Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

zwischen

1.
[Name/Firma des Kunden]
[Adresse des Kunden]
[PLZ Ort]
– nachfolgend „Auftraggeber“ genannt –

und

2.
Leon Petersen
handelnd unter der Bezeichnung „ZentraLink“
Am Schwalbennest 21
04205 Leipzig
E-Mail: support@zentralink.net
Datenschutzkontakt: privacy@zentralink.net
Website: https://zentralink.net
– nachfolgend „Auftragnehmer“ genannt –

gemeinsam nachfolgend „Parteien“ genannt.

Präambel

Diese Vereinbarung regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer im Rahmen der sich aus dem zwischen den Parteien bestehenden Nutzungs-, SaaS-, Dienstleistungs- oder Hauptvertrag über die Nutzung von ZentraLink ergebenden Verarbeitung personenbezogener Daten im Auftrag.

ZentraLink ist eine Softwarelösung zur zentralen Verwaltung, Überwachung und Dokumentation von Domains, DNS-Einträgen, SSL-Zertifikaten, Provider-Verbindungen, Tickets, Reports, Teamrechten, Audit-Logs und sicherheitsrelevanten Domaininformationen.

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht zur Verarbeitung besteht.

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand des Auftrags ist die Bereitstellung und der Betrieb der Softwareplattform „ZentraLink“ als SaaS-Lösung für den Auftraggeber. ZentraLink dient insbesondere der Verwaltung und Überwachung von Domains, DNS-Daten, SSL-Zertifikaten, Provider-Verbindungen, Tickets, Reports, Benutzerkonten, Teammitgliedern, Berechtigungen, Audit-Logs und abrechnungsbezogenen Informationen.

(2) Der Leistungsumfang ergibt sich aus dem Hauptvertrag, der Leistungsbeschreibung, dem gewählten Tarif sowie den jeweils aktivierten Funktionen innerhalb der Plattform.

(3) Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers ausschließlich nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO.

(4) Die Dauer dieses Auftrags entspricht der Laufzeit des Hauptvertrags. Der Vertrag über Auftragsverarbeitung endet automatisch mit Beendigung des Hauptvertrags, sofern nicht gesetzliche Aufbewahrungspflichten oder vertragliche Nachlaufpflichten entgegenstehen.

§ 2 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung

(1) Der Auftragnehmer übernimmt im Rahmen von ZentraLink insbesondere folgende Verarbeitungstätigkeiten:

• Bereitstellung von Benutzerkonten und Login-Funktionen
• Registrierung und Verwaltung von Kundenkonten
• Verwaltung von Admins und Supportern
• Verwaltung von Rollen und Berechtigungen
• Speicherung und Anzeige von Domaininformationen
• Verarbeitung von DNS-, SSL-, RDAP- und Providerdaten
• Durchführung und Speicherung von Domain-, DNS-, SSL- und Mail-Security-Checks
• Verwaltung von Provider-Verbindungen und API-Zugangsdaten
• Speicherung von Audit-Logs und Aktivitätsprotokollen
• Erstellung und Speicherung von Reports, insbesondere Domain- und Sicherheitsreports
• Verarbeitung von Support-Tickets, Kontaktanfragen und Anhängen
• Versand von System-E-Mails, z. B. Bestätigungscodes, Ticketbenachrichtigungen und Rechnungsinformationen
• Verarbeitung von Rechnungs- und Zahlungsmetadaten
• Bereitstellung von Status-, Benachrichtigungs- und Monitoringfunktionen
• technische Fehleranalyse, Protokollierung und Missbrauchsprävention
• Backup, Wiederherstellung und Systemwartung

(2) Von der Verarbeitung können folgende Kategorien betroffener Personen betroffen sein:

• Auftraggeber selbst, sofern natürliche Person
• Mitarbeiter des Auftraggebers
• Admins des Kundenkontos
• Supporter bzw. eingeladene Teammitglieder
• Ansprechpartner des Auftraggebers
• Nutzer der Plattform
• Personen, die in Tickets, Reports, Domaininformationen oder DNS-Einträgen genannt werden
• Rechnungsempfänger und buchhaltungsbezogene Ansprechpartner
• Kommunikationspartner im Rahmen von Support- und Kontaktanfragen

(3) Es können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

• Stammdaten: Name, Vorname, Nachname, Firma, Anschrift, Land
• Kontaktdaten: E-Mail-Adresse, Telefonnummer
• Login- und Accountdaten: Benutzer-ID, Rolle, Berechtigungen, Status, Sprache, Verifizierungsstatus
• Kommunikationsdaten: Ticketinhalte, Supportnachrichten, Kontaktanfragen, E-Mail-Kommunikation
• Vertrags- und Abrechnungsdaten: Tarif, Rechnungsdaten, Zahlungsstatus, Zahlungsreferenzen, Vertragsstatus
• technische Nutzungsdaten: IP-Adresse, User-Agent, Zeitstempel, Loginzeiten, Sessioninformationen
• Audit- und Protokolldaten: Aktivitäten, Änderungen, Benutzeraktionen, Sicherheitsereignisse
• domainbezogene Daten: Domainnamen, DNS-Records, Nameserver, SSL-Informationen, RDAP-Daten, Providerdaten
• Provider-Verbindungsdaten: API-Token, API-Keys oder vergleichbare Zugangsdaten, soweit vom Auftraggeber hinterlegt
• Reportdaten: generierte PDF-Reports, Sicherheitsbewertungen, Health Scores, DNS-Diff-Informationen
• Anhänge: vom Auftraggeber oder Nutzern hochgeladene Dateien im Rahmen von Tickets oder Reports

(4) Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sind nicht Gegenstand der regulären Verarbeitung durch ZentraLink. Der Auftraggeber verpflichtet sich, solche Daten nicht ohne vorherige Abstimmung in ZentraLink einzustellen.

§ 3 Anwendungsbereich und Verantwortlichkeit

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und entscheidet über Zwecke und Mittel der Verarbeitung, soweit diese nicht technisch durch die Bereitstellung von ZentraLink vorgegeben sind.

(2) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung, die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Wahrung der Rechte betroffener Personen verantwortlich.

(3) Die Weisungen des Auftraggebers ergeben sich zunächst aus dem Hauptvertrag, diesem Vertrag sowie den durch den Auftraggeber innerhalb der Plattform vorgenommenen Einstellungen.

(4) Einzelweisungen können in Textform, per E-Mail, über das Supportsystem oder über eine dafür vorgesehene Funktion innerhalb von ZentraLink erfolgen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(5) Der Auftragnehmer ist berechtigt, die Ausführung einer Weisung auszusetzen, wenn er der Ansicht ist, dass diese gegen Datenschutzrecht oder andere gesetzliche Vorschriften verstößt. Der Auftragnehmer informiert den Auftraggeber hierüber unverzüglich.

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen des Auftrags und nach dokumentierter Weisung des Auftraggebers, sofern keine gesetzliche Pflicht zur Verarbeitung besteht.

(2) Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Hierzu gehören insbesondere Maßnahmen zur Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

(3) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet wurden oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

(4) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Erfüllung von Betroffenenrechten gemäß Art. 12 bis 23 DSGVO sowie bei Pflichten nach Art. 32 bis 36 DSGVO.

(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Auftraggebers betrifft. Die Information erfolgt, soweit möglich, mit Angaben zu Art der Verletzung, betroffenen Datenkategorien, möglichen Folgen und bereits getroffenen Maßnahmen.

(6) Der Auftragnehmer benennt dem Auftraggeber folgenden Ansprechpartner für Datenschutzfragen:

Leon Petersen / ZentraLink
E-Mail: privacy@zentralink.net

(7) Der Auftragnehmer überprüft regelmäßig die Wirksamkeit seiner technischen und organisatorischen Maßnahmen und passt diese bei Bedarf an.

(8) Der Auftragnehmer berichtigt, löscht oder sperrt personenbezogene Daten auf Weisung des Auftraggebers, soweit dies technisch möglich und rechtlich zulässig ist.

(9) Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(10) Der Auftragnehmer darf personenbezogene Daten nicht für eigene Zwecke verwenden, insbesondere nicht für Werbung, Profiling oder Weitergabe an Dritte außerhalb des Vertragszwecks.

§ 5 Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich.

(2) Der Auftraggeber stellt sicher, dass er berechtigt ist, die in ZentraLink eingestellten personenbezogenen Daten durch den Auftragnehmer verarbeiten zu lassen.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

(4) Der Auftraggeber ist verantwortlich für:

• die korrekte Vergabe von Benutzerrechten
• die Verwaltung seiner Admins und Supporter
• die Inhalte von Tickets, Reports, Domaininformationen und Anhängen
• die Rechtmäßigkeit hinterlegter Providerzugänge
• die Einhaltung eigener Informationspflichten gegenüber betroffenen Personen
• die Prüfung, ob die angebotenen technischen und organisatorischen Maßnahmen für seine Verarbeitung ausreichend sind

(5) Der Auftraggeber ist verpflichtet, Zugangsdaten, API-Keys und Benutzerkonten sorgfältig zu verwalten und unbefugten Zugriff zu verhindern.

§ 6 Anfragen betroffener Personen

(1) Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer mit einem Anliegen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch, wird der Auftragnehmer die Anfrage an den Auftraggeber weiterleiten, sofern eine Zuordnung möglich ist.

(2) Der Auftragnehmer beantwortet solche Anfragen nicht eigenständig, soweit er hierzu nicht vom Auftraggeber angewiesen wurde oder gesetzlich verpflichtet ist.

(3) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Bearbeitung solcher Anfragen.

§ 7 Nachweismöglichkeiten und Kontrollrechte

(1) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage geeignete Informationen zum Nachweis der Einhaltung der Pflichten aus diesem Vertrag und Art. 28 DSGVO zur Verfügung.

(2) Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Pflichten und der technischen und organisatorischen Maßnahmen in angemessenem Umfang zu überprüfen oder durch einen fachkundigen Dritten überprüfen zu lassen.

(3) Vor-Ort-Kontrollen sind nur nach vorheriger Anmeldung, während üblicher Geschäftszeiten und unter Wahrung der Verhältnismäßigkeit zulässig, sofern kein dringender Anlass eine unangekündigte Kontrolle erforderlich macht.

(4) Der Auftragnehmer darf für Kontrollen, die über das übliche Maß hinausgehen oder nicht aufgrund eines Pflichtverstoßes des Auftragnehmers erforderlich sind, eine angemessene Vergütung verlangen.

(5) Betriebs- und Geschäftsgeheimnisse des Auftragnehmers sowie Sicherheitsinteressen anderer Kunden sind bei Kontrollen zu wahren.

§ 8 Unterauftragsverhältnisse

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen, soweit dies zur Erbringung der Leistungen erforderlich ist.

(2) Der Auftragnehmer verpflichtet sich, Unterauftragsverarbeiter sorgfältig auszuwählen und mit ihnen Verträge zu schließen, die ein angemessenes Datenschutzniveau sicherstellen.

(3) Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

(4) Aktuell können insbesondere folgende Kategorien von Unterauftragsverarbeitern eingesetzt werden:

• Hosting- und Serveranbieter
• Datenbank- und Infrastrukturbetreiber
• E-Mail-/SMTP-/Transaktionsmail-Dienstleister
• Zahlungsdienstleister
• Monitoring- und Logging-Dienstleister
• Backup- und Speicheranbieter
• DNS-/Domain-/Provider-Schnittstellenanbieter, soweit durch den Auftraggeber angebunden

(5) Eine konkrete Liste der Unterauftragsverarbeiter ist in Anlage 2 geregelt und wird bei Änderungen aktualisiert.

§ 9 Informationspflichten, Schriftform, Rechtswahl

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen mindestens der Textform, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist.

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich über wesentliche Änderungen, die die Verarbeitung personenbezogener Daten betreffen.

(3) Es gilt deutsches Recht.

(4) Gerichtsstand ist, soweit zulässig, der Sitz des Auftragnehmers.

§ 10 Haftung und Schadensersatz

(1) Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.

(2) Im Innenverhältnis haften die Parteien entsprechend ihrem jeweiligen Verantwortungs- und Verschuldensanteil.

(3) Der Auftraggeber trägt die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung und der Weisungen.

(4) Der Auftragnehmer haftet für Schäden, die durch eine nicht weisungsgemäße oder datenschutzwidrige Verarbeitung im Verantwortungsbereich des Auftragnehmers entstehen, soweit ihn ein Verschulden trifft.

§ 11 Vergütung

(1) Die Vergütung für die Leistungen des Auftragnehmers ergibt sich aus dem Hauptvertrag, dem gewählten Tarif oder der jeweiligen Preisvereinbarung.

(2) Unterstützungsleistungen, die über den vertraglich geschuldeten Umfang hinausgehen, insbesondere besondere Auswertungen, umfangreiche Kontrollhandlungen, Datenexporte oder individuelle Datenschutzprüfungen, können nach vorheriger Abstimmung gesondert vergütet werden.

Anlage 1: Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt insbesondere folgende technische und organisatorische Maßnahmen ein:

1. Zutrittskontrolle

Da ZentraLink als cloudbasierte SaaS-Lösung betrieben wird, erfolgt die physische Zutrittskontrolle im Wesentlichen durch die eingesetzten Hosting- und Infrastruktur-Anbieter. Der Auftragnehmer wählt Anbieter aus, die angemessene Sicherheitsmaßnahmen für Rechenzentren und Infrastruktur bereitstellen.

2. Zugangskontrolle

• Benutzerkonten mit individueller Authentifizierung
• Passwortschutz
• rollenbasierte Zugriffskontrolle
• Trennung von Owner, Admin und Supporter
• E-Mail-Verifizierung bei Registrierung
• Session-Management
• Schutz vor unbefugtem Zugriff auf geschützte Bereiche
• Zugriff auf Administrationsbereiche nur für berechtigte Personen

3. Zugriffskontrolle

• rollen- und rechtebasierte Berechtigungen
• Tarif- und Feature-basierte Zugriffsbeschränkung
• Trennung von Kundendaten
• Zugriff auf Daten nur im Rahmen des jeweiligen Kundenkontos
• serverseitige Berechtigungsprüfung für geschützte API-Routen
• Audit-Logs für relevante Aktionen
• eingeschränkter Zugriff auf Provider- und API-Zugangsdaten

4. Weitergabekontrolle

• TLS/HTTPS-Verschlüsselung bei Datenübertragung
• keine Weitergabe personenbezogener Daten außerhalb des Vertragszwecks
• Einsatz von Unterauftragsverarbeitern nur nach Maßgabe dieses Vertrags
• Zugriff auf Daten durch Dritte nur, soweit zur Leistungserbringung erforderlich

5. Eingabekontrolle

• Protokollierung relevanter Änderungen
• Audit-Logs für Benutzeraktionen
• Speicherung von Zeitpunkten, Benutzern und betroffenen Objekten
• Nachvollziehbarkeit von Änderungen an Domains, Tickets, Reports, Teammitgliedern und Einstellungen

6. Auftragskontrolle

• Verarbeitung nur auf Weisung des Auftraggebers
• Verträge mit Unterauftragsverarbeitern
• Prüfung und Auswahl geeigneter Dienstleister
• interne Zugriffsbeschränkungen

7. Verfügbarkeitskontrolle

• regelmäßige Backups, soweit technisch eingerichtet
• Wiederherstellungsmöglichkeiten
• Monitoring von Systemverfügbarkeit
• Fehlerprotokollierung
• Schutz vor versehentlicher Zerstörung oder Verlust im Rahmen angemessener technischer Möglichkeiten

8. Trennungsgebot

• logische Trennung von Kundendaten
• Zugriffsbeschränkungen nach Kundenkonto
• Trennung von Owner-, Admin- und Supporter-Bereichen
• getrennte Berechtigungen für unterschiedliche Rollen und Funktionen

9. Verschlüsselung und Geheimnisschutz

• HTTPS/TLS für Plattformzugriffe
• verschlüsselte Speicherung sensibler Provider-Zugangsdaten und API-Tokens, soweit diese für die Funktion erforderlich sind
• keine erneute Klartextanzeige gespeicherter Secrets im Dashboard
• Zugriff auf Secrets nur durch berechtigte Systemprozesse
• vertraulicher Umgang mit Provider-API-Keys, Tokens und Zugangsdaten

10. Überprüfung und Verbesserung

• regelmäßige Prüfung sicherheitsrelevanter Funktionen
• Updates und Wartung der eingesetzten Software
• Anpassung der technischen und organisatorischen Maßnahmen bei Bedarf
• Fehler- und Sicherheitsereignisse werden bewertet und soweit erforderlich behoben

Anlage 2: Unterauftragsverarbeiter

1. Hosting / Serverbetrieb

Anbieter: Hetzner Online GmbH
Zweck: Hosting der ZentraLink-Anwendung, Datenbank, Serverinfrastruktur, Speicherung und Verarbeitung von Plattformdaten.
Ort der Verarbeitung: Deutschland / Europäische Union

2. Domain-, DNS- und E-Mail-Dienstleistungen

Anbieter: STRATO AG
Zweck: Domainverwaltung, DNS-Betrieb sowie Versand und Empfang von E-Mails für ZentraLink.
Ort der Verarbeitung: Deutschland / Europäische Union

3. Zahlungsdienstleister

Anbieter: Mollie B.V.
Zweck: Abwicklung von Zahlungen, Zahlungsstatus, Abonnement- und Checkout-Metadaten.
Ort der Verarbeitung: Europäische Union / Europäischer Wirtschaftsraum

4. Domain-/DNS-/Provider-Schnittstellen

Anbieter: Je nach aktiv angebundenem Provider des Auftraggebers, z. B. IONOS, Gandi, GoDaddy, Namecheap, InterNetX, STRATO, Cloudflare, Hetzner DNS oder andere.
Zweck: Synchronisierung, Prüfung und Verwaltung von Domain-, DNS-, SSL- und Providerdaten im Auftrag des Auftraggebers.

Hinweis: Soweit der Auftraggeber eigene Providerzugänge zu externen Domain-, DNS- oder Hosting-Anbietern in ZentraLink hinterlegt, erfolgt die Verarbeitung bei diesen Anbietern regelmäßig auf Grundlage des jeweiligen Vertragsverhältnisses zwischen Auftraggeber und Provider. ZentraLink verarbeitet die Zugangsdaten und abgerufenen Providerdaten lediglich im Auftrag des Auftraggebers.

5. Monitoring / Logging

Derzeit wird kein separater externer Monitoring- oder Logging-Dienstleister eingesetzt. Die Überwachung der Systemverfügbarkeit sowie die Fehler- und Sicherheitsprotokollierung erfolgen durch die ZentraLink-Plattform selbst innerhalb der unter Ziffer 1 genannten Hosting-Infrastruktur.
Ort der Verarbeitung: Deutschland / Europäische Union

Anlage 3: Kategorien der Verarbeitung

1. Kategorien betroffener Personen

• Auftraggeber
• Mitarbeiter des Auftraggebers
• Admins
• Supporter
• Ansprechpartner
• Rechnungsempfänger
• Nutzer der Plattform
• Personen in Tickets, Reports, Anhängen oder Domain-/DNS-Daten

2. Kategorien personenbezogener Daten

• Name, Vorname, Nachname
• E-Mail-Adresse
• Telefonnummer
• Anschrift
• Firma
• Rechnungsdaten
• Login- und Accountdaten
• Rollen und Berechtigungen
• IP-Adressen
• Zeitstempel
• Audit-Logs
• Ticketinhalte
• Anhänge
• Domain- und DNS-Daten mit Personenbezug
• Providerzugangsdaten, API-Keys und Tokens
• Zahlungs- und Abonnement-Metadaten
• Reportdaten

3. Zweck der Verarbeitung

• Bereitstellung der ZentraLink-Plattform
• Verwaltung von Domains, DNS, SSL und Providern
• Verwaltung von Benutzern und Berechtigungen
• Support und Ticketbearbeitung
• Reporting und Sicherheitsanalyse
• Vertrags- und Abrechnungsverwaltung
• Systembetrieb, Sicherheit und Fehleranalyse

Anlage 4: Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer personenbezogene Daten des Auftraggebers nach Ablauf technischer und vertraglicher Nachlaufzeiten, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Der Auftraggeber kann vor Vertragsende einen Export der bei ihm gespeicherten Daten verlangen, soweit dies technisch möglich und vom Leistungsumfang umfasst ist.

(3) Backups können aus technischen Gründen für bis zu 30 Tage fortbestehen und werden anschließend im regulären Backup-Zyklus überschrieben oder gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(4) Gesetzliche Aufbewahrungspflichten, insbesondere für Rechnungs- und Buchhaltungsdaten, bleiben unberührt.

Ort, Datum

Für den Auftraggeber:

____________________________________
Name:
Funktion:
Unterschrift:

Für den Auftragnehmer:

____________________________________
Leon Petersen
ZentraLink
Unterschrift: