DomiXo - IT-Service
Kontaktinfos
DomiXo - IT-Service
Kirchstr. 21
58332 Schwelm
Telefon: +49 (0) 2336 - 9151 461
Telefax: +49 (0) 2336 - 9151 462
E-Mail: Mail senden
Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 DSGVO
zwischen Verantwortlichem und Auftragsverarbeiter
Frank Marten
Adresse:
Kirchstr. 21
58332 Schwelm
Deutschland
Website: www.domixo.de
Der Auftraggeber beauftragt den Auftragnehmer mit der Erbringung von IT-Dienstleistungen, insbesondere im Bereich Webhosting, Server-Hosting, E-Mail-Hosting, Domain-Services und weiteren IT-Services. Im Rahmen dieser Leistungserbringung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers.
Dieser Vertrag zur Auftragsverarbeitung regelt die Rechte und Pflichten beider Vertragsparteien im Hinblick auf den Datenschutz gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
Der Auftragnehmer erbringt für den Auftraggeber folgende Leistungen:
Dieser Auftragsverarbeitungsvertrag gilt für die Dauer der Hauptvertragsbeziehung und endet automatisch mit Beendigung des Hauptvertrages. Die Bestimmungen dieses Vertrages gelten über die Beendigung hinaus, soweit dies für die ordnungsgemäße Löschung oder Rückgabe der Daten erforderlich ist.
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft) dürfen nur nach ausdrücklicher vorheriger Vereinbarung und unter besonderen Schutzmaßnahmen verarbeitet werden.
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. Dies gilt auch für Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen, sofern der Auftraggeber keine anderweitige Weisung erteilt hat. Weisungen werden anfänglich durch diesen Vertrag festgelegt und können danach vom Auftraggeber schriftlich oder in Textform (E-Mail) geändert, ergänzt oder ersetzt werden.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung nach seiner Auffassung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung bis zu ihrer Bestätigung oder Änderung durch den Auftraggeber auszusetzen.
Der Auftragnehmer verpflichtet sich zur Wahrung der Vertraulichkeit. Die Verarbeitung personenbezogener Daten erfolgt nur durch Personen, die:
- zur Verarbeitung autorisiert sind,
- zur Vertraulichkeit verpflichtet wurden oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen (§ 53 BDSG),
- über die einschlägigen Bestimmungen des Datenschutzes unterrichtet wurden.
Diese Verpflichtungen bleiben auch nach Beendigung des Vertragsverhältnisses bestehen.
Der Auftragnehmer hat gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen.
Die detaillierten technischen und organisatorischen Maßnahmen sind in Anlage 1 (TOM) zu diesem Vertrag dokumentiert und Vertragsbestandteil.
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 33 und 34 DSGVO (Meldung von Datenschutzverletzungen). Bei einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragnehmer dies dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.
Die Meldung muss mindestens folgende Informationen enthalten:
- Beschreibung der Art der Datenschutzverletzung
- Kategorien und ungefähre Anzahl betroffener Personen
- Kategorien und ungefähre Anzahl betroffener Datensätze
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
- Name und Kontaktdaten einer Kontaktperson für weitere Informationen
Der Auftragnehmer unterstützt den Auftraggeber:
- bei der Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch)
- bei der Einhaltung der Pflichten zur Datensicherheit gemäß Art. 32 DSGVO
- bei der Meldepflicht gegenüber Aufsichtsbehörden gemäß Art. 33 DSGVO
- bei der Benachrichtigung betroffener Personen gemäß Art. 34 DSGVO
- bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO
- bei vorherigen Konsultationen mit Aufsichtsbehörden gemäß Art. 36 DSGVO
Für den erforderlichen Aufwand zur Unterstützung des Auftraggebers kann der Auftragnehmer eine angemessene Vergütung verlangen, sofern die Unterstützung über den üblichen Vertragsumfang hinausgeht.
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zur Beauftragung von Subunternehmern. Aktuell beauftragt der Auftragnehmer folgende Subunternehmer:
deinserverhost.de
Leistung: Rechenzentrumsdienstleistungen, Server-Infrastruktur
Standort Rechenzentrum: Frankfurt am Main, Deutschland
Datenkategorie: Alle im Rahmen des Hosting verarbeiteten Daten
Sicherheitsstandards: ISO 27001 zertifiziert, TÜV-geprüfte Rechenzentren
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Subunternehmern mindestens 30 Tage im Voraus per E-Mail. Der Auftraggeber hat die Möglichkeit, gegen diese Änderungen innerhalb von 14 Tagen nach Erhalt der Information Einspruch zu erheben.
Erfolgt kein Einspruch innerhalb der Frist, gilt die Zustimmung als erteilt.
Der Auftragnehmer stellt sicher, dass:
- mit dem Subunternehmer ein Vertrag geschlossen wird, der dieselben Datenschutzpflichten auferlegt wie in diesem Vertrag festgelegt
- der Subunternehmer ausreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen getroffen werden
- die Verarbeitung durch den Subunternehmer den Weisungen des Auftraggebers entspricht
- der Auftragnehmer gegenüber dem Auftraggeber die volle Haftung für die Erfüllung der Pflichten des Subunternehmers trägt
Der Auftraggeber hat das Recht, vom Auftragnehmer alle für den Nachweis der Einhaltung der Pflichten aus diesem Vertrag erforderlichen Informationen zu verlangen.
Der Auftraggeber ist berechtigt, Inspektionen - einschließlich Kontrollen vor Ort - sowie Audits durch vom Auftraggeber beauftragte Prüfer durchzuführen, um die Einhaltung dieses Vertrages und der datenschutzrechtlichen Bestimmungen zu überprüfen.
Inspektionen und Audits sind dem Auftragnehmer mindestens 14 Tage im Voraus anzukündigen und in Abstimmung mit dem Auftragnehmer so durchzuführen, dass der Geschäftsbetrieb möglichst wenig beeinträchtigt wird.
Der Auftragnehmer kann die Kontrolle auch durch Vorlage geeigneter Zertifikate, Testberichte oder anderer Nachweise erfüllen (z.B. ISO 27001, SOC 2, Datenschutzaudit).
Der Auftragnehmer kann den Nachweis der Einhaltung der datenschutzrechtlichen Pflichten auch durch folgende Nachweise erbringen:
- Genehmigter Verhaltenskodex gemäß Art. 40 DSGVO
- Zertifizierungsverfahren gemäß Art. 42 DSGVO
- Externe Datenschutzaudits (z.B. durch TÜV oder andere akkreditierte Stellen)
- Berichte über technische und organisatorische Maßnahmen
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht oder gibt der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten zurück, die Gegenstand des Auftrags waren, und löscht alle vorhandenen Kopien.
Von der Löschungs- bzw. Rückgabepflicht ausgenommen sind Daten, die der Auftragnehmer aufgrund rechtlicher Verpflichtungen aufbewahren muss. Diese Daten werden gesperrt und nur für die Zwecke verarbeitet, die ihrer Löschung entgegenstehen. Nach Ablauf der Aufbewahrungspflicht werden auch diese Daten gelöscht.
Der Auftragnehmer bestätigt dem Auftraggeber die vollständige Löschung aller Daten schriftlich. Der Nachweis umfasst:
- Datum und Uhrzeit der Löschung
- Umfang der gelöschten Daten
- Methode der Löschung (inkl. Löschung von Backups)
- Bestätigung der Löschung bei Subunternehmern
Für Schäden, die durch eine Verarbeitung personenbezogener Daten entstehen, haftet der Auftragnehmer gemäß Art. 82 DSGVO, wenn er die ihm obliegenden Pflichten nicht erfüllt hat oder wenn er gegen rechtmäßige Weisungen des Auftraggebers verstoßen hat.
Der Auftragnehmer haftet nicht, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Sind mehrere Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß Art. 82 DSGVO für Schäden verantwortlich, so haftet jeder Verantwortliche oder Auftragsverarbeiter gesamtschuldnerisch für den gesamten Schaden, damit eine wirksame Entschädigung der betroffenen Person sichergestellt ist.
Frank Marten
E-Mail: datenschutz@domixo.de
Telefon: Über Website-Kontaktformular
Beide Parteien informieren sich gegenseitig unverzüglich über Änderungen der Kontaktdaten ihrer Datenschutzbeauftragten bzw. datenschutzrechtlichen Ansprechpartner.
Eine Verarbeitung der personenbezogenen Daten durch den Auftragnehmer in einem Drittland (außerhalb der EU/des EWR) findet nicht statt.
Hauptverarbeitungsstandort: Schwelm, Deutschland
Serverstandort: Frankfurt am Main, Deutschland (via deinserverhost.de)
Alle Verarbeitungen erfolgen innerhalb der Europäischen Union.
Sollte zukünftig eine Verarbeitung in einem Drittland erforderlich werden, wird der Auftragnehmer den Auftraggeber vorab informieren und die Übermittlung nur nach ausdrücklicher Zustimmung des Auftraggebers und unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO durchführen.
Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform oder der Textform (E-Mail mit qualifizierter elektronischer Signatur). Dies gilt auch für die Änderung dieser Schriftformklausel.
Die Bestimmungen dieses Auftragsverarbeitungsvertrages gehen widersprüchlichen Bestimmungen in anderen Vereinbarungen zwischen den Parteien vor, soweit sie die Verarbeitung personenbezogener Daten betreffen.
Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen dadurch nicht berührt. Die unwirksame Bestimmung ist durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
Für diesen Vertrag gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Schwelm, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
Dieser Auftragsverarbeitungsvertrag tritt mit Unterzeichnung durch beide Parteien in Kraft und wird Bestandteil der zwischen den Parteien geschlossenen Hauptverträge.
Folgende Anlagen sind Bestandteil dieses Vertrages:
- Anlage 1: Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO
- Anlage 2: Liste der autorisierten Subunternehmer
- Anlage 3: Dokumentierte Weisungen des Auftraggebers (optional)
Für den Auftraggeber:
Für den Auftragnehmer:
Frank Marten
DomiXo - IT-Service
Anlage 1: Technische und Organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO
zu Auftragsverarbeitungsvertrag zwischen Auftraggeber und DomiXo - IT-Service
Ziel: Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren.
| Maßnahme | Beschreibung |
|---|---|
| Physische Zugangssicherung | Rechenzentrum in Frankfurt am Main mit 24/7 Überwachung, Zutritt nur für autorisiertes Personal via Chip-Karte und Biometrie |
| Videoüberwachung | Alle Zugangsbereiche des Rechenzentrums werden videoüberwacht, Aufzeichnung für 90 Tage |
| Zutrittsprotokolle | Elektronische Erfassung aller Zutritts- und Austrittsvorgänge mit Zeitstempel |
| Sicherheitspersonal | 24/7 Sicherheitsdienst im Rechenzentrum, Besuchermanagement mit Anmeldung und Begleitung |
| Serverraum-Sicherung | Separate Zugangskontrollen für Serverräume, mehrstufiges Authentifizierungssystem |
Ziel: Verhinderung unbefugter Systemnutzung.
| Maßnahme | Beschreibung |
|---|---|
| Benutzer-Authentifizierung | Individuelle Benutzerkonten mit persönlichen Zugangsdaten für alle Systeme |
| Passwort-Richtlinien | Mindestlänge 12 Zeichen, Komplexitätsanforderungen, regelmäßiger Passwortwechsel (90 Tage), Passwort-Historie verhindert Wiederverwendung |
| Zwei-Faktor-Authentifizierung | 2FA verpflichtend für alle administrativen Zugänge, SSH-Key-basierte Authentifizierung für Server-Zugriffe |
| Automatische Sperrung | Account-Sperrung nach 5 Fehlversuchen, automatischer Timeout bei Inaktivität (15 Minuten) |
| Privilegienverwaltung | Rollenbasierte Zugriffskontrolle (RBAC), Least-Privilege-Prinzip, regelmäßige Überprüfung der Berechtigungen |
| VPN-Zugang | Administrativer Zugriff nur über verschlüsselte VPN-Verbindung, keine direkten Internet-Zugänge auf kritische Systeme |
| Zugriffsprotokollierung | Logging aller Login-Vorgänge (erfolgreich und fehlgeschlagen) mit Zeitstempel und IP-Adresse |
Ziel: Sicherstellung, dass Berechtigte nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können.
| Maßnahme | Beschreibung |
|---|---|
| Berechtigungskonzept | Detailliertes Rollen- und Rechtekonzept, Need-to-Know-Prinzip, Trennung von Entwicklungs-, Test- und Produktivumgebung |
| Datenbankzugriffe | Dedizierte Datenbank-Accounts pro Kunde/Anwendung, Zugriffsbeschränkung auf Schema-Ebene |
| Dateisystem-Rechte | Unix-Dateisystemberechtigungen (chmod/chown), Kunden-Isolation durch separate Verzeichnisse |
| FTP/SFTP-Isolation | Chroot-Umgebungen für FTP-Zugänge, Kunden können nur auf eigene Verzeichnisse zugreifen |
| API-Zugriffskontrolle | API-Keys mit definierten Berechtigungen, Rate-Limiting, Token-basierte Authentifizierung |
| Administratorenkontrollen | Separate Admin-Accounts für verschiedene Systeme, 4-Augen-Prinzip bei kritischen Änderungen |
Ziel: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden.
| Maßnahme | Beschreibung |
|---|---|
| Kundentrennung | Logische Trennung der Kundendaten durch separate Datenbanken und Verzeichnisstrukturen |
| Mandantenfähigkeit | Multi-Tenant-Architektur mit strikter Datentrennung auf Datenbankebene |
| Netzwerksegmentierung | VLANs für unterschiedliche Sicherheitszonen, Firewall-Regeln zwischen Segmenten |
| Testdaten | Verwendung anonymisierter/pseudonymisierter Daten in Test- und Entwicklungssystemen, keine Produktivdaten in Nicht-Produktivumgebungen |
| Produktionstrennung | Physische oder virtuelle Trennung von Produktions-, Test- und Entwicklungsumgebungen |
Ziel: Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
| Maßnahme | Beschreibung |
|---|---|
| Passwort-Hashing | Speicherung von Passwörtern ausschließlich als Hash (bcrypt, Argon2), niemals im Klartext |
| Verschlüsselte Speicherung | Sensible Daten (z.B. Zahlungsinformationen) werden verschlüsselt gespeichert (AES-256) |
| Log-Anonymisierung | IP-Adressen in Logfiles werden gekürzt/anonymisiert nach 7 Tagen |
| Tokenisierung | Verwendung von Tokens anstelle direkter Identifikatoren wo möglich |
Ziel: Verhinderung unbefugten Lesens, Kopierens, Veränderns oder Löschens bei elektronischer Übertragung.
| Maßnahme | Beschreibung |
|---|---|
| Transportverschlüsselung | TLS 1.2/1.3 für alle Datenübertragungen (HTTPS, FTPS, SMTPS), Perfect Forward Secrecy (PFS) |
| SSL/TLS-Zertifikate | Kostenlose SSL-Zertifikate für alle Domains, automatische Erneuerung (Let's Encrypt) |
| E-Mail-Verschlüsselung | TLS-verschlüsselte E-Mail-Übertragung, STARTTLS Support, SPF/DKIM/DMARC Konfiguration |
| SFTP statt FTP | Verschlüsseltes SFTP für Dateiübertragungen, unsicheres FTP nur auf Anfrage |
| VPN-Tunnel | Verschlüsselte VPN-Verbindungen für administrative Zugriffe (OpenVPN, WireGuard) |
| Datenträgerversand | Bei physischem Versand: Verschlüsselte Datenträger, versicherter Versand |
Ziel: Nachträgliche Überprüfbarkeit, ob und von wem Daten eingegeben, verändert oder entfernt wurden.
| Maßnahme | Beschreibung |
|---|---|
| Systemlogging | Umfassende Protokollierung aller Systemzugriffe und Datenänderungen mit Zeitstempel und Benutzerkennung |
| Datenbank-Logging | Query-Logs für alle Datenbankoperationen (INSERT, UPDATE, DELETE), Log-Rotation |
| Webserver-Logs | Access-Logs und Error-Logs mit IP, Zeitstempel, User-Agent, Request-Details |
| Audit-Trails | Nachvollziehbare Änderungshistorie für Konfigurationsänderungen |
| Log-Aufbewahrung | Sicherheitsrelevante Logs werden mindestens 90 Tage aufbewahrt |
| Log-Schutz | Logs sind gegen nachträgliche Manipulation geschützt (Write-Once-Read-Many) |
| Versionskontrolle | Git-basierte Versionsverwaltung für Code und Konfigurationen |
Ziel: Schutz der Daten gegen zufällige Zerstörung oder Verlust.
| Maßnahme | Beschreibung |
|---|---|
| Backup-Strategie | Tägliche automatische Backups aller Kundendaten, inkrementelle und vollständige Backups |
| Backup-Aufbewahrung | 7 Tages-Backups, 4 Wochen-Backups, 3 Monats-Backups nach Grandfather-Father-Son-Prinzip |
| Backup-Verschlüsselung | Alle Backups werden verschlüsselt gespeichert (AES-256) |
| Georedundanz | Backups werden an separatem Standort gespeichert, Schutz vor lokalen Katastrophen |
| Wiederherstellung | Getestete Wiederherstellungsprozesse, RTO (Recovery Time Objective) < 4 Stunden, RPO (Recovery Point Objective) < 24 Stunden |
| RAID-Systeme | Hardware-RAID für alle Produktivsysteme (RAID 10), Hot-Spare-Festplatten |
| Redundante Stromversorgung | USV-Systeme (Unterbrechungsfreie Stromversorgung), Notstromaggregate im Rechenzentrum |
| Klimatisierung | Redundante Klimaanlagen, Temperatur- und Feuchtigkeitsüberwachung |
| Brandschutz | Brandmeldeanlage, automatische Löschanlage (Gaslöschsystem), Rauchmelder |
| NVMe-Speicher | Schnelle NVMe-SSDs für optimale Performance und Zuverlässigkeit |
Ziel: Schnelle Reaktion auf Sicherheitsvorfälle.
| Maßnahme | Beschreibung |
|---|---|
| Notfallplan | Dokumentierte Notfall- und Wiederherstellungspläne, jährliche Aktualisierung |
| Incident-Response-Team | Definierte Verantwortlichkeiten und Eskalationswege bei Sicherheitsvorfällen |
| 24/7 Monitoring | Automatisiertes Monitoring aller kritischen Systeme, Alarmierung bei Anomalien |
| Benachrichtigungsprozess | Dokumentierter Prozess zur Benachrichtigung des Auftraggebers bei Datenschutzverletzungen (< 24h) |
| DDoS-Schutz | Aktivierter DDoS-Schutz für alle Hosting-Angebote, automatische Abwehr von Angriffen |
Ziel: Minimierung von Ausfallzeiten.
| Maßnahme | Beschreibung |
|---|---|
| SLA | Service Level Agreement mit 99,9% Verfügbarkeitsgarantie (Ausnahme: geplante Wartungen) |
| Redundante Systeme | Load Balancing, redundante Netzwerkanbindung, mehrere Uplinks |
| Wartungsfenster | Geplante Wartungen werden mindestens 7 Tage im Voraus angekündigt, bevorzugt nachts |
| Monitoring | Proaktives Monitoring von CPU, RAM, Disk, Network, Response Times |
| Statuspage | Transparente Kommunikation über Systemstatus und Störungen |
| Maßnahme | Beschreibung |
|---|---|
| Datenschutzrichtlinien | Dokumentierte Datenschutzrichtlinien und -verfahren, regelmäßige Überprüfung (jährlich) |
| Mitarbeiterschulung | Verpflichtende Datenschutzschulungen für alle Mitarbeiter mindestens einmal jährlich |
| Vertraulichkeitserklärung | Alle Mitarbeiter sind schriftlich auf Vertraulichkeit verpflichtet (§ 53 BDSG) |
| Interne Audits | Jährliche interne Überprüfung der TOM und Datenschutzprozesse |
| Externe Audits | Regelmäßige externe Sicherheitsaudits und Penetrationstests |
| Sicherheitsupdates | Zeitnahe Installation von Sicherheitspatches (kritische Patches < 48h) |
Ziel: Sicherstellung, dass Daten nur nach Weisung verarbeitet werden.
| Maßnahme | Beschreibung |
|---|---|
| Vertragsmanagement | Schriftlicher AVV mit allen Auftraggebern, klare Weisungsstruktur |
| Subunternehmer-Kontrolle | AVV mit allen Subunternehmern (deinserverhost.de), regelmäßige Überprüfung |
| Dokumentation | Lückenlose Dokumentation aller Verarbeitungstätigkeiten (Verzeichnis der Verarbeitungstätigkeiten) |
| Ansprechpartner | Benannter Datenschutz-Ansprechpartner für alle Datenschutzfragen |
| Maßnahme | Beschreibung |
|---|---|
| Firewall | Next-Generation Firewalls auf Netzwerk- und Host-Ebene, automatische Regelaktualisierung |
| Intrusion Detection | IDS/IPS-Systeme zur Erkennung und Abwehr von Angriffen |
| Port-Sicherheit | Nur notwendige Ports sind geöffnet, regelmäßige Port-Scans |
| DDoS-Mitigation | Automatische DDoS-Erkennung und -Filterung inkludiert |
| Netzwerksegmentierung | Trennung von Management-, Produktions- und Backup-Netzwerken |
| VPN-Zugang | Sichere VPN-Verbindungen für administrative Zugriffe (AES-256) |
| Maßnahme | Beschreibung |
|---|---|
| Betriebssystem-Härtung | Gehärtete Linux-Systeme nach Best Practices (CIS Benchmarks), deaktivierte unnötige Dienste |
| Patch-Management | Automatisierte Sicherheitsupdates für Betriebssysteme und Software |
| Anti-Malware | Virenschutz und Malware-Schutz auf Server- und E-Mail-Ebene |
| Spam-Schutz | Integrierter Spam- und Virenschutz für E-Mail-Hosting |
| Application Firewall | Web Application Firewall (WAF) zum Schutz vor OWASP Top 10 |
| Container-Isolation | Isolierte Container-Umgebungen (LXC/Docker) für Kunden-Trennung |
| Maßnahme | Beschreibung |
|---|---|
| Datenverschlüsselung | Verschlüsselung sensibler Daten at rest (AES-256) |
| Transportverschlüsselung | TLS 1.2/1.3 für alle Verbindungen (HTTPS, FTPS, IMAPS, SMTPS) |
| Datenbankverschlüsselung | Verschlüsselte Datenbankverbindungen, Encryption at Rest für sensible Felder |
| Backup-Verschlüsselung | Alle Backups werden verschlüsselt (AES-256) |
| Key-Management | Sichere Verwaltung von Verschlüsselungsschlüsseln, regelmäßige Key-Rotation |
| Maßnahme | Beschreibung |
|---|---|
| Hintergrundprüfung | Sorgfältige Auswahl und Überprüfung neuer Mitarbeiter |
| Vertraulichkeitsverpflichtung | Alle Mitarbeiter sind schriftlich zur Vertraulichkeit verpflichtet |
| Schulungen | Regelmäßige Datenschutz- und IT-Sicherheitsschulungen (mindestens jährlich) |
| Zugriffsmanagement | Need-to-Know-Prinzip, Zugriffsrechte werden bei Ausscheiden sofort entzogen |
| Clean-Desk-Policy | Aufgeräumter Arbeitsplatz, keine Ausdrucke mit personenbezogenen Daten |
| Maßnahme | Beschreibung |
|---|---|
| AVV-Pflicht | Abschluss eines AVV mit allen Kunden vor Beginn der Datenverarbeitung |
| AGB | DSGVO-konforme Allgemeine Geschäftsbedingungen |
| Datenschutzerklärung | Transparente und vollständige Datenschutzerklärung auf der Website |
| Vertragsmanagement | Zentrale Verwaltung aller datenschutzrelevanten Verträge |
| Maßnahme | Beschreibung |
|---|---|
| Löschkonzept | Dokumentiertes Löschkonzept mit definierten Löschfristen |
| Automatisierte Löschung | Automatische Löschung von Daten nach Ablauf der Aufbewahrungsfristen |
| Sichere Löschung | Mehrfaches Überschreiben von Datenträgern vor Entsorgung (nach BSI-Vorgaben) |
| Datenträgervernichtung | Physische Vernichtung ausgedienter Datenträger durch zertifizierten Dienstleister |
| Löschbestätigung | Dokumentierte Löschbestätigungen auf Anfrage |
Schwelm, Deutschland (Nordrhein-Westfalen)
Serverstandort:
Rechenzentrum in Frankfurt am Main, Deutschland
Betreiber: deinserverhost.de
Zertifizierungen: ISO 27001, TÜV-zertifiziert
Backup-Standort:
Separater Standort innerhalb Deutschlands (georedundant)
| Maßnahme | Beschreibung |
|---|---|
| Tier-Klassifizierung | Rechenzentrum entspricht Tier III Standard |
| Redundante Systeme | N+1 Redundanz für alle kritischen Komponenten (Strom, Kühlung, Netzwerk) |
| Stromversorgung | USV-Systeme, Notstromaggregate, redundante Netzeinspeisung |
| Klimatisierung | Redundante Klimaanlagen, Temperatur 18-27°C, Luftfeuchtigkeit 40-60% |
| Brandschutz | Frühwarnsystem, automatische Gaslöschanlage, Brandschutztüren F90 |
| Zutritt | Mehrstufiges Sicherheitssystem, biometrische Zugangskontrollen, 24/7 Überwachung |
| Netzwerkanbindung | Mehrere unabhängige Carrier, 10 Gbit/s Anbindung, redundante Uplinks |
| Maßnahme | Beschreibung |
|---|---|
| NVMe-Speicher | Schnelle NVMe-SSDs für optimale Performance |
| PHP-Limits | Bis zu 2048 MB Memory Limit, 1200 Sek. Script-Laufzeit |
| Kunden-Isolation | Separate PHP-FPM Pools pro Kunde, Ressourcen-Limits |
| SSL-Zertifikate | Kostenlose SSL-Zertifikate inklusive (Let's Encrypt) |
| Automatische Backups | Tägliche Backups inklusive, 7 Tage Aufbewahrung |
| Maßnahme | Beschreibung |
|---|---|
| Spam-Filter | Mehrschichtiger Spam-Schutz (SpamAssassin, Greylisting) |
| Virenschutz | Automatische Virenprüfung aller ein- und ausgehenden E-Mails (ClamAV) |
| Verschlüsselung | TLS-Verschlüsselung für SMTP, IMAP, POP3 |
| SPF/DKIM/DMARC | E-Mail-Authentifizierung zur Verhinderung von Spoofing |
| Webmail | Sicherer Webmail-Zugang via HTTPS |
| Maßnahme | Beschreibung |
|---|---|
| Automatische Updates | Automatische WordPress Core-Updates für Sicherheitspatches |
| Malware-Scans | Regelmäßige Malware-Scans der WordPress-Installationen |
| Login-Schutz | Brute-Force-Schutz, Limit Login Attempts |
| WAF | Web Application Firewall speziell für WordPress |
| Maßnahme | Beschreibung |
|---|---|
| DSGVO-Konformität | Server in Deutschland, DSGVO-konforme Konfiguration |
| Ende-zu-Ende-Verschlüsselung | Möglichkeit zur Client-seitigen Verschlüsselung |
| Zwei-Faktor-Authentifizierung | 2FA für alle Nextcloud-Accounts verfügbar |
| Versionierung | Automatische Dateiversionierung, Wiederherstellung älterer Versionen |
- Datenschutz-Grundverordnung (DSGVO / EU 2016/679)
- Bundesdatenschutzgesetz (BDSG)
- Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
- Telemediengesetz (TMG)
- IT-Sicherheitsgesetz
- ISO/IEC 27001 (Informationssicherheits-Managementsystem)
- BSI IT-Grundschutz
- OWASP Top 10 (Web Application Security)
- CIS Benchmarks (Center for Internet Security)
- PCI DSS Grundsätze (bei Zahlungsverkehr)
| Dokument | Beschreibung |
|---|---|
| Verarbeitungsverzeichnis | Vollständiges Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO |
| Datenschutz-Folgenabschätzung | DSFA bei risikoreichen Verarbeitungen gemäß Art. 35 DSGVO |
| Löschkonzept | Dokumentierte Löschfristen und -prozesse |
| Notfallhandbuch | Incident Response Plan, Business Continuity Plan |
| Sicherheitsrichtlinien | Interne IT-Sicherheits- und Datenschutzrichtlinien |
Diese technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und dem aktuellen Stand der Technik angepasst. Der Auftraggeber wird über wesentliche Änderungen informiert.
| Version | Datum | Änderung |
|---|---|---|
| 1.0 | TT.MM.JJJJ | Erstversion |
Der Auftraggeber bestätigt, dass er die vorstehend beschriebenen technischen und organisatorischen Maßnahmen zur Kenntnis genommen hat und diese als angemessen und ausreichend für die vereinbarte Datenverarbeitung erachtet.
Die beschriebenen Maßnahmen entsprechen dem aktuellen Stand der Technik. DomiXo - IT-Service behält sich vor, diese Maßnahmen weiterzuentwickeln und dem technologischen Fortschritt anzupassen, sofern dadurch das Sicherheitsniveau nicht abgesenkt wird. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt.
Für den Auftraggeber:
Für den Auftragnehmer:
Frank Marten
DomiXo - IT-Service
Anlage 2: Liste der Subunternehmer
zu Auftragsverarbeitungsvertrag zwischen Auftraggeber und DomiXo - IT-Service
Gemäß § 5 des Auftragsverarbeitungsvertrages setzt DomiXo - IT-Service folgende Subunternehmer für die Erbringung der vereinbarten Leistungen ein:
| Angabe | Details |
|---|---|
| Firma | deinserverhost.de |
| Anschrift | Deutschland (genaue Adresse auf Anfrage) |
| Leistungsumfang |
• Bereitstellung von Rechenzentrumsinfrastruktur • Server-Housing und Server-Hosting • Netzwerkanbindung und Konnektivität • Physische Sicherheit der Serverinfrastruktur • Stromversorgung und Klimatisierung • Hardware-Wartung und -Support |
| Standort der Datenverarbeitung | Rechenzentrum Frankfurt am Main, Deutschland |
| Art der verarbeiteten Daten | Alle im Rahmen des Hosting verarbeiteten personenbezogenen Daten |
| Vertragliche Grundlage | Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO |
| Sicherheitsmaßnahmen |
• ISO 27001 zertifiziertes Rechenzentrum • TÜV-geprüfte Sicherheitsstandards • Tier III Rechenzentrum • 24/7 Überwachung und Sicherheitsdienst • Redundante Systeme (Strom, Kühlung, Netzwerk) |
| Drittlandtransfer | Nein - Verarbeitung erfolgt ausschließlich in Deutschland/EU |
DomiXo - IT-Service hat mit deinserverhost.de einen Auftragsverarbeitungsvertrag geschlossen, der denselben Datenschutzstandards entspricht wie dieser Vertrag. Eine Kopie des Subunternehmer-AVV kann auf Anfrage zur Verfügung gestellt werden.
Derzeit werden keine weiteren Subunternehmer eingesetzt. Sollte der Einsatz weiterer Subunternehmer erforderlich werden, wird der Auftraggeber gemäß § 5.2 des Auftragsverarbeitungsvertrages mindestens 30 Tage im Voraus informiert.
Änderungen an der Liste der Subunternehmer werden dem Auftraggeber wie folgt mitgeteilt:
- Mitteilungsform: Per E-Mail an die im Vertrag hinterlegte E-Mail-Adresse
- Mitteilungsfrist: Mindestens 30 Tage vor geplantem Einsatz
- Widerspruchsfrist: 14 Tage nach Erhalt der Mitteilung
- Widerspruchsfolgen: Bei berechtigtem Widerspruch wird der Subunternehmer nicht eingesetzt oder eine alternative Lösung gefunden
Für den Auftraggeber:
Für den Auftragnehmer:
Frank Marten
DomiXo - IT-Service
Anlage 3: Dokumentierte Weisungen (Optional)
zu Auftragsverarbeitungsvertrag zwischen Auftraggeber und DomiXo - IT-Service
Die nachfolgend dokumentierten Weisungen konkretisieren die Verarbeitung personenbezogener Daten durch DomiXo - IT-Service. Diese Weisungen ergänzen die im Hauptvertrag festgelegten allgemeinen Bestimmungen.
Änderungen oder Ergänzungen dieser Weisungen können vom Auftraggeber jederzeit in Textform (E-Mail) erteilt werden. Der Auftragnehmer bestätigt den Erhalt und die Umsetzbarkeit innerhalb von 5 Werktagen. Bei Unklarheiten oder Bedenken hinsichtlich der Rechtmäßigkeit einer Weisung informiert der Auftragnehmer den Auftraggeber unverzüglich.
Diese Anlage ist optional und dient der Dokumentation spezifischer Weisungen. Wenn keine besonderen Weisungen erforderlich sind, können die Standardverfahren gemäß dem Hauptvertrag und der TOM angewendet werden.
Für den Auftraggeber:
Für den Auftragnehmer:
Frank Marten
DomiXo - IT-Service
Dokumentende
Auftragsverarbeitungsvertrag und TOM für DomiXo - IT-Service
Bitte überprüfen Sie vor der Unterzeichnung:
Beide Vertragsparteien sollten eine unterzeichnete Kopie dieses Vertrages inkl. aller Anlagen aufbewahren. Der Vertrag ist Teil der datenschutzrechtlichen Dokumentation und muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können.
Vielen Dank für Ihr Vertrauen!
DomiXo - IT-Service
Inhaber: Frank Marten
Kirchstr. 21
Schwelm, Deutschland
Web: www.domixo.de
E-Mail: info@domixo.de
Datenschutz: datenschutz@domixo.de