Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) | Stand: April 2026

Dieser AVV wird automatisch mit Abschluss eines Hosting-Vertrages mit der TECMATIQ GmbH / Kingdom Hosting wirksam. Eines gesonderten schriftlichen Abschlusses bedarf es nicht.

Präambel

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem jeweiligen Kunden (nachfolgend „Auftraggeber" oder „Verantwortlicher") und der TECMATIQ GmbH, 72488 Sigmaringen (nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter"), und ist Bestandteil des zwischen den Parteien bestehenden Hosting-Vertrages.

Art. 1 – Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zur Erbringung der vertraglich vereinbarten Webhosting-Leistungen, Cloud-Speicher und damit verbundener Dienste. Die Dauer der Verarbeitung entspricht der Laufzeit des Hosting-Vertrages.

Art. 2 – Art und Zweck der Verarbeitung

Art der Daten	Zweck	Betroffene Personen
Websitedaten (Inhalte, Dateien)	Hosting und Bereitstellung	Endnutzer des Kunden
E-Mail-Daten	E-Mail-Hosting	Mitarbeiter des Kunden
Datenbank-Inhalte	Datenbankhosting	Endnutzer des Kunden
Log-Daten (IP-Adressen)	Sicherheit, Fehleranalyse	Websitebesucher des Kunden
Nextcloud-Dokumente	Cloud-Speicher	Kunden-Mitarbeiter, Endnutzer

Art. 3 – Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

Personenbezogene Daten ausschließlich gemäß der dokumentierten Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO)
Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
Die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (Art. 28 Abs. 2 DSGVO)
Den Auftraggeber bei der Wahrnehmung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
Datenschutzverletzungen unverzüglich (spätestens innerhalb von 72 Stunden) zu melden (Art. 33 DSGVO)

Art. 4 – Technische und organisatorische Maßnahmen (TOMs)

Vertraulichkeit: Zugangskontrolle (starke Passwörter, 2FA), Berechtigungskonzept, Mitarbeiterverpflichtung auf Vertraulichkeit
Integrität: Eingabekontrolle, Übertragungsverschlüsselung (TLS 1.3), Hashing sensibler Daten
Verfügbarkeit: Tägliche verschlüsselte Backups auf separaten Systemen, redundante Infrastruktur, Notfallplan
Belastbarkeit: Monitoring 24/7, automatische Skalierung, Penetrationstests
Wiederherstellung: Backup-Tests, RTO < 4h, RPO < 24h
Serverstandort: Ausschließlich Deutschland (Hetzner Nürnberg / Falkenstein), kein Datentransfer in Drittländer

Art. 5 – Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende genehmigte Unterauftragsverarbeiter ein:

Hetzner Online GmbH
Industriestraße 25, 91710 Gunzenhausen
Zweck: Rechenzentrumsbetrieb, physische Serverinfrastruktur
Standort: Deutschland
AVV: vorhanden

Der Auftraggeber erklärt sich mit dem Einsatz dieser Unterauftragsverarbeiter einverstanden. Über den Einsatz neuer Unterauftragsverarbeiter wird der Auftraggeber vorab informiert.

Art. 6 – Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR findet grundsätzlich nicht statt. Sämtliche Server befinden sich in Deutschland.

Art. 7 – Rechte des Auftraggebers

Der Auftraggeber hat das Recht, Kontrollmaßnahmen zur Überprüfung der Einhaltung dieser Vereinbarung durchzuführen. Die Kontrollen können durch eigene Mitarbeiter oder beauftragte Prüfer nach vorheriger Ankündigung (Vorlauf mind. 5 Werktage) erfolgen.

Art. 8 – Löschung nach Auftragsende

Nach Beendigung des Hosting-Vertrages löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers und seiner Endnutzer innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Stand: April 2026 | TECMATIQ GmbH | Rechtsgrundlage: Art. 28 DSGVO