Auftragsverarbeitungsvertrag

Stand: 2026-06-12

Als PDF herunterladen

Auftragsverarbeitungsvertrag

Stand: 2026-06-12

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
für die Nutzung der SaaS-Anwendung „Datenschutz-Cloud“

Stand: 11.06.2026

Vertragspartner

zwischen

[Name/Firma des Verantwortlichen]
[Straße und Hausnummer]
[Postleitzahl] [Ort]
[Land]
[Ansprechpartner]
[E-Mail-Adresse]

– nachfolgend „Verantwortlicher“ oder „Auftraggeber“ genannt –

und

Stefan Keller – The SysAdminHub
Stefan Keller
Sonthofer Str. 2
87527 Sonthofen
Deutschland

E-Mail: support@datenschutz-cloud.eu

– nachfolgend „Auftragsverarbeiter“ oder „Auftragnehmer“ genannt –

gemeinsam auch „Parteien“ genannt.

1. Gegenstand des Vertrags

1.1

Dieser Auftragsverarbeitungsvertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

1.2

Gegenstand der Auftragsverarbeitung ist die Bereitstellung, der Betrieb, die Wartung, Sicherung und Unterstützung der SaaS-Anwendung „Datenschutz-Cloud“.

1.3

Die Datenschutz-Cloud dient der Datenschutzdokumentation und dem Datenschutzmanagement des Verantwortlichen. Die Anwendung kann insbesondere Funktionen zur Verwaltung von Verarbeitungstätigkeiten, technischen und organisatorischen Maßnahmen, Dienstleistern, Datenschutz-Folgenabschätzungen, Maßnahmen, Audits, Datenschutzvorfällen, Dokumenten und Benutzern enthalten.

1.4

Dieser Vertrag ergänzt die zwischen den Parteien bestehenden Nutzungsbedingungen, AGB, Angebote, Tarifvereinbarungen oder sonstigen Hauptverträge zur Nutzung der Datenschutz-Cloud.

1.5

Im Falle von Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und sonstigen vertraglichen Regelungen gehen die Regelungen dieses Auftragsverarbeitungsvertrags in Bezug auf die Verarbeitung personenbezogener Daten im Auftrag vor.

2. Dauer der Verarbeitung

2.1

Die Dauer der Auftragsverarbeitung richtet sich nach der Laufzeit des Hauptvertrags über die Nutzung der Datenschutz-Cloud.

2.2

Nach Vertragsende stellt der Auftragsverarbeiter dem Verantwortlichen für 30 Tage eine Exportmöglichkeit bereit, soweit dies technisch möglich und vertraglich vorgesehen ist.

2.3

Nach Ablauf der Exportfrist ist der Auftragsverarbeiter berechtigt, die im Auftrag verarbeiteten personenbezogenen Daten zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe einer Löschung entgegenstehen.

2.4

Daten in Backups werden nach Ablauf der jeweils geltenden Backup-Aufbewahrungsdauer gelöscht oder überschrieben. Eine gezielte Einzellöschung aus bestehenden Sicherungsbeständen ist technisch nur eingeschränkt möglich.

3. Art und Zweck der Verarbeitung

3.1

Art der Verarbeitung ist insbesondere:

  • Erheben
  • Erfassen
  • Speichern
  • Strukturieren
  • Organisieren
  • Ordnen
  • Anpassen
  • Verändern
  • Auslesen
  • Abfragen
  • Verwenden
  • Bereitstellen
  • Übermitteln innerhalb der Anwendung
  • Exportieren
  • Sichern
  • Wiederherstellen
  • Löschen
  • Protokollieren
  • technische Verarbeitung im Rahmen des Betriebs der SaaS-Anwendung

3.2

Zweck der Verarbeitung ist die Bereitstellung einer Softwarelösung zur Datenschutzdokumentation und zum Datenschutzmanagement des Verantwortlichen.

3.3

Die Verarbeitung erfolgt ausschließlich im Rahmen des Hauptvertrags, dieses Auftragsverarbeitungsvertrags und nach dokumentierter Weisung des Verantwortlichen.

4. Kategorien personenbezogener Daten

4.1

Je nach Nutzung der Datenschutz-Cloud durch den Verantwortlichen können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Stammdaten
  • Kontaktdaten
  • Beschäftigtendaten
  • Kundendaten
  • Interessentendaten
  • Lieferantendaten
  • Dienstleisterdaten
  • Daten von Ansprechpartnern bei Geschäftspartnern
  • Benutzer- und Rolleninformationen
  • Login- und Authentifizierungsdaten
  • Kommunikationsdaten
  • Vertrags- und Abrechnungsdaten
  • technische Protokolldaten
  • Auditlog- und Systemlog-Daten
  • Inhaltsdaten aus Datenschutzdokumentationen
  • Daten in Verarbeitungstätigkeiten
  • Daten in TOM-Dokumentationen
  • Daten in Dienstleister- und AVV-Dokumentationen
  • Daten in Datenschutz-Folgenabschätzungen
  • Daten in Maßnahmen
  • Daten in Audits
  • Daten in Datenschutzvorfällen
  • hochgeladene Dokumente und Dateianhänge

4.2

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO können durch den Verantwortlichen in die Datenschutz-Cloud eingegeben werden, soweit dies für dessen Datenschutzdokumentation erforderlich ist.

4.3

Der Verantwortliche entscheidet eigenverantwortlich, welche personenbezogenen Daten in der Datenschutz-Cloud verarbeitet werden.

5. Kategorien betroffener Personen

Je nach Nutzung durch den Verantwortlichen können insbesondere folgende Kategorien betroffener Personen betroffen sein:

  • Beschäftigte des Verantwortlichen
  • ehemalige Beschäftigte
  • Bewerber
  • Kunden
  • Interessenten
  • Lieferanten
  • Dienstleister
  • Ansprechpartner bei Geschäftspartnern
  • Benutzer der Datenschutz-Cloud
  • Datenschutzbeauftragte oder Datenschutzkoordinatoren
  • sonstige Personen, deren Daten der Verantwortliche in der Datenschutz-Cloud dokumentiert

6. Verantwortlichkeit und Weisungen

6.1

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung, die Rechtmäßigkeit der Weisungen sowie die Wahrung der Rechte betroffener Personen verantwortlich.

6.2

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern der Auftragsverarbeiter nicht durch Unionsrecht oder das Recht eines Mitgliedstaats zu einer Verarbeitung verpflichtet ist.

6.3

Weisungen können sich insbesondere aus dem Hauptvertrag, diesem Auftragsverarbeitungsvertrag, der Nutzung der Anwendung, den vom Verantwortlichen vorgenommenen Einstellungen sowie aus schriftlichen oder in Textform erteilten Einzelweisungen ergeben.

6.4

Weisungen können per E-Mail oder über andere vom Auftragsverarbeiter bereitgestellte Kommunikationswege erteilt werden.

6.5

Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

6.6

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn der Auftragsverarbeiter der Ansicht ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

7. Pflichten des Auftragsverarbeiters

7.1

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur im Rahmen dieses Vertrags und nach dokumentierter Weisung des Verantwortlichen.

7.2

Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.3

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die wesentlichen Maßnahmen sind in Anlage 2 beschrieben.

7.4

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Beantwortung von Anfragen betroffener Personen, soweit dies die Art der Verarbeitung erlaubt.

7.5

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Maßgabe der gesetzlichen Anforderungen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO, insbesondere bei:

  • Sicherheit der Verarbeitung
  • Meldung von Datenschutzverletzungen
  • Benachrichtigung betroffener Personen
  • Datenschutz-Folgenabschätzungen
  • vorheriger Konsultation der Aufsichtsbehörde

7.6

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage Informationen zur Verfügung, die zur Überprüfung der Einhaltung der in Art. 28 DSGVO genannten Pflichten erforderlich sind.

7.7

Der Auftragsverarbeiter führt ein Verzeichnis über Verarbeitungstätigkeiten, soweit hierzu eine gesetzliche Pflicht besteht.

8. Pflichten des Verantwortlichen

8.1

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich.

8.2

Der Verantwortliche stellt sicher, dass die Verarbeitung personenbezogener Daten in der Datenschutz-Cloud auf einer wirksamen Rechtsgrundlage erfolgt.

8.3

Der Verantwortliche ist verantwortlich für:

  • die Auswahl der in die Anwendung eingetragenen Daten
  • die Richtigkeit der Daten
  • die Pflege von Benutzerkonten und Berechtigungen
  • die Erteilung zulässiger Weisungen
  • die Information betroffener Personen
  • die Bearbeitung von Betroffenenrechten
  • die Einhaltung gesetzlicher Aufbewahrungs- und Löschpflichten
  • die rechtzeitige Durchführung von Datenexporten nach Vertragsende

8.4

Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Fehler, Unregelmäßigkeiten oder Datenschutzverletzungen im Zusammenhang mit der Verarbeitung festgestellt werden.

9. Vertraulichkeit

9.1

Der Auftragsverarbeiter verpflichtet alle Personen, die Zugriff auf personenbezogene Daten des Verantwortlichen haben können, zur Vertraulichkeit.

9.2

Die Vertraulichkeitspflicht besteht auch nach Beendigung des Beschäftigungs- oder Auftragsverhältnisses fort.

9.3

Der Zugriff auf personenbezogene Daten ist auf Personen beschränkt, die den Zugriff zur Erfüllung ihrer Aufgaben benötigen.

10. Support- und Administrationszugriff

10.1

Ein Zugriff des Auftragsverarbeiters auf Inhaltsdaten des Verantwortlichen erfolgt nur, soweit dies erforderlich ist.

10.2

Ein Zugriff kann insbesondere erforderlich sein für:

  • technischen Betrieb
  • Fehleranalyse
  • Support auf Anfrage des Verantwortlichen
  • Sicherheitsprüfung
  • Wartung
  • Wiederherstellung nach Störungen
  • Erfüllung gesetzlicher oder vertraglicher Pflichten

10.3

Der Auftragsverarbeiter wird Zugriffe auf Inhaltsdaten des Verantwortlichen auf das erforderliche Maß beschränken.

10.4

Zugriffe werden, soweit technisch möglich und angemessen, protokolliert.

10.5

Der Auftragsverarbeiter wird personenbezogene Daten des Verantwortlichen nicht zu eigenen Zwecken verwenden.

11. Technische und organisatorische Maßnahmen

11.1

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.

11.2

Die Maßnahmen berücksichtigen insbesondere:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Belastbarkeit der Systeme
  • Wiederherstellbarkeit
  • Zugriffskontrolle
  • Zugangskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Trennungskontrolle

11.3

Die aktuell geltenden technischen und organisatorischen Maßnahmen sind in Anlage 2 beschrieben.

11.4

Der Auftragsverarbeiter ist berechtigt, technische und organisatorische Maßnahmen weiterzuentwickeln, sofern das Sicherheitsniveau nicht wesentlich unterschritten wird.

12. Unterauftragnehmer

12.1

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz von Unterauftragnehmern.

12.2

Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragnehmer sind in Anlage 3 aufgeführt.

12.3

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern in geeigneter Weise.

12.4

Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund gegen die Änderung Einspruch erheben.

12.5

Der Auftragsverarbeiter verpflichtet Unterauftragnehmer vertraglich mindestens in dem Umfang, der erforderlich ist, um ein angemessenes Datenschutzniveau sicherzustellen.

12.6

Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Einhaltung der datenschutzrechtlichen Pflichten durch Unterauftragnehmer verantwortlich.

13. Drittlandübermittlungen

13.1

Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums ist nicht vorgesehen.

13.2

Sollte eine Übermittlung in ein Drittland künftig erforderlich werden, erfolgt diese nur auf Grundlage einer geeigneten Rechtsgrundlage und geeigneter Garantien nach der DSGVO.

13.3

Der Verantwortliche wird hierüber informiert, soweit dies gesetzlich erforderlich ist.

14. Unterstützung bei Betroffenenrechten

14.1

Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, wird der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiterleiten, sofern eine Zuordnung möglich ist.

14.2

Der Auftragsverarbeiter wird Betroffenenanfragen nicht eigenständig beantworten, soweit der Verantwortliche hierfür zuständig ist.

14.3

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Betroffenenrechten.

15. Datenschutzverletzungen

15.1

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, möglichst innerhalb von 48 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten, die personenbezogene Daten des Verantwortlichen betreffen.

15.2

Die Information enthält, soweit verfügbar:

  • Art der Datenschutzverletzung
  • betroffene Datenkategorien
  • betroffene Personengruppen
  • voraussichtliche Folgen
  • bereits ergriffene oder vorgeschlagene Maßnahmen
  • Ansprechpartner für Rückfragen

15.3

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten.

16. Kontrollen und Nachweise

16.1

Der Verantwortliche ist berechtigt, die Einhaltung der Regelungen dieses Vertrags zu kontrollieren.

16.2

Kontrollen erfolgen grundsätzlich durch Vorlage geeigneter Nachweise, Dokumentationen, TOM-Beschreibungen, Selbstauskünfte oder vergleichbarer Unterlagen.

16.3

Vor-Ort-Kontrollen sind nur nach vorheriger Abstimmung, während üblicher Geschäftszeiten und unter Wahrung der Vertraulichkeit sowie Sicherheit anderer Kunden und Systeme zulässig.

16.4

Vor-Ort-Kontrollen dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.

16.5

Der Auftragsverarbeiter kann für Vor-Ort-Kontrollen eine angemessene Kostenerstattung verlangen, sofern die Kontrolle nicht aufgrund eines nachweisbaren Pflichtverstoßes erforderlich wurde.

17. Löschung und Rückgabe von Daten

17.1

Nach Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen für 30 Tage eine Exportmöglichkeit bereit, soweit dies technisch möglich und vertraglich vorgesehen ist.

17.2

Nach Ablauf der Exportfrist löscht der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe entgegenstehen.

17.3

Daten in Backups werden nach Maßgabe der Backup-Zyklen gelöscht oder überschrieben.

17.4

Eine gesonderte Löschbestätigung kann auf Anfrage bereitgestellt werden, soweit technisch und organisatorisch möglich.

18. Vergütung besonderer Unterstützungsleistungen

18.1

Unterstützungsleistungen, die über die vertraglich geschuldete Bereitstellung der Datenschutz-Cloud hinausgehen, können gesondert vergütungspflichtig sein.

18.2

Dies betrifft insbesondere umfangreiche Auskünfte, besondere Exporte, individuelle Prüfungen, Vor-Ort-Kontrollen oder außergewöhnliche Unterstützungsleistungen.

18.3

Gesetzlich zwingende Unterstützungspflichten bleiben unberührt.

19. Haftung

19.1

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften und den Regelungen des Hauptvertrags.

19.2

Dieser Auftragsverarbeitungsvertrag begründet keine über den Hauptvertrag hinausgehende Haftung, soweit gesetzlich zulässig.

20. Laufzeit und Beendigung

20.1

Dieser Auftragsverarbeitungsvertrag tritt mit Abschluss des Hauptvertrags oder mit Annahme durch den Verantwortlichen in Kraft.

20.2

Er endet automatisch mit Beendigung des Hauptvertrags, sofern keine gesetzlichen oder vertraglichen Pflichten fortbestehen.

20.3

Vertraulichkeits- und Löschpflichten bleiben auch nach Vertragsende bestehen, soweit dies erforderlich ist.

21. Schlussbestimmungen

21.1

Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform, soweit keine strengere gesetzliche Form vorgeschrieben ist.

21.2

Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

21.3

Es gilt das Recht der Bundesrepublik Deutschland.

21.4

Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.

Anlage 1 – Gegenstand, Art, Zweck, Datenarten und Betroffene

1. Gegenstand der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung, der Betrieb, die Wartung, Sicherung und Unterstützung der SaaS-Anwendung „Datenschutz-Cloud“.

2. Zweck der Verarbeitung

Zweck der Verarbeitung ist die Unterstützung des Verantwortlichen bei der Datenschutzdokumentation und beim Datenschutzmanagement.

Die Datenschutz-Cloud kann insbesondere genutzt werden für:

  • Verzeichnis von Verarbeitungstätigkeiten
  • technische und organisatorische Maßnahmen
  • Dienstleister- und Auftragsverarbeiterverwaltung
  • Datenschutz-Folgenabschätzungen
  • Maßnahmenmanagement
  • Auditmanagement
  • Datenschutzvorfälle
  • Dokumentenverwaltung
  • Benutzer- und Rollenverwaltung
  • Mandantenverwaltung
  • Export von Datenschutzdokumentationen

3. Art der Verarbeitung

Die Verarbeitung umfasst insbesondere:

  • Speichern
  • Erfassen
  • Strukturieren
  • Organisieren
  • Ändern
  • Auslesen
  • Abfragen
  • Bereitstellen
  • Exportieren
  • Sichern
  • Wiederherstellen
  • Löschen
  • Protokollieren

4. Kategorien personenbezogener Daten

Je nach Nutzung durch den Verantwortlichen können insbesondere folgende Datenarten verarbeitet werden:

  • Stammdaten
  • Kontaktdaten
  • Beschäftigtendaten
  • Kundendaten
  • Interessentendaten
  • Lieferantendaten
  • Dienstleisterdaten
  • Benutzer- und Rolleninformationen
  • Login- und Authentifizierungsdaten
  • Kommunikationsdaten
  • Vertrags- und Abrechnungsdaten
  • technische Protokolldaten
  • Auditlog- und Systemlog-Daten
  • Inhaltsdaten aus Datenschutzdokumentationen
  • Daten in Dokumenten und Dateianhängen
  • ggf. besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, sofern der Verantwortliche diese in der Anwendung dokumentiert

5. Kategorien betroffener Personen

Je nach Nutzung durch den Verantwortlichen können insbesondere folgende Personengruppen betroffen sein:

  • Beschäftigte
  • ehemalige Beschäftigte
  • Bewerber
  • Kunden
  • Interessenten
  • Lieferanten
  • Dienstleister
  • Ansprechpartner bei Geschäftspartnern
  • Benutzer der Datenschutz-Cloud
  • Datenschutzbeauftragte
  • Datenschutzkoordinatoren
  • sonstige Personen, deren Daten der Verantwortliche verarbeitet oder dokumentiert

Anlage 2 – Technische und organisatorische Maßnahmen

1. Zugangskontrolle

Maßnahmen zur Verhinderung unbefugten Zugangs zu Verarbeitungssystemen:

  • Betrieb der Anwendung in einer geschützten Serverumgebung
  • Zugriff auf Administrationsbereiche nur für berechtigte Administratoren
  • Passwortgeschützte Benutzerkonten
  • Möglichkeit zur Zwei-Faktor-Authentifizierung, soweit aktiviert
  • Sperrung deaktivierter Benutzerkonten
  • Schutz administrativer Zugänge
  • Verwendung verschlüsselter Verbindungen für administrative Zugriffe, soweit technisch vorgesehen

2. Zugriffskontrolle

Maßnahmen zur Verhinderung unbefugter Nutzung personenbezogener Daten:

  • Rollen- und Berechtigungskonzept innerhalb der Datenschutz-Cloud
  • Mandantentrennung
  • Benutzerverwaltung pro Mandant
  • Einschränkung von Bearbeitungsrechten nach Rollen
  • Zugriff auf Kundendaten durch den Auftragsverarbeiter nur, soweit erforderlich
  • Protokollierung relevanter System- und Sicherheitsereignisse, soweit technisch vorgesehen

3. Mandantentrennung

Maßnahmen zur getrennten Verarbeitung unterschiedlicher Kunden:

  • Logische Trennung von Mandantendaten
  • Mandantenbezogene Zugriffsbeschränkungen
  • Mandantenbezogene Exportfunktionen
  • Serverseitige Prüfung von Zugriffsberechtigungen
  • Rollenabhängige Sichtbarkeit und Bearbeitbarkeit von Daten

4. Weitergabekontrolle

Maßnahmen zur Kontrolle der Weitergabe personenbezogener Daten:

  • Übermittlung personenbezogener Daten nur im Rahmen der Vertragserfüllung
  • Einsatz von Unterauftragnehmern nur gemäß AVV
  • Keine Drittlandübermittlung vorgesehen
  • Zugriff auf produktive Daten nur für berechtigte Personen
  • Verschlüsselte Übertragung über HTTPS/TLS für Webzugriffe

5. Eingabekontrolle

Maßnahmen zur Nachvollziehbarkeit von Eingaben und Änderungen:

  • Auditlog für fachliche Änderungen, soweit in der Anwendung umgesetzt
  • Systemlog für technische und sicherheitsrelevante Ereignisse
  • Protokollierung von Benutzer-, Mandanten- und Systemkontexten, soweit technisch vorgesehen
  • Nachvollziehbarkeit relevanter Änderungen an Datenschutzobjekten

6. Auftragskontrolle

Maßnahmen zur Sicherstellung der weisungsgemäßen Verarbeitung:

  • Verarbeitung nur im Rahmen des Hauptvertrags und dieses AVV
  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
  • Verpflichtung eingesetzter Personen zur Vertraulichkeit
  • Abschluss von AV-Verträgen mit relevanten Unterauftragnehmern
  • Dokumentation eingesetzter Unterauftragnehmer

7. Verfügbarkeitskontrolle

Maßnahmen zum Schutz vor Verlust und zur Wiederherstellung:

  • Tägliche Backups der produktiven Daten
  • Backup-Verwaltung über Backrest
  • Technische Backup-Basis: restic
  • Verschlüsselte Speicherung der Backups im restic-Repository
  • Übertragung der Backup-Daten zum Backup-Ziel über verschlüsselte Verbindung, insbesondere per SFTP
  • Backup-Ziel bei Hetzner innerhalb der EU
  • Aufbewahrungsdauer der Backups derzeit bis zu 3 Monate
  • Zugriff auf Backup-Systeme nur für berechtigte Administratoren
  • Wiederherstellung im Bedarfsfall zur Sicherstellung der Verfügbarkeit

8. Verschlüsselung

Maßnahmen zum Schutz der Vertraulichkeit:

  • HTTPS/TLS für Webzugriffe
  • Verschlüsselte Übertragung von Backups
  • Verschlüsselte Speicherung von Backups durch restic
  • Schutz von Zugangsdaten und Backup-Schlüsseln
  • Speicherung von Passwörtern nur als Hash, soweit Anwendungspasswörter betroffen sind

9. Belastbarkeit und Wiederherstellung

Maßnahmen zur Belastbarkeit der Systeme:

  • Einsatz geeigneter Hosting-Infrastruktur
  • Regelmäßige Datensicherung
  • Möglichkeit zur Wiederherstellung aus Backups
  • Technische und organisatorische Maßnahmen zur Fehleranalyse
  • System- und Sicherheitsprotokolle, soweit technisch vorgesehen

10. Datenschutzfreundliche Voreinstellungen

Maßnahmen zur datenschutzfreundlichen Nutzung:

  • Rollenbasierte Rechtevergabe
  • Mandantenbezogene Datenverarbeitung
  • Trennung von Plattformverwaltung und Mandantendaten
  • Exportmöglichkeit für Mandantendaten
  • Keine nicht notwendigen Tracking- oder Marketing-Cookies vorgesehen
  • Keine Drittlandübermittlung vorgesehen

11. Organisatorische Maßnahmen

  • Beschränkung administrativer Zugriffe auf erforderliche Personen
  • Vertrauliche Behandlung von Zugangsdaten
  • Zweckgebundener Supportzugriff
  • Dokumentation wesentlicher Datenschutz- und Sicherheitsmaßnahmen
  • Prüfung und Aktualisierung der Maßnahmen bei Bedarf

Anlage 3 – Unterauftragnehmer

Der Verantwortliche genehmigt den Einsatz der folgenden Unterauftragnehmer:

1. Hosting-Anbieter

Angabe Inhalt
Name STRATO
Adresse [Adresse aus dem STRATO-AVV bzw. der STRATO-Vertragsdokumentation ergänzen]
Land Deutschland
Zweck Hosting und technische Bereitstellung der Server-/Web-Infrastruktur für die Datenschutz-Cloud.
Datenkategorien Technische Zugriffsdaten, Inhaltsdaten der Anwendung, Datenbankdaten, Uploads, Logdaten.
AVV Ein AV-Vertrag mit STRATO ist abzuschließen bzw. im STRATO-Kundenbereich zu dokumentieren.

2. E-Mail-/SMTP-Infrastruktur

Angabe Inhalt
Name Eigener Mailserver des Auftragsverarbeiters auf Hetzner-Infrastruktur
Technischer Infrastrukturanbieter Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland
Land EU / Deutschland
Zweck Versand systembezogener E-Mails, insbesondere Einladungen, Passwort-Reset-E-Mails, Systembenachrichtigungen, Feedback- und Supportkommunikation.
Datenkategorien E-Mail-Adressen, Namen, Benutzer- und Mandantenbezug, Inhalte systembezogener Nachrichten, technische Mail-Logs.
AVV Ein AV-Vertrag mit Hetzner ist abzuschließen bzw. im Hetzner-Kundenbereich zu dokumentieren.

3. Backup-Infrastruktur

Angabe Inhalt
Name Hetzner Online GmbH
Adresse Industriestraße 25, 91710 Gunzenhausen, Deutschland
Land EU / Deutschland
Zweck Speicherung verschlüsselter Backups der Datenschutz-Cloud.
Technische Umsetzung Backups werden über Backrest verwaltet und basieren technisch auf restic. Die Übertragung erfolgt über eine verschlüsselte Verbindung, insbesondere per SFTP. Die Speicherung erfolgt verschlüsselt im restic-Repository.
Datenkategorien Datenbankdaten, Uploads, technische Konfigurationsdaten, Systemdaten, soweit diese zur Wiederherstellung erforderlich sind.
AVV Ein AV-Vertrag mit Hetzner ist abzuschließen bzw. im Hetzner-Kundenbereich zu dokumentieren.

4. Weitere Unterauftragnehmer

Weitere Unterauftragnehmer werden nur eingesetzt, soweit dies für die Bereitstellung der Datenschutz-Cloud erforderlich ist und die Anforderungen dieses AVV eingehalten werden.

Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen der Unterauftragnehmerliste in geeigneter Weise.

Anlage 4 – Weisungen und Ansprechpartner

1. Weisungsberechtigte Stelle des Verantwortlichen

Weisungsberechtigt ist die im Kundenkonto hinterlegte administrative Ansprechperson oder eine vom Verantwortlichen benannte vertretungsberechtigte Person.

Kunde:
[Name/Firma des Verantwortlichen]

Weisungsberechtigte Person:
[Ansprechpartner]

E-Mail:
[E-Mail-Adresse]

2. Ansprechpartner des Auftragsverarbeiters

Stefan Keller – The SysAdminHub
Stefan Keller
Sonthofer Str. 2
87527 Sonthofen
Deutschland

E-Mail:
support@datenschutz-cloud.eu

3. Form von Weisungen

Weisungen können in Textform erteilt werden, insbesondere per E-Mail.

4. Dokumentation von Weisungen

Der Auftragsverarbeiter dokumentiert Weisungen in angemessener Form, soweit dies zur Nachvollziehbarkeit erforderlich ist.

5. Standardweisungen

Als Standardweisungen gelten insbesondere:

  • Bereitstellung der Datenschutz-Cloud
  • Speicherung der durch den Verantwortlichen eingegebenen Daten
  • Verarbeitung innerhalb der Anwendung entsprechend der Benutzeraktionen
  • Durchführung technischer Sicherungen
  • Durchführung von Wartung und Fehleranalyse
  • Unterstützung bei Supportfällen
  • Bereitstellung von Exportfunktionen
  • Löschung nach Vertragsende gemäß AVV und Hauptvertrag

6. Einzelweisungen

Einzelweisungen, die über den Standardbetrieb hinausgehen, können gesondert vereinbart werden.

Soweit Einzelweisungen einen erheblichen Mehraufwand verursachen, kann der Auftragsverarbeiter eine angemessene Vergütung verlangen, sofern keine gesetzliche Pflicht zur unentgeltlichen Leistung besteht.

Anlage 5 – Annahme des Auftragsverarbeitungsvertrags

Dieser Auftragsverarbeitungsvertrag kann elektronisch angenommen werden, insbesondere durch Bestätigung im Rahmen der Registrierung oder durch Zustimmung innerhalb der Anwendung.

Der Verantwortliche bestätigt mit Annahme dieses Vertrags, dass er diesen Auftragsverarbeitungsvertrag einschließlich Anlagen zur Kenntnis genommen hat und mit dessen Geltung einverstanden ist.

Ort, Datum:
[Datum des Vertragsschlusses]

Für den Verantwortlichen:
[Ansprechpartner]

Für den Auftragsverarbeiter:
Stefan Keller – The SysAdminHub

Dokumentversion: 2026-06-12
Ein unerwarteter Fehler ist aufgetreten. Neu laden

Rejoining the server...

Rejoin failed... trying again in seconds.

Failed to rejoin.
Please retry or reload the page.

The session has been paused by the server.

Failed to resume the session.
Please retry or reload the page.