sanden.hosting
← Zurück

Auftragsverarbeitungsvertrag

Stand: Juni 2026 · gemäß Art. 28 DSGVO

Dieser AVV gilt automatisch für alle Hosting-Kunden, die im Rahmen ihrer Dienste personenbezogene Daten verarbeiten, sofern kein gesonderter Vertrag geschlossen wird.

§ 1 Vertragsgegenstand und Parteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Rechte und Pflichten zwischen dem Hosting-Kunden (nachfolgend „Verantwortlicher") und

Leif Sanden · Sanden Hosting
Schauinslandstr. 4 · 75177 Pforzheim
E-Mail: [email protected]

(nachfolgend „Auftragsverarbeiter")

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der bereitgestellten Hosting-Dienste (VPS, Container, Managed Apps) gemäß den AGB.

§ 2 Art, Umfang und Zweck der Verarbeitung

Art der Verarbeitung

Speicherung, Übermittlung, Abruf und Löschung von Daten im Rahmen des Betriebs der vom Verantwortlichen genutzten Hosting-Infrastruktur.

Zweck

Bereitstellung und Betrieb von Serverkapazitäten (VPS, Container, VMs) für den Verantwortlichen entsprechend der beauftragten Hosting-Leistung.

Kategorien betroffener Personen

Endnutzer und Besucher der vom Verantwortlichen betriebenen Dienste (z. B. Website-Besucher, Nutzer eines WordPress- oder Nextcloud-Systems).

Kategorien personenbezogener Daten

Alle Datenkategorien, die der Verantwortliche im Rahmen seines Dienstes verarbeitet und auf der vom Auftragsverarbeiter bereitgestellten Infrastruktur speichert. Der Auftragsverarbeiter hat keine Kenntnis über den konkreten Inhalt der verarbeiteten Daten.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
  • Sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO).
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen (§ 5 dieses AVV).
  • Den Verantwortlichen unverzüglich zu informieren, falls eine erteilte Weisung gegen geltendes Datenschutzrecht verstößt.
  • Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben (spätestens 30 Tage nach Vertragsende).
  • Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung zu stellen.

§ 4 Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

  • Den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten in der Verarbeitung feststellt.
  • Die Rechtmäßigkeit der Datenverarbeitung auf der bereitgestellten Infrastruktur sicherzustellen.
  • Weisungen schriftlich oder per E-Mail zu erteilen.
  • Den Auftragsverarbeiter von Ansprüchen Dritter freizustellen, die aus einer nicht vertragskonformen Nutzung entstehen.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

ZutrittskontrolleServerinfrastruktur in gesicherten Rechenzentren (IONOS, Deutschland) mit physischer Zugangskontrolle.
ZugangskontrolleSSH-Zugang ausschließlich per Public-Key-Authentifizierung. Root-Passwörter werden nicht dauerhaft im Klartext gespeichert.
ZugriffskontrolleContainer und VMs sind durch Namespaces und cgroups (LXC) bzw. KVM-Virtualisierung voneinander isoliert. Zugriff auf Container-Inhalte nur im technisch notwendigen Umfang.
TrennungskontrolleDaten verschiedener Kunden werden in getrennten Containern/VMs gespeichert und sind technisch voneinander isoliert.
ÜbertragungssicherheitAlle Verbindungen zum Anbieter sind TLS-verschlüsselt. Datenübertragung zwischen Host und Client über verschlüsselte Cloudflare-Tunnel.
WiederherstellbarkeitRegelmäßige Datensicherungen sind nicht im Standardumfang enthalten. Der Verantwortliche ist für Backups selbst verantwortlich.
ServerstandortAusschließlich EU/EWR — IONOS SE, Deutschland. Keine Drittland-Übertragung.

§ 6 Unterauftragnehmer

Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein, denen gegenüber gleichwertige Datenschutzverpflichtungen auferlegt werden:

IONOS SEMannheim, DeutschlandServerinfrastruktur (Bare-Metal-VPS)
Cloudflare Inc.San Francisco, USA (EU-Verarbeitung)CDN, Tunnel, DDoS-Schutz — Datenverarbeitung im EU-Rechenzentrum

Der Einsatz weiterer Unterauftragnehmer wird dem Verantwortlichen vorab mitgeteilt. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.

§ 7 Meldepflichten bei Datenpannen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich — spätestens innerhalb von 24 Stunden nach Bekanntwerden — über Sicherheitsvorfälle, die personenbezogene Daten des Verantwortlichen betreffen könnten. Die Meldung erfolgt per E-Mail an die vom Verantwortlichen zuletzt mitgeteilte Adresse.

§ 8 Laufzeit und Kündigung

Dieser AVV gilt für die Dauer des zugrunde liegenden Hosting-Vertrags und endet automatisch mit dessen Beendigung. Die Löschpflichten aus § 3 bleiben hiervon unberührt und gelten über das Vertragsende hinaus bis zur vollständigen Löschung der Daten.

§ 9 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Änderungen dieses AVV bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Durch die Nutzung von Hosting-Diensten von Sanden Hosting und die Bestätigung der AGB erklärt der Verantwortliche sein Einverständnis mit diesem AVV. Auf Anfrage kann ein gesondert unterzeichnetes Exemplar ausgestellt werden.