste der technischen und organisatorischen Maßnahmen an
Unterauftragnehmer: Lassen Sie sich alle Unterauftragnehmer (z.B. Rechenzentren) nennen
Doppelte Ausfertigung: Erstellen Sie zwei Exemplare, die von beiden Parteien unterschrieben werden
Archivierung: Bewahren Sie den AVV während der gesamten Vertragslaufzeit und mindestens 3 Jahre danach auf
Aktualisierung: Prüfen Sie den AVV jährlich auf Aktualität und passen Sie ihn bei Änderungen an

Stand: Dezember 2024 | Version 1.0