Im Falle von Zweifeln oder Unklarheiten ist die deutsche Version dieses Vertrags maßgeblich. Sie können die Englische Version hier finden.

Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO

zwischen

ServerAtelier UG (haftungsbeschränkt)

Malvenstr. 4, 75433 Maulbronn, Deutschland

vertreten durch die Geschäftsführer: Paul Sengl und Micha Damaschke

E-Mail: support@serveratelier.com

– nachfolgend „Auftragsverarbeiter" oder „ServerAtelier" –

und

dem Kunden,

der im Rahmen eines Servermietvertrags Serverleistungen von ServerAtelier bezieht,

– nachfolgend „Verantwortlicher" oder „Kunde" –

wird folgender Vertrag über die Verarbeitung personenbezogener Daten im Auftrag geschlossen:

§ 1 Gegenstand und Dauer der Verarbeitung

(1)

Der Auftragsverarbeiter erbringt für den Verantwortlichen Serverleistungen gemäß dem Hauptvertrag (z. B. Gameserver-Hosting).

(2)

Soweit der Kunde personenbezogene Daten auf dem bereitgestellten Server speichert, verarbeitet oder übermittelt, erfolgt dies ausschließlich im Rahmen dieses Vertrags.

(3)

Der Vertrag gilt für die Dauer des zugrunde liegenden Hauptvertrags. Nach dessen Beendigung werden sämtliche gespeicherten Daten und ggf. angelegte Backups gemäß § 9 gelöscht.

§ 2 Art und Zweck der Verarbeitung

(1)

Die Verarbeitung erfolgt zum Zweck der Bereitstellung, Wartung und Sicherung von virtuellen Servern (Gameservern) für den Kunden.

(2)

Der Auftragsverarbeiter stellt die technische Infrastruktur (Server- und Netzwerkkapazitäten, Panel-Zugang, Backup-Optionen) bereit und führt ggf. Wartungs- und Supportmaßnahmen durch.

(3)

Eine inhaltliche Prüfung, Nutzung oder Auswertung der auf den Servern gespeicherten Daten durch den Auftragsverarbeiter findet nicht statt.

§ 3 Art der Daten und Kategorien betroffener Personen

(1)

Die Verarbeitung kann – abhängig von der Nutzung durch den Kunden – folgende Arten personenbezogener Daten umfassen:

Benutzer- und Kontodaten (z. B. Nutzernamen, IP-Adressen)
Kommunikations- und Spielinformationen, soweit vom Kunden verarbeitet
Server- oder Log-Daten, die Rückschlüsse auf Personen zulassen können

(2)

Betroffene Personen können insbesondere sein:

Kunden, Nutzer oder Spieler des Verantwortlichen
Administratoren oder Mitarbeiter des Verantwortlichen

§ 4 Pflichten des Auftragsverarbeiters

(1)

ServerAtelier verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, eine gesetzliche Verpflichtung besteht.

(2)

Alle Personen, die beim Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten befasst sind, sind zur Vertraulichkeit verpflichtet.

(3)

ServerAtelier trifft geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO, insbesondere:

Zutritts- und Zugriffskontrolle (z. B. über gesicherte Rechenzentren, SSH-Zugänge)
Verschlüsselung der Datenübertragung (TLS, HTTPS)
Verschlüsselte Speicherung von Backups in Hetzner Object Storage (S3)
Trennung der Kundenumgebungen (Container-Virtualisierung über Docker/Pterodactyl)
Protokollierung administrativer Zugriffe
Wiederherstellungs- und Löschkonzepte

(4)

Der Auftragsverarbeiter unterstützt den Kunden bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO (z. B. bei Sicherheitsvorfällen oder Auskunftsersuchen).

(5)

ServerAtelier informiert den Kunden unverzüglich, wenn eine Weisung seiner Meinung nach gegen Datenschutzrecht verstößt.

§ 5 Unterauftragsverhältnisse

(1)

Der Kunde stimmt der Einbindung folgender Unterauftragsverarbeiter zu:

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Bereitstellung von Server-Infrastruktur (Hosting, DDoS-Schutz, Backup)
Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107 USA
Sicherheits- und Performance-Dienstleistungen (CDN, DDoS-Schutz, HTTPS)
Übermittlungen an Cloudflare erfolgen auf Grundlage der Standardvertragsklauseln der EU-Kommission gem. Art. 46 DSGVO.

(2)

Weitere Unterauftragsverarbeiter dürfen nur nach vorheriger Information und Zustimmung des Kunden eingesetzt werden.

(3)

Mit allen Unterauftragsverarbeitern bestehen Verträge gemäß Art. 28 Abs. 4 DSGVO.

(4)

ServerAtelier nimmt keine Datenübermittlung an Drittländer außerhalb der EU/EWR vor, sofern dies nicht ausdrücklich vertraglich vereinbart ist.

(5)

Im Fall einer Übermittlung an ein Drittland, das weder nach Art. 45 DSGVO als „angemessenes Schutzniveau“ anerkannt ist noch durch andere geeignete Garantien (z. B. EU-Standardvertragsklauseln) abgesichert ist, bestätigt ServerAtelier, dass angemessene zusätzliche technische und organisatorische Maßnahmen vorhanden sind.

§ 6 Rechte und Pflichten des Verantwortlichen

(1)

Der Kunde bleibt im Sinne der DSGVO Verantwortlicher für die Verarbeitung.

(2)

Der Kunde ist für die Rechtmäßigkeit der Verarbeitung, den Schutz personenbezogener Daten und die Wahrung der Rechte betroffener Personen verantwortlich.

(3)

Der Kunde darf den Auftragsverarbeiter nur in Übereinstimmung mit geltendem Datenschutzrecht einsetzen.

§ 7 Sicherheitsvorfälle und Meldungen

(1)

ServerAtelier wird den Kunden unverzüglich über Datenschutzverletzungen informieren, die sich auf die im Auftrag verarbeiteten Daten auswirken. Die Meldung enthält mindestens die Art des Vorfalls, die betroffenen Datenarten, mögliche Folgen sowie die ergriffenen oder geplanten Abhilfemaßnahmen.

§ 8 Nachweis und Auditrechte

(1)

Der Auftragsverarbeiter stellt dem Kunden auf Anfrage die zur Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung (z. B. Zertifikate oder Rechenzentrumsnachweise).

(2)

Audits oder Inspektionen können nach angemessener Vorankündigung während der Geschäftszeiten und ohne Gefährdung der Systemsicherheit durchgeführt werden.

§ 9 Löschung und Rückgabe von Daten

(1)

Nach Beendigung des Hauptvertrags werden sämtliche auf den Servern gespeicherten Daten und erstellten Backups unverzüglich gelöscht (0 Tage Aufbewahrung).

(2)

Eine Rückgabe oder Übertragung der Daten erfolgt nur auf ausdrückliche Weisung des Kunden und innerhalb der Vertragslaufzeit.

(3)

Backups, die in Hetzner Object Storage gespeichert sind, werden automatisiert gelöscht, sobald der Vertrag endet oder das Server-Panel den Server entfernt.

§ 10 Haftung

(1)

Für die Haftung gelten die Bestimmungen des Hauptvertrags. Die datenschutzrechtliche Haftung richtet sich nach Art. 82 DSGVO.

§ 11 Schlussbestimmungen

(1)

Änderungen oder Ergänzungen dieses Vertrags bedürfen der Textform.

(2)

Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3)

Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz von ServerAtelier.

Maulbronn, Datum des Vertragsabschlusses

Für ServerAtelier UG (haftungsbeschränkt)
Paul Sengl / Micha Damaschke
(Geschäftsführer)

Für den Kunden

(Name / Unterschrift)

Name	Provider	Expiration	Purpose
serveratelier_session	ServerAtelier	Session	Identifies a session instance for a user
pterodactyl_session	ServerAtelier	Session	Identifies a session instance for a user
cookie_consent	ServerAtelier	1 Year	Stores cookie selection
XSRF-TOKEN	ServerAtelier	Session	Prevent cross-site request forgery attacks
cf_clearance	Cloudflare	Session	This service is used by Cloudflare to detect bots and protect the register page from automated attacks.
__stripe_mid	Stripe	1 Year	Used by Stripe for fraud detection and security purposes.
__stripe_sid	Stripe	Session	Used by Stripe for security checks and helps Stripe evaluate transaction risk related to the immediate payment attempt.

Name	Provider	Expiration	Purpose
locale	ServerAtelier	1 Year	Stores selected language
currency	ServerAtelier	1 Year	Stores selected currency
remember_web_*	ServerAtelier	1 Year	After login keeps user logged in accross multiple sessions
visitor_id	ServerAtelier	1 Year	Collects anonymous data about how visitors use our site