Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen
jamecs sareliq solutions, Inhaber Jan Metz, Schulstraße 65, 58636 Iserlohn
(nachfolgend „Auftragnehmer")
und dem jeweiligen Kunden (nachfolgend „Auftraggeber") geschlossen und ist Bestandteil des Hauptvertrages über die Erbringung von Hosting-Dienstleistungen.
(1) Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten zur Erbringung der vereinbarten Hosting-, DNS-, Domain- und Server-Dienstleistungen.
(2) Die Verarbeitung erfolgt für die Dauer des Hauptvertrages. Nach Vertragsbeendigung werden die Daten gemäß § 7 dieses AVV gelöscht oder zurückgegeben.
Art der verarbeiteten Daten:
Zweck der Verarbeitung: Bereitstellung und Betrieb der gebuchten IT-Infrastruktur einschließlich automatisierter E-Mail-Spam-Filterung zum Schutz der Systeme und der E-Mail-Kommunikation des Auftraggebers.
Kategorien betroffener Personen: Endnutzer der Systeme des Auftraggebers sowie Absender von E-Mails an die verwalteten Domains des Auftraggebers (im Rahmen der Spam-Filterung).
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist.
(2) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind.
(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen betroffener Personen sowie bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO.
(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, eine Weisung verstoße gegen Datenschutzvorschriften.
Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:
(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung für den Einsatz folgender Unterauftragsverarbeiter:
| Unternehmen | Sitz | Zweck | Drittlandtransfer |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Deutschland | Primäre Serverinfrastruktur (Managed Server, Cloud, Colocation) | Nein (EU/EWR) |
| STRATO AG | Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland | Ergänzende Serverinfrastruktur und Webhosting (je nach Kundenkonfiguration) | Nein (EU/EWR) |
| IONOS SE | Elgendorfer Str. 57, 56410 Montabaur, Deutschland | Ergänzende Serverinfrastruktur und Webhosting (je nach Kundenkonfiguration) | Nein (EU/EWR) |
| INWX GmbH | Obentrautstr. 72, 10963 Berlin, Deutschland | Domain-Registrierung und DNS-Dienste | Nein (EU/EWR) |
| OpenProvider B.V. | Kingsfordweg 151, 1043 GR Amsterdam, Niederlande | Domain-Registrierung (alternativ zu INWX, je nach TLD) | Nein (EU/EWR) |
| ResellerClub (LogicBoxes / Newfold Digital) | 12125 Technology Drive, Eden Prairie, MN 55344, USA | Domain-Registrierung (alternativ zu INWX, je nach TLD) | Ja (USA) — Grundlage: EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) |
| Stripe Payments Europe, Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland | Zahlungsabwicklung (Kreditkarte) | Nein (EU/EWR)* |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | 22-24 Boulevard Royal, L-2449 Luxemburg | Zahlungsabwicklung (PayPal) | Nein (EU/EWR)* |
* Stripe und PayPal agieren bei der Zahlungsabwicklung als eigenverantwortliche Verantwortliche (Art. 4 Nr. 7 DSGVO) und sind kein Auftragsverarbeiter im technischen Sinne. Sie sind der Vollständigkeit halber aufgeführt.
(2) Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen der Unterauftragsverarbeiter mit einer Frist von mindestens 14 Tagen vor Wirksamwerden der Änderung. Der Auftraggeber kann gegen den Einsatz neuer Unterauftragsverarbeiter innerhalb dieser Frist schriftlich Widerspruch einlegen.
(3) Alle eingesetzten Unterauftragsverarbeiter sind vertraglich verpflichtet, ein dem Art. 28 DSGVO entsprechendes Datenschutzniveau einzuhalten.
Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) im Rahmen des technisch Möglichen. Für die Beantwortung der Anfragen ist der Auftraggeber verantwortlich.
(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
(2) Aggregierte Spam-Statistiken werden während der Vertragslaufzeit rollierend für einen Zeitraum von 30 Tagen vorgehalten. Ältere Datenpunkte werden automatisch gelöscht. Nach Vertragsbeendigung werden diese Daten innerhalb der in Abs. 1 genannten Frist gelöscht.
(3) Auf Wunsch des Auftraggebers werden die Daten zuvor in einem gängigen Format zur Verfügung gestellt.
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV festgelegten Pflichten zur Verfügung.