Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil unserer AGB und gilt automatisch, sobald du als B2B-Kunde einen Dienst nimmst, bei dem wir in deinem Auftrag personenbezogene Daten deiner Endnutzer verarbeiten (DSGVO Art. 28). Du musst ihn nicht separat unterschreiben — AGB akzeptieren = AVV akzeptieren.

1. Parteien und Rollen

Verantwortlicher: du, der Kunde (der „Kunde").

Auftragsverarbeiter: InternalHost (Einzelunternehmen Xaviero Kajafas, KvK 90174720).

InternalHost verarbeitet personenbezogene Daten nur auf Weisung des Kunden und nur soweit nötig, um die vereinbarten Dienste (Hosting, Storage, Mail, Netzwerk) zu erbringen.

2. Gegenstand und Dauer

• Gegenstand: Verarbeitung personenbezogener Daten im Rahmen der von uns gelieferten IT-Infrastruktur-Dienste.
• Art der Verarbeitung: Speicherung, Übertragung (innerhalb unserer Infrastruktur), Backup — keine aktive Verarbeitung von Endnutzer-Inhalten durch uns.
• Zweck: Bereitstellung der vereinbarten IT-Dienste.
• Kategorien betroffener Personen: wie vom Kunden festgelegt. Wir haben keinen Einblick (wir schauen nicht in deine Datenbanken).
• Arten personenbezogener Daten: wie vom Kunden festgelegt. Besondere Kategorien (Gesundheit, Religion etc.) sind erlaubt, sofern der Kunde angemessene technische und organisatorische Maßnahmen ergreift.
• Dauer: solange der Hauptvertrag läuft, plus 14 Tage Recovery-Frist nach Kündigung.

3. Sicherheitsmaßnahmen

InternalHost ergreift mindestens die folgenden technischen und organisatorischen Maßnahmen:

• Verschlüsselung in Transit: TLS 1.2+ auf allen öffentlichen Endpoints, WireGuard für internes Mesh.
• Verschlüsselung at-rest: LUKS auf allen Storage-Volumes. Verschlüsselung auf Kundenebene liegt in der Verantwortung des Kunden.
• Zugriffskontrolle: SSH nur über ed25519-Keys, MFA Pflicht für Admin-Zugriff, Prinzip der geringsten Rechte.
• Logging: Infrastruktur-Zugriffe werden geloggt (90 Tage).
• Backups: tägliche verschlüsselte Snapshots der Kunden-Volumes, 7T/4W/12M Retention (auf unserer Seite — Application-Backup ist Sache des Kunden).
• Physische Sicherheit: Qupra DC ist 24/7 besetzt, ISO 27001 + 9001 zertifiziert, biometrischer Zugang + Mantrap.
• Software-Updates: Security-Patches innerhalb von 7 Tagen nach Release, kritische innerhalb von 24 Stunden.
• Monitoring: CrowdSec + fail2ban auf allen exponierten Diensten.

Eine aktuelle Übersicht der technischen Maßnahmen gibt es auf Anfrage unter [email protected].

4. Subunternehmer

Wir nutzen folgende Subunternehmer. Alle in der EU. Änderungen melden wir mindestens 30 Tage im Voraus, damit der Kunde widersprechen kann.

5. Übermittlung außerhalb der EU

Wir übermitteln keine personenbezogenen Daten in Länder außerhalb der EU/EWR, außer wo Cloudflare als CDN bei DDoS notwendigerweise über Non-EU-PoPs routet. In dem Fall gelten zwischen uns und Cloudflare die Standardvertragsklauseln (SCC).

6. Verfahren bei Datenpannen

Bei einer Verletzung des Schutzes personenbezogener Daten, die den Kunden betrifft, informieren wir den Kunden innerhalb von 24 Stunden nach Entdeckung (über die hinterlegte E-Mail) mit:

• Art der Verletzung
• Kategorien und ungefähre Zahl betroffener Personen
• Wahrscheinliche Folgen
• Ergriffene oder vorgeschlagene Maßnahmen

Der Kunde entscheidet, ob eine Meldung an die Datenschutzbehörde nötig ist. Wir unterstützen nach Bedarf.

7. Beendigung und Datenrückgabe

Nach Beendigung des Hauptvertrags:

• Der Kunde hat 14 Tage, um alle Daten herunterzuladen (per SSH/SFTP oder Export-Anfrage).
• Danach werden alle personenbezogenen Daten dauerhaft gelöscht, außer wo gesetzliche Aufbewahrungspflichten gelten (NL-Steuerrecht: Rechnungsdaten 7 Jahre).
• Auf Anfrage stellen wir eine schriftliche Vernichtungsbescheinigung aus.

Für spezifische Verträge (große B2B, Healthcare, Finanzsektor) können wir einen individuellen AVV unterschreiben. E-Mail an [email protected].