Auftragsverarbeitungsvertrag

Hinweis: Die finale PDF-Fassung wird derzeit von unserem Datenschutz-Berater geprüft. Die Inhalte unten sind verbindlich; unterschriftsreif erhältst du den Vertrag auf Anfrage über datenschutz@hostingplus.de.

[TODO Anwalt-Review vor Go-Live finalisieren — der folgende Text ist ein Skelett auf Basis gängiger AVV-Vorlagen.]

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand: Bereitstellung und Betrieb der gebuchten Hosting-Leistung (Webspace, Datenbanken, E-Mail-Postfächer, Domains) durch die SLMS GmbH (im Folgenden: Auftragsverarbeiter) für den Kunden (im Folgenden: Verantwortlicher).

(2) Dauer: Der AVV gilt für die Laufzeit des Hauptvertrages über die gebuchten Hosting-Leistungen.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter speichert und verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der gebuchten Leistungen. Er trifft keine eigene inhaltliche Entscheidung über die Verarbeitung.

§ 3 Art der Daten und Kategorien betroffener Personen

Verarbeitet werden grundsätzlich alle Datenarten, die der Verantwortliche im Rahmen seines Web-Auftritts speichert. Dies können sein: Stammdaten, Kontaktdaten, Vertragsdaten, Nutzungsdaten, Inhalts- und Mediendaten von Besuchern und Kunden des Verantwortlichen.

§ 4 Pflichten des Auftragsverarbeiters

• Verarbeitung der Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen;
• Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen;
• Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe Anhang TOM);
• Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12-22 DSGVO);
• Unterstützung bei Datenschutz-Folgenabschätzungen und Meldungen an die Aufsichtsbehörde;
• Löschung oder Rückgabe aller Daten nach Vertragsende, sofern keine gesetzliche Aufbewahrungspflicht besteht.

§ 5 Subunternehmer

Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Subprozessoren) einzusetzen. Eine aktuelle Liste findest du unter /datenschutz/subprozessoren. Wesentliche Änderungen werden mit einer Vorankündigungsfrist von mindestens 30 Tagen angekündigt.

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen ein. Hierzu gehören u. a.:

• Zutritts-, Zugangs- und Zugriffskontrolle (RZ-Zugang nur durch zertifiziertes Personal, Server-Zugang via SSH-Keys, Mehr-Faktor-Authentifizierung)
• Trennungskontrolle (mandantengetrennte Speicherung, separate Datenbanken pro Kunde)
• Pseudonymisierung und Verschlüsselung (TLS 1.3 für alle Verbindungen, ruhende Daten verschlüsselt soweit möglich)
• Verfügbarkeitskontrolle (tägliche Backups, redundante Speicher-Systeme, USV-gepuffertes Rechenzentrum)
• Belastbarkeit der Systeme (Monitoring, Lasttests, dokumentierte Wiederanlauf-Verfahren)
• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

§ 7 Mitteilungspflichten bei Datenpannen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

§ 8 Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, sich vor Beginn der Verarbeitung und während der Vertragslaufzeit von der Einhaltung der TOM zu überzeugen. Der Auftragsverarbeiter stellt dafür alle erforderlichen Informationen zur Verfügung.

§ 9 Schlussbestimmungen

Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Es gilt deutsches Recht; Gerichtsstand ist München.

Stand: 05.06.2026 · Bei Fragen zum AVV: datenschutz@hostingplus.de