Adv: Unterschied zwischen den Versionen

Aus LachCraft.cloud Knowledgebase
Zur Navigation springen Zur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Keine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:


* '''Verantwortlicher''': [Name des Kunden], der die Dienste des Mail- und Webservers in Anspruch nimmt.
* '''Verantwortlicher''': [Name des Kunden], der die Dienste des Mail- und Webservers in Anspruch nimmt.
* '''Auftragsverarbeiter''': [Dein Name oder der Name deines Dienstes], Betreiber eines privaten Mail- und Webservers.
* '''Auftragsverarbeiter''': LachCraft Cloud, Betreiber eines privaten Mail- und Webservers.


=== Präambel ===
=== Präambel ===

Version vom 19. Oktober 2024, 20:30 Uhr

Auftragsverarbeitungsvertrag (ADV)

Zwischen:

  • Verantwortlicher: [Name des Kunden], der die Dienste des Mail- und Webservers in Anspruch nimmt.
  • Auftragsverarbeiter: LachCraft Cloud, Betreiber eines privaten Mail- und Webservers.

Präambel

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO). Der Auftragsverarbeiter stellt die Dienste eines Mail- und Webservers kostenfrei zur Verfügung. Der Verantwortliche nimmt diese Dienste in Anspruch und trägt die Verantwortung für die Verarbeitung der Daten seiner Endnutzer. Der Auftragsverarbeiter verwendet dabei Unterauftragsverarbeiter (z. B. OVH, Cloudflare, UniFi, Proxmox, Plesk), um die Erbringung dieser Dienste sicherzustellen.

Wichtiger Hinweis zur Haftung und Kostenfreiheit

Der Auftragsverarbeiter stellt die Dienste kostenfrei zur Verfügung. Daher übernimmt der Auftragsverarbeiter keine Haftung für Ausfälle, Datenverluste oder Schäden, die im Zusammenhang mit der Nutzung der Dienste entstehen, soweit gesetzlich zulässig. Der Verantwortliche trägt die Verantwortung für den Schutz und die Sicherung der personenbezogenen Daten seiner Nutzer.

1. Gegenstand der Auftragsverarbeitung

Der Auftragsverarbeiter übernimmt im Auftrag des Verantwortlichen folgende Tätigkeiten:

  • Webhosting: Betrieb eines Webservers zur Bereitstellung von Websites und Webanwendungen des Verantwortlichen.
  • Mailserver-Betrieb: Bereitstellung eines Mailservers zum Versand, Empfang und zur Speicherung von E-Mails.
  • Netzwerksicherheit: Schutz der Serverinfrastruktur vor unberechtigtem Zugriff und Angriffen.

Verarbeitete Datenkategorien:

  • Personenbezogene Daten der Endnutzer: E-Mail-Adressen, IP-Adressen, Kommunikationsinhalte (z. B. E-Mail-Inhalte), Webseitendaten, Zugriffsprotokolle.
  • Technische Daten: IP-Adressen, Protokolldaten (z. B. Logs), Zeitstempel.

Betroffene Personen:

Die betroffenen Personen sind Nutzer und Besucher der Websites des Verantwortlichen sowie Absender und Empfänger von E-Mails.

2. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

  1. Rechtsgrundlage für die Verarbeitung: Der Verantwortliche stellt sicher, dass für alle personenbezogenen Daten, die durch den Auftragsverarbeiter verarbeitet werden, eine gültige Rechtsgrundlage nach Art. 6 DSGVO besteht.
  2. Weisungsrecht: Der Verantwortliche hat das Recht, dem Auftragsverarbeiter schriftliche oder elektronische Weisungen hinsichtlich der Verarbeitung der Daten zu erteilen.
  3. Informationspflichten: Der Verantwortliche informiert betroffene Personen über die Datenverarbeitung durch den Auftragsverarbeiter und dessen Unterauftragsverarbeiter.
  4. Backup-Verantwortung: Der Verantwortliche ist selbst für die Sicherung (Backups) der Daten verantwortlich, die durch die Dienste des Auftragsverarbeiters verarbeitet werden. Der Auftragsverarbeiter erstellt tägliche Backups aller Systeme, stellt jedoch keinen vertraglichen Anspruch auf diese Backups zur Verfügung.
  5. Meldung von Datenschutzverstößen: Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über festgestellte Verstöße gegen den Datenschutz.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Verarbeitung gemäß Weisungen: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach den Weisungen des Verantwortlichen und gemäß den Vorgaben dieses Vertrags.
  2. Vertraulichkeit: Alle Mitarbeiter und Beteiligten, die mit der Verarbeitung personenbezogener Daten befasst sind, sind zur Vertraulichkeit verpflichtet.
  3. Technische und organisatorische Maßnahmen (TOM): Der Auftragsverarbeiter setzt geeignete Maßnahmen um, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Dazu gehören:
    1. Verschlüsselung der Datenübertragung (z. B. TLS).
    2. Zugriffskontrollen und Firewalls.
    3. Regelmäßige Sicherheits- und Netzwerkscans.
  4. Einsatz von Unterauftragsverarbeitern: Der Auftragsverarbeiter verwendet die folgenden Unterauftragsverarbeiter für die Erbringung seiner Dienste:
    1. OVH: Verwaltet die Domains und die DNS-Registrierungsdienste.
    2. Cloudflare: Dient als Nameserver und Proxy, bietet Schutzmaßnahmen wie DDoS-Schutz und Web Application Firewalls.
    3. UniFi: Überwacht und schützt das Netzwerk mittels Firewalls und Netzwerksicherheitstools.
    4. Proxmox Mailgateway: Filtert und schützt den E-Mail-Verkehr vor Spam und Malware.
    5. Plesk: Dient als Verwaltungsplattform für den Web- und Mailserver, einschließlich der Benutzerverwaltung und Sicherheit.
  5. Weitere Unterauftragsverarbeiter dürfen nur mit schriftlicher Zustimmung des Verantwortlichen eingesetzt werden.
  6. Meldung von Datenschutzverletzungen: Bei einer Verletzung des Schutzes personenbezogener Daten verpflichtet sich der Auftragsverarbeiter, den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, zu informieren.

4. Unterauftragsverarbeiter

Der Auftragsverarbeiter verwendet folgende Unterauftragsverarbeiter zur Erfüllung seiner Aufgaben:

4.1 OVH (Domainverwaltung)

  • Art der Verarbeitung: OVH registriert und verwaltet die Domains, die für den Betrieb der Mail- und Webserver benötigt werden.
  • Verarbeitete Daten: Domain-Registrierungsinformationen (z. B. Name, Adresse, E-Mail) und DNS-Daten.
  • Technische Maßnahmen: OVH schützt die Daten durch Verschlüsselung, Zugriffskontrollen und sichert die physischen Rechenzentren gegen unbefugten Zugang.

4.2 Cloudflare (Nameserver und Proxy)

  • Art der Verarbeitung: Cloudflare stellt die Nameserver zur Verfügung und fungiert als Proxy-Dienst, der Schutzmaßnahmen wie DDoS-Schutz und Performance-Optimierung bietet.
  • Verarbeitete Daten: IP-Adressen, HTTP-Protokolldaten, Caching-Daten von Webseitenbesuchern.
  • Technische Maßnahmen: Cloudflare verwendet TLS-Verschlüsselung, DDoS-Schutzmechanismen und Web Application Firewalls, um die Integrität der Webdienste zu sichern.

4.3 UniFi (Firewall und Netzwerksicherheit)

  • Art der Verarbeitung: UniFi überwacht und schützt das Netzwerk des Auftragsverarbeiters vor unbefugtem Zugriff und Cyberangriffen.
  • Verarbeitete Daten: IP-Adressen, Netzwerkverkehrsprotokolle, Sicherheitslogs.
  • Technische Maßnahmen: Deep Packet Inspection (DPI), Firewall-Regeln, Intrusion Prevention Systeme (IPS), die den Netzwerkverkehr filtern und verdächtige Aktivitäten blockieren.

4.4 Proxmox Mailgateway (Mail-Relay und Spam-Filter)

  • Art der Verarbeitung: Proxmox filtert eingehende und ausgehende E-Mails, blockiert Spam und Malware und dient als E-Mail-Relay.
  • Verarbeitete Daten: E-Mail-Adressen, Betreffzeilen und E-Mail-Inhalte (zur Spam- und Malware-Erkennung).
  • Technische Maßnahmen: Anti-Spam- und Anti-Malware-Filter, Verschlüsselung der E-Mail-Daten und Protokollierung des E-Mail-Verkehrs.

4.5 Plesk (Web- und Mailserver-Management)

  • Art der Verarbeitung: Plesk verwaltet den Web- und Mailserver, einschließlich der Benutzerverwaltung und Sicherheitsmaßnahmen.
  • Verarbeitete Daten: Nutzerdaten (z. B. Anmeldedaten), E-Mail-Adressen, E-Mail-Inhalte und Webseitendaten.
  • Technische Maßnahmen: SSL-Verschlüsselung, Zugriffskontrollen, Anti-Spam- und Anti-Malware-Tools.

5. Rechte der betroffenen Personen

Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen bei der Wahrung der Rechte betroffener Personen gemäß DSGVO zu unterstützen. Dazu gehören insbesondere:

  • Recht auf Auskunft (Art. 15 DSGVO): Betroffene Personen haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Betroffene Personen können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Betroffene Personen können die Löschung ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

6. Backup-Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter erstellt tägliche Backups aller Systeme, um die Datenintegrität zu gewährleisten. Der Verantwortliche ist jedoch für die endgültige Verantwortung für die Sicherung (Backups) der Daten verantwortlich, die durch die Dienste des Auftragsverarbeiters verarbeitet werden. Der Auftragsverarbeiter stellt keinen vertraglichen Anspruch auf diese Backups zur Verfügung.

7. Laufzeit und Kündigung

Dieser Vertrag tritt mit Unterzeichnung in Kraft und gilt so lange, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Vertrag kann von beiden Parteien jederzeit schriftlich gekündigt werden. Im Falle der Kündigung sind alle personenbezogenen Daten unverzüglich zu löschen oder auf Wunsch des Verantwortlichen zurückzugeben.

8. Schlussbestimmungen

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.

Unterschriften:

_________________________ [Dein Name] Auftragsverarbeiter

_________________________ [Name des Kunden] Verantwortlicher

Abgerufen von „https://kb.lachcraft.cloud/index.php?title=Adv&oldid=38