Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

Zwischen der Firma

IONOS SE
Elgendorfer Straße 57
56410 Montabaur
Deutschland

– Nachfolgend „Auftragnehmer“ genannt –

und
Firma:
Name:
Straße, Hausnummer:
Postleitzahl, Ort:
Land:
Kundennummer:

– Nachfolgend „Auftraggeber“ genannt –

Präambel

Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die
sich aus der im Einzelvertrag (nachstehend „Vertrag“) in ihren Einzelheiten beschriebenen
Auftragsverarbeitung ergeben. Art. 28 DSGVO stellt spezifische Anforderungen an eine
Auftragsverarbeitung. Zur Wahrung dieser speziellen Anforderungen schließen die
Parteien die nachfolgende Vereinbarung. Sie findet Anwendung auf alle Tätigkeiten, die
mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des
Auftragnehmers, oder durch den Auftragnehmer Beauftragte personenbezogene Daten
(nachstehend „Daten“) des Auftraggebers verarbeiten.
Diese Anlage ist nur gültig in Verbindung mit einem aktiven Vertrag der IONOS SE über
die folgenden Produkte und gilt demgemäß ausschließlich für:

Dedicated Server, Dedicated Hosting, Cloud Server, vServer (VPS), Dynamic Cloud
Server, Virtual Server, Managed Cloud Hosting, Private Cloud, Cloud Backup;

Webhosting, WordPress Hosting, MyWebsite Now, MyWebsite Creator, MyWebsite
Essential, MyWebsite, MyWebsite Shop, MyWebsite Now Shop, Social Buy Button,
Shop Integration, E-Shop, ipayment, Website Design Serive

E-Mail-Marketing, Hi Drive-Onlinespeicher, Managed Nextcloud, Mail Basic, Mail
Business, Hosted Microsoft Exchange, E-Mail-Archivierung, MyBackup.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
(1) Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und
Zweck der Verarbeitung. Gegenstand dieser Anlage ist nicht die zielgerichtete
Nutzung oder Verarbeitung von personenbezogenen Daten durch den
Auftragnehmer. Als Hosting-Dienstleister und Administrator von Server-Systemen
kann auf Seiten des Auftragnehmers allerdings ein Zugriff auf personenbezogene
Daten nicht ausgeschlossen werden. Welche personenbezogenen Daten der
Auftraggeber im Rahmen des Auftragsverhältnisses nutzt bzw. an den
Auftragnehmer übermittelt, obliegt der Verantwortung und Kontrolle des
Auftraggebers.
(2) Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich
aus den Bestimmungen dieser Anlage nicht darüber hinausgehende
Verpflichtungen ergeben.
Version 20210804 Seite 3 von 8
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des
Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der
Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses
Vertrages für die Einhaltung der gesetzlichen Bestimmungen der
Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung
allein verantwortlich („Verantwortlicher“ i.S.v. Art. 4 Nr.7 DS-GVO).
(2) Weisungen werden anfänglich durch den Vertrag festgelegt und können danach
vom Auftraggeber in schriftlicher Form oder in einem elektronischen Format
(Textform“) an die vom Auftragnehmer bezeichnete Stelle durch separate
Weisungen geändert, ergänzt, oder ersetzt werden („Einzelweisung“). Hierzu stellt
der Auftragnehmer dem Auftraggeber im vom Auftragnehmer bereitgestellten
Dienst oder angebotenen Produkt entsprechende system- und/oder
produktbasierende Einstellungsmöglichkeiten zur Verfügung.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des
Auftrages und dokumentierter Weisungen des Auftraggebers verarbeiten, außer es
liegt ein Ausnahmefall im Sinne von Art. 28 Abs. 3 lit. a) DS-GVO vor. Der
Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung
ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Eine Ausführung von
rechtswidrigen Weisungen darf der Auftragnehmer ablehnen.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche
Organisation so gestalten, dass sie den besonderen Anforderungen des
Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen
zum angemessenen Schutz der Daten des Auftraggebers treffen, die den
Anforderungen der Datenschutzgrundverordnung (insbesondere Art. 32 DS-GVO)
genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu
treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme
und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
Sofern auch besondere Kategorien personenbezogener Daten im Rahmen des
Auftragsverhältnisses verarbeitet werden, gewährleistet der Auftragnehmer
zusätzlich die Einhaltung der sich aus § 22 Abs. 2 BDSG ergebenden angemessenen
und spezifischen Maßnahmen.
Version 20210804 Seite 4 von 8
(3) Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten
und zur Minderung möglicher nachteiliger Folgen für betroffene Personen.
(4) Eine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen
ist Bestandteil dieser Vereinbarung (siehe Anhang 1).
(5) Der Auftragnehmer wird die Einhaltung der vereinbarten Schutzmaßnahmen und
deren geprüfter Wirksamkeit durch Bereitstellung eines Zertifikates zu Datenschutz
und Informationssicherheit nachweisen.
(6) Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer
vorbehalten, wobei jedoch sichergestellt wird, dass das vertraglich vereinbarte
(Daten-)Schutzniveau nicht unterschritten wird.
(7) Der Auftragnehmer unterstützt, soweit erforderlich, den Auftraggeber im Rahmen
seiner Möglichkeiten bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen
betroffener Personen, geltend gemachten Ansprüchen betroffener Personen (im
Sinne des Kapitel III der DS-GVO) sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.
(8) Der Auftragnehmer stellt sicher, dass es den mit der Verarbeitung der Daten des
Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen
Personen untersagt ist, Daten außerhalb von Auftraggeberweisung zu verarbeiten.
Ferner stellt der Auftragnehmer sicher, dass sich die zur Verarbeitung der
personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet
haben, oder einer angemessenen gesetzlichen Schweigepflicht unterliegen. Die
Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des
Auftrags fort.
(9) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm
Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt
werden.
(10) Für alle im Rahmen dieser Anlage anfallenden Datenschutzfragen wenden Sie sich
bitte an:

IONOS SE
Der Datenschutzbeauftragte
Elgendorfer Str. 57
56410 Montabaur
datenschutz@ionos.de

(11) Der Auftragnehmer stellt sicher, seinen Pflichten nach Art. 32 Abs.1 lit. d) DS-GVO
nachzukommen, insofern ein Verfahren zur regelmäßigen Überprüfung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
(12) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten,
wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist
eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der
Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die
datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf
Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese
Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.
In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine
Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind
gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.
(13) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende
auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Ebenso
werden nach Auftragsende sämtliche im Besitz des Auftragnehmers befindlichen
sowie mit Unterauftragnehmern geteilte Daten, Unterlagen und erstellte
Verarbeitungs- oder Nutzungsergebnisse gelöscht.
(14) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person
hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der
Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen
seiner Möglichkeiten zu unterstützen.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in
den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. der
datenschutzrechtlichen Bestimmungen feststellt.
(2) Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person
hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, gilt § 3 Abs. 14 dieser Anlage
und die damit verbundene Unterstützungspflicht entsprechend für den
Auftraggeber.
§ 5 Anfragen betroffener Personen
(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung,
oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene
Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber
nach Angaben der betroffenen Person möglich ist.
(2) Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den
Auftraggeber weiter.
(3) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten
nach entsprechender Weisung soweit vereinbart.
(4) Der Auftragnehmer haftet bei Erfüllung seiner Pflichten nicht dafür, wenn das
Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig, oder nicht
fristgerecht beantwortet wird.
§ 6 Kontrollrechte
(1) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem
beauftragten Prüfer erforderlich sein, werden diese zu den üblichen
Geschäftszeiten, ohne Störung des Betriebsablaufs nach Anmeldung und unter
Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der
Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener
Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung
hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und
organisatorischen Maßnahmen abhängig machen. Für die Unterstützung bei der
Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen.
Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen
Tag pro Kalenderjahr begrenzt.
(2) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche
Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich
Absatz 1 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung
ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder
gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem
Strafgesetzbuch strafbewehrt ist. Zudem entfällt in solchen Konstellationen die
Begrenzung des Aufwands von einem Inspektionstag pro Kalenderjahr.
Version 20210804 Seite 7 von 8
§ 7 Drittstaatentransfer
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich
in einem Mitgliedsstaat der Europäischen Union oder in einem anderen
Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
Etwaige Ausnahmen sind der Liste gem. § 8 Abs. 2 dieser Anlage zu entnehmen. Jede
Verlagerung von Teilleistungen oder der gesamten Dienstleistung in ein Drittland
bedarf der vorherigen Zustimmung des Auftraggebers in Schriftform oder
dokumentiertem elektronischen Format und darf nur erfolgen, sofern die
besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
§ 8 Unterauftragnehmer (weitere Auftragsverarbeiter)
(1) Mit der Hinzuziehung von verbundenen und fremden Unternehmen zur Wartung,
Pflege der Rechenzentrumsstruktur, Telekommunikationsdienstleistungen und
Benutzerservice durch den Auftragnehmer ist der Auftraggeber einverstanden.
(2) Eine Liste der aktuell eingesetzten Unterauftragnehmer steht dem Auftraggeber im
Kundenportal stets zum Abruf zur Verfügung. Diese Liste wird fortlaufend
aktualisiert.
(3) Der Auftragnehmer informiert den Auftraggeber mittels der in Absatz 2 genannten
Liste über jede Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von
Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen
derartige Änderungen innerhalb von 14 Tagen ab Veröffentlichung Einspruch zu
erheben. Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung,
kann der Auftragnehmer die Anlage sowie den dazugehörigen Vertrag fristlos
kündigen.
(4) Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem
Auftragnehmer, seine datenschutzrechtlichen Pflichten aus der vorliegenden Anlage
dem Unterauftragnehmer zu übertragen. Die volle Verantwortung für die vom
Auftragnehmer eingesetzten Unterauftragnehmer verbleibt beim Auftragnehmer.
§ 9 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren, oder durch sonstige
Ereignisse, oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer
den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird
Version 20210804 Seite 8 von 8
alle in diesem Zusammenhang Verantwortlichen unverzüglich drüber informieren,
dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber
als „Verantwortlicher“ im Sinne der DS-GVO liegen.
(2) Bei etwaigen inhaltlichen Widersprüchen gehen Regelungen der vorliegenden
Anlage („Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO als Anlage zu
einem/mehreren vom Auftraggeber genutzten Vertrag/ Verträgen“) den Regelungen
des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt
dies die Wirksamkeit dieser Anlage als Ganzes nicht.
(3) Es gilt deutsches Recht.
(4) Diese Anlage ersetzt alle vorangegangenen Vereinbarungen dieser Art.
§ 10 Haftung und Schadensersatz
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen
entsprechend der in Art. 82 DS-GVO getroffenen Regelung.
Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig.
Anlagenverzeichnis
Anhang 1: „Technische und organisatorische Maßnahmen nach Art. 32 DSGVO“