Auftragsverarbeitungsvertrag
AV-Vertrag hier online abschließen
AV Vertrag nach Art. 28 DS GVO
1. Vertragsparteien
1.1 Auftragsverarbeiter
Christoph Steinlechner
Vertreten durch: Christoph Steinlechner
1.2 Verantwortlicher
2. Hauptvertrag
Dieser AV Vertrag gilt für die Leistungen aus dem Hauptvertrag zwischen den Parteien, insbesondere für folgende beauftragte Leistungen.
Ankreuzen oder ergänzen.
3. Gegenstand, Art und Zweck der Verarbeitung
3.1 Gegenstand
Verarbeitung personenbezogener Daten im Rahmen der unter Ziffer 2 genannten Leistungen, zum Betrieb, zur Pflege und zur technischen Betreuung der Website und zugehöriger Systeme des Verantwortlichen.
3.2 Art der Verarbeitung
Speichern
Organisieren
Anpassen und Aktualisieren
Auslesen und Abfragen
Übermitteln, wenn für die Leistung nötig, z. B. an Hosting Anbieter
Löschen
3.3 Zweck
Bereitstellung und Betrieb der Website und ihrer Funktionen
Fehleranalyse und Support
Wartung, Updates, Sicherheitsmaßnahmen
Backup und Wiederherstellung im Störungsfall
Umsetzung von Änderungen nach Weisung des Verantwortlichen
3.4 Dauer
Dieser AV Vertrag gilt für die Laufzeit des Hauptvertrages und endet mit Abschluss der Leistungen, spätestens nach Rückgabe oder Löschung der Daten nach Ziffer 11.
4. Kategorien betroffener Personen
Je nach Nutzung der Website und der beauftragten Leistungen können betroffen sein:
Kunden, Interessenten
Website Besucher
Nutzer von Kontaktformularen
Newsletter Empfänger, wenn der Verantwortliche Newsletter nutzt
Mitarbeiter des Verantwortlichen, wenn Daten auf der Website verarbeitet werden
Sonstige Personen, deren Daten der Verantwortliche in Inhalte oder Systeme einbringt
5. Arten personenbezogener Daten
Je nach Nutzung der Website und der beauftragten Leistungen können verarbeitet werden:
Bestandsdaten, z. B. Name, Firma, Anschrift
Kontaktdaten, z. B. E-Mail, Telefonnummer
Inhaltsdaten, z. B. Nachrichten aus Formularen, freie Texte
Nutzungsdaten, z. B. IP Adresse, Logdaten, Geräteinformationen
Vertrags und Abrechnungsdaten, sofern im Rahmen der Zusammenarbeit übermittelt
Zugangsdaten, wenn der Verantwortliche diese bereitstellt, z. B. WordPress Admin, Hosting Login
Hinweis zu besonderen Kategorien:
6. Weisungen des Verantwortlichen
6.1 Grundsatz
Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen.
6.2 Form
Weisungen erfolgen mindestens in Textform, z. B. E-Mail, Ticket, Projekttool. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
6.3 Prüfung von Weisungen
Hält der Auftragsverarbeiter eine Weisung für datenschutzwidrig, informiert er den Verantwortlichen unverzüglich. Der Auftragsverarbeiter setzt die Weisung aus, bis der Verantwortliche diese bestätigt oder ändert. Offensichtlich rechtswidrige Weisungen führt der Auftragsverarbeiter nicht aus.
7. Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind und diese Verpflichtung auch nach Ende der Tätigkeit fortgilt.
8. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft Maßnahmen nach Art. 32 DS GVO. Details stehen in Anlage 1.
9. Unterauftragsverhältnisse
9.1 Grundsatz
Der Auftragsverarbeiter darf Unterauftragnehmer einsetzen, wenn dies für die Leistung erforderlich ist, insbesondere für Hosting, Backup, Sicherheit und E-Mail Versand im Rahmen der technischen Bereitstellung.
9.2 Information und Widerspruch
Der Auftragsverarbeiter informiert den Verantwortlichen vorab in Textform über beabsichtigte Änderungen bei Unterauftragnehmern. Der Verantwortliche kann binnen 14 Tagen in Textform aus wichtigem Grund widersprechen. Bei begründetem Widerspruch bemühen sich die Parteien um eine zumutbare Alternative. Wenn keine Alternative möglich ist, kann jede Partei den betroffenen Teil der Leistung aus wichtigem Grund beenden.
9.3 Aktuelle Unterauftragnehmer
Die aktuell eingesetzten Unterauftragnehmer stehen in Anlage 2.
10. Unterstützungspflichten
10.1 Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei Anfragen zu Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch, soweit dies die vom Verantwortlichen beauftragten Systeme betrifft.
10.2 Meldungen von Betroffenen
Wenn Betroffene den Auftragsverarbeiter direkt kontaktieren, verweist der Auftragsverarbeiter an den Verantwortlichen und handelt nur nach Weisung.
10.3 Sicherheit, DSFA, Aufsichtsbehörde
Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit erforderlich, bei:
Sicherheitsmaßnahmen nach Art. 32 DS GVO
Meldungen von Verletzungen nach Art. 33 und 34 DS GVO
Datenschutz Folgeabschätzung nach Art. 35 DS GVO
Konsultation der Aufsichtsbehörde nach Art. 36 DS GVO
11. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Verantwortlichen betrifft. Die Meldung enthält, soweit verfügbar:
Art des Vorfalls
betroffene Daten und Personengruppen
mögliche Folgen
ergriffene oder geplante Maßnahmen
12. Rückgabe, Löschung, Sperrung
Nach Ende des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen oder gibt sie zurück, nach Wahl des Verantwortlichen, soweit keine gesetzliche Aufbewahrungspflicht besteht.
Backups werden im Rahmen der technischen Zyklen überschrieben oder gelöscht. Der Auftragsverarbeiter teilt auf Anfrage die üblichen Backup Fristen mit.
13. Kontrollrechte
Der Verantwortliche kann die Einhaltung dieses Vertrages kontrollieren.
Der Auftragsverarbeiter stellt hierfür auf Anfrage geeignete Nachweise bereit, z. B. Beschreibung der TOMs, Unterauftragnehmerliste, Dokumentation von Maßnahmen.
Vor Ort Kontrollen erfolgen nur bei berechtigtem Anlass, nach angemessener Vorankündigung, während üblicher Geschäftszeiten, unter Wahrung von Betriebs und Geschäftsgeheimnissen.
14. Haftung
Es gilt die Haftung nach Art. 82 DS GVO. Im Innenverhältnis haften die Parteien entsprechend Verantwortungsanteil.
Weitere Regelungen zur Haftung aus dem Hauptvertrag bleiben unberührt.
15. Schlussbestimmungen
15.1 Rangfolge
Bei Widersprüchen geht dieser AV Vertrag dem Hauptvertrag vor, soweit es die Auftragsverarbeitung betrifft.
15.2 Textform
Änderungen und Nebenabreden bedürfen der Textform.
15.3 Salvatorische Klausel
Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem Zweck am nächsten kommt.
16. Unterschriften
Verantwortlicher Vertragspartner:
Auftragsverarbeiter:
Christoph Steinlechner
Unterzeichnen und zum Vertragspartner senden
Anlage 1
Technische und organisatorische Maßnahmen nach Art. 32 DS GVO
1. Organisationskontrolle
Rollen und Berechtigungskonzept für Systeme und Kundenzugänge
Dokumentation der Zugänge und Änderungen
Regelung zum Umgang mit Passwörtern und Zwei Faktor Schutz, wenn verfügbar
2. Zutrittskontrolle
Arbeitsgeräte unter persönlicher Kontrolle
Schutz vor unbefugtem Zugriff in Arbeitsumgebung
Keine Speicherung offener Kundendaten auf frei zugänglichen Datenträgern
3. Zugangskontrolle
Individuelle Nutzerkonten
Starke Passwörter
Zwei Faktor Schutz, wenn vom System unterstützt
Sperrung und Entzug von Zugängen nach Ende der Beauftragung
4. Zugriffskontrolle
Zugriff nur nach Erforderlichkeit
Trennung von Kundenprojekten in Konten, Instanzen oder Verzeichnissen, soweit technisch möglich
Protokollierung relevanter Admin Aktionen, soweit vom System bereitgestellt
5. Weitergabekontrolle
Übertragung von Daten nur verschlüsselt, z. B. HTTPS, SFTP, SSH, VPN
Freigabe von Daten an Dritte nur nach Weisung
6. Eingabekontrolle
Nachvollziehbarkeit von Änderungen, z. B. Tickets, Changelogs, WordPress Revisionen, Git, je nach Projektsetup
7. Verfügbarkeitskontrolle
Backups nach Hosting Setup
Updates und Sicherheitsmaßnahmen im vereinbarten Wartungsumfang
Schutz vor Schadsoftware, soweit im Hosting oder Wartungspaket enthalten
8. Trennungskontrolle
Trennung von Umgebungen, wenn genutzt, z. B. Live und Staging
Mandantentrennung über Hosting Konten oder Instanzen, wenn verfügbar
Anlage 2
Unterauftragnehmer
1. Hosting und Infrastruktur, wenn der Verantwortliche Hosting über den Auftragsverarbeiter nutzt
Raidboxes GmbH, Hafenstraße 32, 48153 Münster, Deutschland, Leistung: WordPress Hosting, Serverbetrieb, Monitoring, Support
Hinweis: Raidboxes setzt für Rechenzentrum und Infrastruktur weitere Unterauftragnehmer ein. Die jeweils aktuelle Liste führt Raidboxes.
2. Sonstige Unterauftragnehmer, nur wenn beauftragt
Name Adresse Leistung Beck Service Musterstraße 2 Etiam id velit feugiat, scelerisque velit a, scelerisque nunc. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia curae; Integer dignissim risus non nibh scelerisque, sit amet tincidunt sapien rutrum. Beck Service Musterstraße 2 Etiam id velit feugiat, scelerisque velit a, scelerisque nunc. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia curae; Integer dignissim risus non nibh scelerisque, sit amet tincidunt sapien rutrum.
