DOKUMENT

Auftragsverarbeitungsvertrag (AVV)

Stand: 2. Juni 2026 · v1 · Auftragsverarbeitung nach Art. 28 DSGVO

Stand: 2. Juni 2026 · v1 · Entwurf — vor Live-Gang anwaltlich prüfen.

Worum geht es?

Sobald wir Hosting- oder Migrationsleistungen für dich erbringen, verarbeiten wir personenbezogene Daten in deinem Auftrag. Die DSGVO (Art. 28) verlangt dafür einen schriftlichen Vertrag zwischen dir (Verantwortlicher) und uns (Auftragsverarbeiter). Diesen schließen wir mit jedem Kunden vor Beginn der Leistung.

Was der AVV regelt

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung sowie die betroffenen Personengruppen und Datentypen
Weisungsrecht des Verantwortlichen
Geheimhaltungspflichten
Technische und organisatorische Maßnahmen (TOM) — siehe Anlage
Einsatz von Unter-Auftragsverarbeitern (Hetzner, Let's Encrypt)
Rechte der Betroffenen und Unterstützung des Verantwortlichen
Meldepflichten bei Datenschutzverletzungen
Rückgabe und Löschung von Daten nach Vertragsende

Wie bekomme ich den AVV?

Wir stellen den AVV als unterschriftsfertiges PDF auf Anfrage zur Verfügung und unterzeichnen ihn vor Vertragsbeginn. Sende uns eine kurze Mail an datenschutz@your-server.info mit dem Betreff „AVV Anforderung".

Sobald der Kundenbereich (Q3 2026) online ist, kannst du den AVV dort direkt digital unterzeichnen und speichern.

Unter-Auftragsverarbeiter

Für die Erbringung der Leistungen setzen wir folgende Unterauftragnehmer ein:

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Zweck: Rechenzentrum, Server-Infrastruktur (Nürnberg, DE). ISO 27001 zertifiziert.
Internet Security Research Group (Let's Encrypt), San Francisco, USA.
Zweck: Ausstellung von SSL-Zertifikaten. Verarbeitung beschränkt auf Domain-Namen und Mail-Adresse des technischen Ansprechpartners. Standardvertragsklauseln.

Mit allen Unterauftragnehmern bestehen die nach Art. 28 DSGVO erforderlichen vertraglichen Regelungen. Über Änderungen informieren wir mit Widerspruchsrecht.

Technische und organisatorische Maßnahmen (TOM) — Kurzfassung

Zutritt zum Rechenzentrum nur für autorisiertes Hetzner-Personal (ISO 27001 zertifiziert)
Zugang zu Servern nur über SSH-Keys, keine Passwortauthentifizierung
Container-Isolation der Kundenwebseiten (Docker)
Reverse-Proxy mit TLS 1.3 (Let's Encrypt), HSTS aktiviert
CrowdSec für Echtzeit-Schutz gegen automatisierte Angriffe
Tägliche verschlüsselte Backups, 14 Tage rollierend
Regelmäßige Malware-Scans (mindestens monatlich)
Daten-Verschlüsselung at-rest auf Backup-Volumes
Dokumentierte Reaktionsprozesse bei Datenschutzverletzungen (Meldung innerhalb 24 h)

Die ausführliche TOM-Liste ist Bestandteil des unterzeichneten AVV.

Stand: 2. Juni 2026 · v1