Im Falle von Zweifeln oder Unklarheiten ist die deutsche Version dieses Vertrags maßgeblich. Sie können die Englische Version hier finden.

Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO

zwischen

ServerAtelier UG (haftungsbeschränkt)

Malvenstr. 4, 75433 Maulbronn, Deutschland

vertreten durch die Geschäftsführer: Paul Sengl und Micha Damaschke

E-Mail: support@serveratelier.com

– nachfolgend „Auftragsverarbeiter" oder „ServerAtelier" –

und

dem Kunden,

der im Rahmen eines Servermietvertrags Serverleistungen von ServerAtelier bezieht,

– nachfolgend „Verantwortlicher" oder „Kunde" –

wird folgender Vertrag über die Verarbeitung personenbezogener Daten im Auftrag geschlossen:

§ 1 Gegenstand und Dauer der Verarbeitung

(1)

Der Auftragsverarbeiter erbringt für den Verantwortlichen Serverleistungen gemäß dem Hauptvertrag (z. B. Gameserver-Hosting).

(2)

Soweit der Kunde personenbezogene Daten auf dem bereitgestellten Server speichert, verarbeitet oder übermittelt, erfolgt dies ausschließlich im Rahmen dieses Vertrags.

(3)

Der Vertrag gilt für die Dauer des zugrunde liegenden Hauptvertrags. Nach dessen Beendigung werden sämtliche gespeicherten Daten und ggf. angelegte Backups gemäß § 9 gelöscht.

§ 2 Art und Zweck der Verarbeitung

(1)

Die Verarbeitung erfolgt zum Zweck der Bereitstellung, Wartung und Sicherung von virtuellen Servern (Gameservern) für den Kunden.

(2)

Der Auftragsverarbeiter stellt die technische Infrastruktur (Server- und Netzwerkkapazitäten, Panel-Zugang, Backup-Optionen) bereit und führt ggf. Wartungs- und Supportmaßnahmen durch.

(3)

Eine inhaltliche Prüfung, Nutzung oder Auswertung der auf den Servern gespeicherten Daten durch den Auftragsverarbeiter findet nicht statt.

§ 3 Art der Daten und Kategorien betroffener Personen

(1)

Die Verarbeitung kann – abhängig von der Nutzung durch den Kunden – folgende Arten personenbezogener Daten umfassen:
  • Benutzer- und Kontodaten (z. B. Nutzernamen, IP-Adressen)
  • Kommunikations- und Spielinformationen, soweit vom Kunden verarbeitet
  • Server- oder Log-Daten, die Rückschlüsse auf Personen zulassen können

(2)

Betroffene Personen können insbesondere sein:
  • Kunden, Nutzer oder Spieler des Verantwortlichen
  • Administratoren oder Mitarbeiter des Verantwortlichen

§ 4 Pflichten des Auftragsverarbeiters

(1)

ServerAtelier verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, eine gesetzliche Verpflichtung besteht.

(2)

Alle Personen, die beim Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten befasst sind, sind zur Vertraulichkeit verpflichtet.

(3)

ServerAtelier trifft geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO, insbesondere:
  • Zutritts- und Zugriffskontrolle (z. B. über gesicherte Rechenzentren, SSH-Zugänge)
  • Verschlüsselung der Datenübertragung (TLS, HTTPS)
  • Verschlüsselte Speicherung von Backups in Hetzner Object Storage (S3)
  • Trennung der Kundenumgebungen (Container-Virtualisierung über Docker/Pterodactyl)
  • Protokollierung administrativer Zugriffe
  • Wiederherstellungs- und Löschkonzepte

(4)

Der Auftragsverarbeiter unterstützt den Kunden bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO (z. B. bei Sicherheitsvorfällen oder Auskunftsersuchen).

(5)

ServerAtelier informiert den Kunden unverzüglich, wenn eine Weisung seiner Meinung nach gegen Datenschutzrecht verstößt.

§ 5 Unterauftragsverhältnisse

(1)

Der Kunde stimmt der Einbindung folgender Unterauftragsverarbeiter zu:
  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
    Bereitstellung von Server-Infrastruktur (Hosting, DDoS-Schutz, Backup)
  • Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107 USA
    Sicherheits- und Performance-Dienstleistungen (CDN, DDoS-Schutz, HTTPS)
    Übermittlungen an Cloudflare erfolgen auf Grundlage der Standardvertragsklauseln der EU-Kommission gem. Art. 46 DSGVO.
  • HZ Hosting Ltd, 59 Iztochen blvd., Kamenica Park, 4000 Plovdiv, Bulgarien
    Haupt-Auftragsverarbeiter für die Bereitstellung von Server-Infrastruktur
  • Databank, Plano, TX, USA
    Unterauftragnehmer von HZ Hosting Ltd. für das physische Hosting der Server, sofern der Kunde diesen Standort wählt

(2)

Weitere Unterauftragsverarbeiter dürfen nur nach vorheriger Information und Zustimmung des Kunden eingesetzt werden.

(3)

Mit allen Unterauftragsverarbeitern bestehen Verträge gemäß Art. 28 Abs. 4 DSGVO.

(4)

ServerAtelier verarbeitet Daten grundsätzlich innerhalb der EU/EWR. Sofern der Kunde jedoch ausdrücklich einen Serverstandort in einem Drittland (z. B. USA) wählt, findet eine Verarbeitung in diesem Drittland statt.

(5)

Im Fall einer Übermittlung an ein Drittland (z. B. USA) stellt ServerAtelier sicher, dass die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. durch Abschluss von Standardvertragsklauseln oder Vorliegen eines Angemessenheitsbeschlusses wie dem EU-US Data Privacy Framework).

§ 6 Rechte und Pflichten des Verantwortlichen

(1)

Der Kunde bleibt im Sinne der DSGVO Verantwortlicher für die Verarbeitung.

(2)

Der Kunde ist für die Rechtmäßigkeit der Verarbeitung, den Schutz personenbezogener Daten und die Wahrung der Rechte betroffener Personen verantwortlich.

(3)

Der Kunde darf den Auftragsverarbeiter nur in Übereinstimmung mit geltendem Datenschutzrecht einsetzen.

§ 7 Sicherheitsvorfälle und Meldungen

(1)

ServerAtelier wird den Kunden unverzüglich über Datenschutzverletzungen informieren, die sich auf die im Auftrag verarbeiteten Daten auswirken. Die Meldung enthält mindestens die Art des Vorfalls, die betroffenen Datenarten, mögliche Folgen sowie die ergriffenen oder geplanten Abhilfemaßnahmen.

§ 8 Nachweis und Auditrechte

(1)

Der Auftragsverarbeiter stellt dem Kunden auf Anfrage die zur Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung (z. B. Zertifikate oder Rechenzentrumsnachweise).

(2)

Audits oder Inspektionen können nach angemessener Vorankündigung während der Geschäftszeiten und ohne Gefährdung der Systemsicherheit durchgeführt werden.

§ 9 Löschung und Rückgabe von Daten

(1)

Nach Beendigung des Hauptvertrags werden sämtliche auf den Servern gespeicherten Daten und erstellten Backups unverzüglich gelöscht (0 Tage Aufbewahrung).

(2)

Eine Rückgabe oder Übertragung der Daten erfolgt nur auf ausdrückliche Weisung des Kunden und innerhalb der Vertragslaufzeit.

(3)

Backups, die in Hetzner Object Storage gespeichert sind, werden automatisiert gelöscht, sobald der Vertrag endet oder das Server-Panel den Server entfernt.

§ 10 Haftung

(1)

Für die Haftung gelten die Bestimmungen des Hauptvertrags. Die datenschutzrechtliche Haftung richtet sich nach Art. 82 DSGVO.

§ 11 Schlussbestimmungen

(1)

Änderungen oder Ergänzungen dieses Vertrags bedürfen der Textform.

(2)

Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3)

Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz von ServerAtelier.

Maulbronn, Datum des Vertragsabschlusses

Für ServerAtelier UG (haftungsbeschränkt)
Paul Sengl / Micha Damaschke
(Geschäftsführer)

Für den Kunden

(Name / Unterschrift)