Vereinbarung zur Auftragsverarbeitung
Nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)
Version 3.5, Stand: 18.03.2024
Data Processing Agreement
According to Art. 28 (3) General Data Protection Regulation (GDPR)
Version 3.5, status: 18.03.2024
1. Gegenstand und Dauer der Verarbeitung
- 1.1 Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch STRATO AG (nachfolgend Auftragnehmer) als Auftragsverarbeiter für den Kunden als Verantwortlicher (nachfolgend Auftraggeber) gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
- 1.2 Die Dauer der Verarbeitung richtet sich nach der tatsächlichen Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragnehmer.
2. Art und Zweck der Verarbeitung
- 2.1 Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des Auftrags.
- 2.2 Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung (siehe hierzu auch Anhang 1 Leistungsbeschreibung) insbesondere im Bereich Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
- 3.1 Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. Siehe hierzu auch die Leistungsbeschreibung in Anhang 1.
- 3.2 Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. Siehe hierzu auch die Leistungsbeschreibung in Anhang 1.
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
- 4.1 Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.
- 4.2 Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) durch einzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden und den Vertrag außerordentlich zu kündigen. Die Entgeltpflicht des Auftraggebers entfällt mit der Einstellung der Leistung durch den Auftragnehmer. Eine Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder nicht zumutbar ist.
- 4.3 Die vertraglich vereinbarte Datenverarbeitung findet in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern nicht zur Erbringung der Leistung der Datentransfer in Drittstaaten erforderlich ist. Für den Fall, dass eine Übermittlung in einen Drittstaat erfolgt, stellt der Auftragnehmer sicher, dass die Voraussetzungen nach Art. 44 ff. DSGVO erfüllt sind.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
- 5.1 Der Auftragnehmer darf Daten von betroffenen Personen nur aufgrund dokumentierter Weisungen des Auftraggebers verarbeiten. Die Weisungen werden zu Beginn durch den Vertrag festgelegt. Keine Weisungsbindung liegt jedoch vor, wenn ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO gegeben ist (Verpflichtung nach dem Recht der Europäischen Union oder eines Mitgliedstaates). Dies bezieht sich auch auf Übermittlungen von personenbezogenen Daten an Drittländer oder internationale Organisationen. Besteht eine Verarbeitungspflicht entgegen einer Weisung, so informiert der Auftragnehmer vor der Verarbeitung den Auftraggeber über die entsprechende rechtliche Anforderung. Es sei denn, das betreffende Recht verbietet eine solche Information wegen eines wichtigen öffentlichen Interesses. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange auszusetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Die Weisungen sind durch den Auftraggeber zu dokumentieren und mindestens für die Dauer des Auftragsverhältnisses aufzubewahren.
- 5.2 Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Ansprüche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstützung nicht aufgrund eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
- 5.3 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstützung nicht aufgrund eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
- 5.4 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für das Sozialgeheimnis, das Fernmeldegeheimnis nach § 3 TTDSG und – in Kenntnis der Strafbarkeit – für die Wahrung von Geheimnissen der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
- 5.5 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
- 5.6 Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseite des Auftragnehmers veröffentlicht.
- 5.7 Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung verlangen. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
- 5.8 Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen, soweit die Schadensersatzansprüche nicht auf einem Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer beruhen.
6. Pflichten des Auftraggebers
- 6.1 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
- 6.2 Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
- 6.3 Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten.
7. Anfragen betroffener Personen
- Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Auftraggeber dazu ermächtigt. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragnehmer den Auftraggeber bei der Erfüllung seiner Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten befolgt der Auftragnehmer die Weisungen des Auftraggebers. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
8. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
- 8.1 Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auftraggeber ergreift in seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
- 8.2 Die aktuellen technischen und organisatorischen Maßnahmen des Auftragnehmers sind unter folgendem Link einsehbar: https://www.strato.de/agb/tom/. Der Auftragnehmer stellt klar, dass es sich bei den unter dem Link aufgeführten technischen und organisatorischen Maßnahmen lediglich um Beschreibungen technischer Art handelt, welche nicht als Bestandteil dieser Vereinbarung anzusehen sind.
- 8.3 Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO.
- 8.4 Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.
9. Nachweis und Überprüfung
- 9.1 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht im Einzelfall Überprüfungen - einschließlich Inspektionen -, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen, welche dem Auftraggeber aber nicht daran hindern soll, selbst Nachweis gegenüber der für ihn zuständigen Aufsichtsbehörde zu erbringen. Unmittelbare Wettbewerber des Auftraggebers oder Personen, die für unmittelbare Wettbewerber des Auftraggebers tätig sind, kann der Auftragnehmer als Prüfer ablehnen.
- 9.2 Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem Auftraggeber in der Regel die vorliegende Zertifizierung nach ISO 27001 aus. Das jeweils aktuelle Zertifikat stellt der Auftragnehmer auf seiner Webseite zur Verfügung.
- 9.3 Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass die vorbezeichneten Zertifizierungen zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Diese können zu den üblichen Geschäftszeiten ohne übermäßige Störung des Betriebsablaufs in der Regel nach Anmeldung (wenn nicht eine Kontrolle ohne Anmeldung erforderlich erscheint, weil andernfalls der Kontrollzweck gefährdet wäre) durchgeführt werden. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Auftragnehmer wird aktiv an der Durchführung der Kontrolle mitwirken.
- 9.4 Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene Vergütung verlangen, soweit die Kontrolle nicht wegen eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
10. Subunternehmer (weitere Auftragsverarbeiter)
- 10.1 Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.
- 10.2 Die aktuell eingesetzten weiteren Auftragsverarbeiter sind im Anhang aufgeführt. Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.
- 10.3 Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.
- 10.4 Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem sachlichen Grund innerhalb von 14 Tagen nach Zugang der Information über die Änderung gegenüber dem Auftragnehmer erhoben werden. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen Frist (mindestens 14 Tage ) nach Zugang des Einspruchs einstellen. Mit dem Zeitpunkt der Leistungseinstellung durch den Auftragnehmer entfällt die Entgeltpflicht des Auftraggebers.
- 10.5 Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen. Der Auftragnehmer stellt insbesondere durch regelmäßige Überprüfungen sicher, dass die weiteren Auftragsverarbeiter die technischen und organisatorischen Maßnahmen einhalten.
11. Haftung und Schadensersatz
- 11.1 Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
- 11.2 Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweit ausdrücklich etwas anderes vereinbart ist.
12. Vertragslaufzeit, Sonstiges
- 12.1 Die Vereinbarung beginnt mit dem Abschluss durch den Auftraggeber. Sie endet mit Ende des letzten Vertrages unter der jeweiligen Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsächlichen Ende der Verarbeitung.
- 12.2 Der Auftragnehmer kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Insbesondere behält er sich ausdrücklich vor, die vorliegende Vereinbarung einseitig zu ändern, sofern sich wesentliche rechtliche Änderungen im Bezug auf diese Vereinbarung ergeben. Der Auftragnehmer wird den Auftraggeber über die Bedeutung der geplanten Änderung gesondert hinweisen und darüber hinaus dem Auftraggeber eine angemessene Frist zur Erklärung eines Widerspruchs einräumen. Der Auftragnehmer weist den Auftraggeber in der Änderungs-Ankündigung darauf hin, dass die Änderung wirksam wird, wenn er nicht binnen der gesetzten Frist widerspricht. Im Falle eines Widerspruchs durch den Auftraggeber, steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu.
- 12.3 Der Auftraggeber erkennt diese Vereinbarung als Teil der AGB https://www.strato.de/agb/ über die/das von ihm gebuchte/n Produkt/e an. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht.
- 12.4 Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.
- 12.5 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher« im Sinne der DSGVO liegen.
Anhang 1 Leistungsbeschreibung
Domain
- Leistungsbeschreibung: Wenn Sie bei uns nur eine Domain bestellen, kümmern wir uns um die Konnektierung und die Registrierung Ihrer Domain bei der zuständigen Registry. Zudem ist die Aufrechterhaltung der Registrierung Vertragsbestandteil.
- Art der personenbezogenen Daten: Domain, Stammdaten (Name, Adresse, E-Mail, Telefonnummer)
- Kategorien betroffener Personen: Mitarbeiter, Besucher Ihrer Webseite
Mail
- Leistungsbeschreibung: Wenn Sie bei uns ein Mailprodukt bestellen, erhalten Sie eine E-Mail-Adresse mit persönlicher Domain. Wir legen für Sie ein Postfach an, auf das Sie mittels Web zugreifen oder in verschiedene Web Clients einbinden können. Des Weiteren können Sie Termine und Aufgaben erstellen und Kontakte verwalten. Zudem gehört auch ein konfigurierbarer Spamfilter zum Produkt. Zusätzlich haben Sie die Möglichkeit, das Produkt Mailarchivierung zu erwerben und somit Ihre Mails revisionssicher zu speichern. Wenn Sie das Produkt Webmailer erworben haben, können Sie zudem Termine und Aufgaben erstellen und Kontakte verwalten.
- Art der personenbezogenen Daten: Mails, Kontakte, Termine, Domain
- Kategorien betroffener Personen: Mitarbeiter, Besucher der Webseite
HiDrive Cloud Speicher
- Leistungsbeschreibung: Unser Cloud-Speicher ermöglicht die Speicherung Ihrer Daten in unserem Rechenzentrum, sodass Sie von überall und jederzeit auf die Daten zugreifen können. Sie können dabei, je nach bestelltem Paket, z.B. mehrere Nutzer anlegen oder andere Konfigurationen vornehmen. Sie können zudem Freigaben auf bestimmte Ordner erteilen und diese verwalten.
- Art der personenbezogenen Daten: Daten, die Sie in der Cloud speichern
- Kategorien betroffener Personen: Mitarbeiter
Hosting
- Leistungsbeschreibung: Wenn Sie bei uns ein Hosting Paket bestellen, gehören zu unserer Leistung die Registrierung und Konnektierung der Domain sowie die Zurverfügungstellung des Webspaces und der Datenbanken. Inbegriffene Leistungen sind SSL-Zertifikate, SiteLock Scan und Mail. Mittels SSL-Zertifikat werden die Daten zwischen Ihrer Webseite und dem Webserver verschlüsselt übertragen. SiteLock Scan hilft Ihnen dabei, Ihren Webspace frei von Schadsoftware zu halten, indem Ihre Webseite gescannt wird und Sie im Falle eines Fundes informiert werden.
- Art der personenbezogenen Daten: Inhaltsdaten der Webseite, Domain, Daten E-Mail (siehe unter Mailprodukt), Daten Ihrer Webseitbesucher
- Kategorien betroffener Personen: Mitarbeiter, Besucher der Webseite
Server
- Leistungsbeschreibung: Sie können virtuelle und dedizierte Server bei uns bestellen. Je nach gewähltem Produkt, stellen wir Ihnen eigene Hardware oder einen nur geteilten Speicherplatz zur Verfügung. Wir bieten Ihnen von Root Servern (bei welchem Sie die volle Administrationsfreiheit haben) bis hin zu gemanagten Servern (bei welchen wir die Administration übernehmen) unterschiedliche Serverprodukte an. Die konkrete Datenverarbeitung hängt zudem davon ab, welches Betriebssystem Sie wählen und wie die Virtualisierung umgesetzt wird.
- Art der personenbezogenen Daten: Daten, die Sie auf dem Server speichern
- Kategorien betroffener Personen: Mitarbeiter, Besucher der Webseite
Webshop
- Leistungsbeschreibung: Wenn Sie einen Webshop bestellt haben, verarbeiten wir in der Regel auch Daten Ihrer Kunden. Das Produkt ermöglicht es Ihnen, Waren etc. online zu verkaufen. Vertragsbestandteil sind demnach auch viele Funktionen und Plug-Ins, die für Sie hilfreich sind, um Ihre Waren erfolgreich zu verkaufen. Dazu gehört z.B. die Möglichkeit Newsletter zu versenden oder sich Statistiken anzeigen zu lassen sowie die Implementierung unterschiedlicher Zahlungsanbieter oder Anbindung von Social Media.
- Art der personenbezogenen Daten: Daten Ihrer Kunden (Zahlungsdaten, Adressdaten, etc.), Daten zu Ihrem Shop
- Kategorien betroffener Personen: Mitarbeiter, Kunden, Besucher der Webseite
weitere SaaS Produkte
- Leistungsbeschreibung: Wir bieten zudem noch weitere Software-as-a-Service Produkte an. Hierzu gehören z.B. - aber nicht abschließend - Online Marketing Tools, die Möglichkeit, sich eine Webseite mittels Homepage-Baukastens zu erstellen oder erstellen zu lassen oder auch der Vertrieb von Office Anwendungen.
- Art der personenbezogenen Daten: Daten, die Sie in den Diensten speichern
- Kategorien betroffener Personen: Mitarbeiter, Kunden, Besucher der Webseite
Weitere Auftragsverarbeiter
- Stand: 18.03.2024
| Subunternehmer | Adresse | Kurzbeschreibung der Leistung | geeignete Garantien im Falle Drittlandübermittlung |
|---|---|---|---|
| we22 Solutions GmbH | Otto-Ostrowski-Straße 7, 10249 Berlin | STRATO Homepage-Design-Service; Entwicklung, Wartung und Pflege des Homepagebaukastens | - |
| ePages GmbH | Pilatuspool 2, 20355 Hamburg | Entwicklung, Wartung und Pflege der Webshopsoftware | - |
| IONOS SE | Elgendorfer Straße 7, 56410 Montabaur | Bereitstellung, Betrieb und Wartung von Produkten; insbesondere:
| - |
| Dropsuite Ltd. | PTE, Ltd. 01-12 Block 71, Ayer Rajah Crescent, Singapore 139951 | Entwicklung, Wartung, Pflege und Betrieb der STRATO Mail-Archivierungsoftware | EU-Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c DSGVO |
| Virtuozzo International GmbH | Vordergasse 59, 8200 Schaffhausen, Schweiz | Virtualisierungssoftware für V-Server inklusive Support | EU-Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c DSGVO |
| rankingcoach GmbH | rankingCoach GmbH c/o wework, Friesenplatz 4, 50672 Köln | Anwendungen zur Verbesserung der Sichtbarkeit einer Website in Suchmaschinen | - |
| Hewlett-Packard GmbH | Herrenberger Strasse 140, 71034 Böblingen | Support für eine V-Server-Plattform | - |
| Acronis Germany GmbH | Landsbergerstrasse 105, 80339 München | Betrieb und Support Backup Produkt | - |
| SiteLock, LLC | 8701 East Hartford Drive, Suite 200, Scottsdale AZ 85255 US | Erkennung und Beseitigung von Malware | EU-Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c DSGVO |
| Eleven GmbH | Heidestraße 10, 10557 Berlin | Spamfilter für E-Mail | - |
| Plesk International GmbH | Vordergasse 59, 8200 Schaffhausen, Schweiz | Bereitstellung der Server Administrations Software PLESK | EU-Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c DSGVO |
| ServerGuard24 GmbH | Fritz-Schäffer-Straße 1, 53113 Bonn | Betrieb eines Monitoring Services für dedizierte und virtuelle Server | - |
| Open-Xchange GmbH | Olper Huette 5f, 57462 Olpe | Nutzung von OX App Suite und OX Premium Postfächern | - |
1. Subject-matter and duration of the processing
- 1.1 The subject matter of the Agreement is the rights and obligations of the parties in the context of the provision of services in accordance with the service description and general terms and conditions (hereinafter referred to as the main contract), insofar as STRATO AG (hereinafter referred to as the processor) processes personal data on behalf of the client as controller (hereinafter referred to as the client) according to Art. 28 GDPR. This includes all activities that the processor performs to fulfill the contract and that represent a data processing on behalf of the controller. This also applies if the order does not explicitly refer to this Data Processing Agreement.
- 1.2 The duration of the processing corresponds to the term agreed in the contract.
2. Nature and purpose of the processing
- 2.1 The nature of the processing includes all types of processing as defined by the GDPR to fulfill the contract.
- 2.2 Purposes of processing are all purposes required to provide the contracted services (see also Appendix 1 service description) in particular in terms of cloud services, hosting, Software as a Service (SaaS), and IT support.
3. Type of personal data and categories of data subjects
- 3.1 The type of processed data is determined by the client by the product selection, the configuration, the use of the services, and the transmission of data. See also the service description in Appendix 1.
- 3.2 The categories of data subjects are determined by the client via product selection, configuration, the use of the services, and the transmission of data. See also the service description in Appendix 1.
4. Responsibility and processing on documented instructions
- 4.1 The client is solely responsible for complying with the legal requirements of data protection laws, in particular, the legality of the transfer of data to the processor and the legality of data processing under this Agreement ('Controller' in the sense of Art. 4 no. 7 GDPR). This also applies to the purposes and means of processing set out in this Agreement.
- 4.2 The instructions are initially determined by the main contract and can then be changed by the client in writing or in an electronic format (text form) by individual instructions (individual instruction). Verbal instructions must be confirmed immediately in writing or in text form. In the event of proposed changes, the processor shall inform the client of the effects that this will have on the agreed services, in particular, the possibility of providing services, deadlines, and remuneration. If the implementation of the instruction is not reasonable to the processor, the processor is entitled to terminate the processing. Unacceptability exists in particular if the services are provided in an infrastructure that is used by several clients/customers of the processor (shared services), and a change in the processing for individual clients is not possible or is unreasonable.
- 4.3 The contractually agreed data processing takes place as a rule mainly in a Member State of the European Union or in another contracting state of the Agreement via the European Economic Area, unless the transfer of data to third countries becomes necessary in order to provide the service. In the event that a transfer to a third country takes place, the processor shall ensure that the requirements pursuant to Art. 44 ff. GDPR are fulfilled.
5. Rights of the client, obligations of the processor
- 5.1 The processor may process data of data subjects only within the framework of the order and the documented instructions of the client, unless there is an exceptional case within the meaning of Article 28 (3) (a) GDPR (obligation under the law of the European Union or of a Member State). This also refers to transfers of personal data to third countries or international organisations. If there is a processing obligation contrary to an instruction, the processor shall inform the client of the relevant legal requirement before processing. Unless the law in question prohibits such information due to an important public interest.The processor shall inform the client without delay if it considers that an instruction violates applicable laws. The processor may suspend the implementation of the instruction until it has been confirmed or modified by the client. The instructions shall be documented by the Client and kept for at least the duration of the contractual relationship.
- 5.2 In the light of the nature of the processing, the processor shall, as far as possible, assist the client with appropriate technical and organisational measures in order to fulfill the rights of the data subjects laid down in Chapter III of the GDPR. The processor is entitled to demand appropriate compensation from the client for these services. The processor shall provide the client with cost information in advance, insofar as the support was not required due to a breach of law or contract by the processor.
- 5.3 The processor shall assist the client in ensuring compliance with the obligations pursuant to Articles 32 to 36 of the GPDR taking into account the nature of processing and the information available to the processor. The processor is entitled to demand appropriate compensation from the client for these services, insofar as the support was not required due to a breach of law or contract by the processor. The processor shall provide the client with cost information in advance.
- 5.4 The processor ensures that the employees involved in the processing of the data of the client and other persons acting on behalf of the processor are prohibited from processing the data outside the instruction issued. Furthermore, the processor ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. The same applies to the social secrecy, secrecy of telecommunications according to § 3 TTDSG (German Telecommunications and Telemedia Data Protection Act)and - in knowledge of criminal liability - for the preservation of secrets of professional secrecy according to § 203 StGB (German Penal Code). The obligation of confidentiality/secrecy persists even after the order has been completed.
- 5.5 The processor shall inform the client immediately if it becomes aware of violations of the protection of personal data of the client. The processor shall take the necessary measures to safeguard the data and to mitigate possible adverse consequences for the data subjects.
- 5.6 The processor guarantees the written appointment of a Data Protection Officer, who shall carry out his/her activity in accordance with Art. 38 and 39 GDPR. A contact option will be published on the website of the processor.
- 5.7 At the end of the provision of the processing services, the processor will, at the choice of the client, either delete or return the personal data, unless there is an obligation under European Union or national law to retain the personal data, or something else results under any other contractual arrangements. If the client does not exercise this option, deletion is deemed agreed. If the client chooses to return, the processor can demand a reasonable compensation. The processor shall provide the client with cost information in advance.
- 5.8 If a data subject asserts claims for compensation according to Art. 82 GDPR, the processor shall support the client in defending the claims within the scope of its possibilities. The processor may require an appropriate remuneration for this.
6. Obligations of the client
- 6.1 The client must immediately and completely inform the processor if it identifies errors or irregularities with regard to data protection regulations when carrying out the order.
- 6.2 In the event of termination, the client undertakes to delete personal data which it has stored during its service, before the termination of the Contract.
- 6.3 At the request of the processor, the client appoints a contact person for data protection matters.
7. Requests from the data subjects
- If the data subject approaches the processor with requests for correction deletion or information, the processor shall refer the data subject to the Client, provided that an assignment to the Client is possible according to the information of the data subject. The processor shall immediately forward the request of the data subject to the client. The processor shall support the client within the scope of its possibilities. The processor shall not be liable if the request of the data subject is not answered by the client, not answered correctly or not answered in due time.
8. Measures for the security of processing according to Art. 32 GDPR
- 8.1 The processor will take appropriate technical and organisational measures in its area of responsibility to ensure that the processing is carried out in accordance with the requirements of the GDPR and ensure the protection of the rights and freedoms of the data subjects. In accordance with Art. 32 GDPR, the processor shall take appropriate technical and organisational measures to ensure the confidentiality, integrity, availability and resilience of the processing systems and services in the long term.
- 8.2 The current technical and organisational measures of the processor can be viewed at the following link: https://www.strato.de/agb/tom/. The Processor clarifies that the technical and organisational measures listed under the link are merely descriptions of a technical nature which are not to be regarded as part of this Agreement.
- 8.3 The processor will operate a procedure for the regular review of the effectiveness of the technical and organisational measures to ensure the security of processing in accordance with Art. 32 (1) lit. d) GDPR.
- 8.4 Over time, the processor will adapt the measures taken to developments in the state of the art and the risk situation. A change in the technical and organisational measures taken is reserved to the processor, provided that the level of protection under Art. 32 GDPR is not fallen short of.
9. Proof and verification
- 9.1 The processor shall provide the client with all the information necessary to prove compliance with the obligations laid down in Art. 28 GDPR and shall allow and contribute to audits, including inspections, carried out by the client or another auditor appointed by the client. The processor is entitled to demand a declaration of confidentiality from the client and its appointed auditor, which shall not, however, prevent the client from providing evidence to the supervisory authority responsible for him. The Processor may reject direct competitors of the Client or persons who work for direct competitors of the Client as auditors.
- 9.2 As proof of compliance with the obligations set out in Article 28 GDPR, the existing certification in accordance with ISO 27001 is generally sufficient for the Client. The processor shall make the current certificate available on its website.
- 9.3 Insofar as the client asserts legitimate doubts on the basis of factual indications that these certifications are sufficient or appropriate, or if special incidents within the meaning of Art. 33 (1) GDPR in connection with the execution of the data processing on behalf of the client justify this for the client, it may perform inspections. These can be carried out during normal business hours without excessive disruption to the operation usually after registration (unless a control without notification appears necessary because otherwise the purpose of the control would be jeopardised). The client's inspection right has the objective of verifying compliance with the obligations incumbent on a processor in accordance with the GDPR and this Contract.The processor shall actively participate in the implementation of the control.
- 9.4 The processor may require reasonable compensation for information and assistance, insofar as the inspection was not required because of a breach of law or contract by the processor. The processor shall provide the client with cost information in advance.
10. Subprocessors (other processors)
- 10.1 The client grants the processor the general permission to use other processors within the meaning of Art. 28 GDPR for the fulfillment of the contract.
- 10.2 The processors currently used are listed in the attachment. The Client agrees to their use.
- 10.3 The processor shall inform the client if it intends to withdraw or replace other processors. The client may object to such changes.
- 10.4 The objection to the proposed change can only be raised against the processor for a factual reason within 14 days after receipt of the information about the change. In the event of an objection, the processor may choose to provide the service without the intended change or, if the performance of the service without the intended change is not reasonable to the processor, stop providing the service affected by the change to the client within a reasonable time (at least 14 days) after receipt of the objection.
- 10.5 If the processor places orders with other processors, it is the processor's responsibility to impose its data protection obligations under this Contract to the other processor. The processor shall ensure, in particular through regular checks, that the other processors comply with the technical and organisational measures.
11. Liability and compensation
- 11.1 In the case of assertion of a claim for compensation by a data subject person pursuant to Art. 82 GDPR, the parties undertake to support each other and to contribute to the clarification of the underlying facts.
- 11.2 The liability regulation agreed between the parties in the main contract for the provision of services shall also apply to claims arising from this Data Processing Agreement and in the internal relationship between the parties for claims of third parties under Art. 82 GDPR, unless expressly agreed otherwise.
12. Contract period, miscellaneous
- 12.1 The agreement begins with the conclusion by the client. It ends with the end of the last Contract under the respective client number. If any data processing on behalf of the client still takes place after termination of this contract, the regulations of these agreements are valid until the actual end of the processing.
- 12.2 The processor may amend the Agreement at its reasonable discretion with reasonable notice. In particular, the processor expressly reserves the right to unilaterally amend this agreement if major legal changes in relation to this agreement occur. The processor shall separately inform the client of the significance of the planned amendment and shall furthermore grant the client a reasonable period of time to declare an objection. The processor shall inform the client in the notice of amendment that the amendment will become effective if the client does not object within the set period. In the event of an objection by the client, the processor shall have an extraordinary right of termination.
- 12.3 The client acknowledges this agreement as part of the general terms and conditions: https://www.strato.de/agb/ concerning the product(s) booked by him. In the event of any contradictions, the provisions of this Agreement for data processing shall prevail to the provisions of the main contract. Should individual parts of this Agreement be ineffective, this does not affect the validity of the remaining agreements.
- 12.4 The exclusive place of jurisdiction for all disputes arising from and in connection with this contract is the registered office of the processor. This applies subject to any exclusively legal place of jurisdiction. This Contract is subject to the statutory provisions of the Federal Republic of Germany.
- 12.5 If the data of the client is endangered by seizure or confiscation, by a bankruptcy or settlement procedure, or by other events or measures of third parties, the processor shall inform the client immediately. The processor will inform all persons responsible in this connection without delay that the sovereignty and the ownership of the data lie exclusively with the client as the 'Controller' within the meaning of the GDPR.
Appendix 1 Service Description
Domain
- Service description: If you order only one domain from us, we will take care of the connection and the registration of your domain with the responsible registry. In addition, the maintenance of the registration is part of the contract.
- Type of personal data: Domain, master data (name, address, e-mail, telephone number).
- Categories of data subjects: Employees, website visitors
Mail
- Service description: If you order a mail product from us, you will receive an email address with a personal domain. We create a mailbox for you, which you can access via web or integrate into different web clients. Furthermore, you can create appointments and tasks and manage contacts. A configurable spam filter is also part of the product. In addition, you have the option to purchase the Mail Archiving product and thus store your mails in an audit-proof manner. If you have purchased the Webmailer product, you can also create appointments and tasks and manage contacts.
- Type of personal data: Mails, contacts, appointments, domain
- Categories of data subjects: Employees, website visitors
HiDrive Cloud Storage
- Service description: Our cloud storage allows you to store your data in our data center, so that you can access the data from anywhere and at any time. In doing so, you can, depending on the package ordered, create multiple users or make other configurations, for example. You can also grant shares to specific folders and manage them.
- Type of personal data: Data that you store in the cloud
- Categories of data subjects: Employees
Hosting
- Service description: When you order a hosting package from us, our service includes domain registration and connection, as well as providing the web space and databases. Included services are SSL certificates, SiteLock Scan and Mail. By means of SSL certificate, the data between your website and the web server is transferred in encrypted form. SiteLock Scan helps you keep your web space free of malware by scanning your website and notifying you in case of a find.
- Type of personal data: Website content data, domain, data email (see under mail product), data of your website visitors.
- Categories of data subjects: Employees, website visitors
Server
- Service description: You can order virtual and dedicated servers from us. Depending on the product you choose, we will provide you with your own hardware or only shared storage space. We offer different server products from root servers (where you have full administrative freedom) to managed servers (where we take care of the administration). The specific data processing also depends on which operating system you choose and how virtualization is implemented.
- Type of personal data: Data that you store on the server
- Categories of data subjects: Employees, website visitors
Webshop
- Service description: If you have ordered a webshop, we usually also process data of your customers. The product enables you to sell goods etc. online. Accordingly, part of the contract are also many functions and plug-ins that are helpful for you to sell your goods successfully. This includes, for example, the ability to send newsletters or display statistics, as well as the implementation of different payment providers or connection to social media.
- Type of personal data: Data of your customers (payment data, address data, etc.), data about your store.
- Categories of data subjects: Employees, customers, website visitors
Other SaaS products
- Service description: We also offer other software-as-a-service products. These include, for example - but are not exhaustive - online marketing tools, the possibility to create or have created a website by means of a homepage construction kit or the distribution of office applications.
- Type of personal data: Data that you store in the services
- Categories of data subjects: Employees, customers, visitors to the website
Approved subprocessors/additional processors
- Status: 18.03.2024
| Subprocessor | Address | Brief description of the service | appropriate safeguards in case of third country transfers |
|---|---|---|---|
| we22 Solutions GmbH | Otto-Ostrowski-Straße 7, 10249 Berlin | STRATO homepage design service; development, maintenance and support of the website builder | - |
| ePages GmbH | Pilatuspool 2, 20355 Hamburg | Development and maintenance of the webshops | - |
| 1&1 IONOS SE | Elgendorfer Straße 7, 56410 Montabaur | Provision, operation and maintenance of products; in particular:
| - |
| Dropsuite Ltd. | PTE, Ltd. 01-12 Block 71, Ayer Rajah Crescent, Singapore 139951 | Development, maintenance, support and operation of STRATO Mail Archiving | EU standard data protection clauses pursuant to Art. 46 (2) lit. c GDPR |
| Virtuozzo International GmbH | Vordergasse 59, 8200 Schaffhausen, Schweiz | Virtualization software for V-Server included and support | EU standard data protection clauses pursuant to Art. 46 (2) lit. c GDPR |
| rankingcoach GmbH | rankingCoach GmbH c/o wework Friesenplatz 4 50672 Köln | Applications to improve the visibility of a website in search engines | - |
| Hewlett-Packard GmbH | Herrenberger Strasse 140, 71034 Böblingen | Operation and support for a V-Server platform | - |
| Acronis Germany GmbH | Landsbergerstrasse 105, 80339 München | Operation and support Backup Product | - |
| SiteLock, LLC | 8701 East Hartford Drive, Suite 200, Scottsdale AZ 85255 US | Malware detection and removal | EU standard data protection clauses pursuant to Art. 46 (2) lit. c GDPR |
| Eleven GmbH | Heidestraße 10, 10557 Berlin | Spam filter for email | - |
| Plesk International GmbH | Vordergasse 59, 8200 Schaffhausen, Schweiz | Provision and use of the server administration software PLESK | EU standard data protection clauses pursuant to Art. 46 (2) lit. c GDPR |
| ServerGuard24 GmbH | Fritz-Schäffer-Straße 1, 53113 Bonn | Operation of a monitoring service for dedicated and virtual software servers | - |
| Open-Xchange GmbH | Olper Huette 5f, 57462 Olpe | Use of OX App Suite and OX Premium mailboxes | - |