Auftragsverarbeitungsvertrag (AVV)
Diese deutsche Fassung ist maßgeblich. An English convenience translation is available.
Stand: 2026-07-09
Dieser Vertrag zur Auftragsverarbeitung (nachfolgend AVV) ist Anlage zur Leistungsbeschreibung („Hauptvertrag“) zwischen dem Kunden (Auftraggeber, datenschutzrechtlich Verantwortlicher) und dem Anbieter (Auftragnehmer, Auftragsverarbeiter). Er konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO für diejenigen Verarbeitungen, bei denen der Anbieter im Auftrag des Kunden personenbezogene Daten verarbeitet. Er gilt mit dem Wirksamwerden des Hauptvertrags; die Annahme im Kundenportal umfasst diesen AVV.
Auftragnehmer (Auftragsverarbeiter): TODO(owner): Name/Firma und Anschrift des Rechtsträgers — siehe Impressum.
Vorbemerkung: Wofür der Anbieter Auftragsverarbeiter ist — und wofür nicht
Section titled “Vorbemerkung: Wofür der Anbieter Auftragsverarbeiter ist — und wofür nicht”Die Rollenverteilung folgt der Architektur von PaaSbox und ist bewusst eng gefasst:
- Auftragsverarbeitung (dieser AVV). Der Anbieter hält den Steuerungsebenen-Zustand jedes Clusters (etcd) samt fortlaufender Sicherungen auf Infrastruktur der Plattform. Dieser Zustand enthält die vom Kunden angelegten Kubernetes-Objekte (u. a. Secrets, ConfigMaps, Manifeste) und kann daher vom Kunden dort abgelegte personenbezogene Daten enthalten. Diese planmäßige Speicherung im Auftrag des Kunden ist eine Auftragsverarbeitung i.S.d. Art. 28 DSGVO und Gegenstand dieses AVV (Anlage 1).
- Keine Auftragsverarbeitung durch den Anbieter. Workload- und Anwendungsdaten des Kunden (Inhalte auf Worker-Knoten, in Volumes und Datenbanken) liegen ausschließlich im eigenen Hetzner-Projekt des Kunden und werden vom Anbieter nicht verarbeitet. Der Anbieter greift auf das Hetzner-Projekt nur weisungsgemäß über das vom Kunden bereitgestellte API-Token zu, um Cluster-Ressourcen zu verwalten; Worker-Knoten, Load Balancer und Volumes entstehen dort auf dem eigenen Hetzner-Vertrag des Kunden.
- Gelegentlicher Support-Zugriff. Kurzlebige Admin-Zugangsdaten (kubeconfig, Gültigkeit maximal 8 Stunden) werden auf Anforderung ausgestellt; ein gelegentlicher, nicht planmäßiger Einblick in Kundendaten zur Fehleranalyse begründet für sich genommen keine gesonderte Auftragsverarbeitung, wird aber von diesem AVV und der Vertraulichkeitspflicht (§ 3) mit erfasst.
Prozesse, für die der Anbieter datenschutzrechtlich Verantwortlicher ist (Konto, Team, Abrechnung über Stripe, Support-Korrespondenz, Server-Logs, Website), sind nicht Gegenstand dieses AVV; sie sind in der Datenschutzerklärung beschrieben.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
Section titled “§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung”Gegenstand, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1 zu diesem AVV sowie aus dem Hauptvertrag. Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags bzw. des jeweiligen Clusters, soweit sich aus diesem AVV keine abweichenden (insbesondere nachwirkenden) Pflichten ergeben.
§ 2 Anwendungsbereich und Verantwortlichkeit
Section titled “§ 2 Anwendungsbereich und Verantwortlichkeit”(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach den dokumentierten Weisungen des Auftraggebers, es sei denn, er ist nach Unions- oder mitgliedstaatlichem Recht zur Verarbeitung verpflichtet; in diesem Fall teilt er dem Auftraggeber diese Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.
(2) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte betroffener Personen allein verantwortlich (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO). Er steht dafür ein, dass er personenbezogene Daten in die Kubernetes-Objekte des Clusters nur einstellt, soweit er dazu berechtigt ist.
(3) Weisungen werden durch den Hauptvertrag und diese Anlage festgelegt. Sie können vom Auftraggeber danach in Textform (z. B. E-Mail an den nach § 3 Abs. 7 benannten Kontakt) durch Einzelweisung geändert, ergänzt oder ersetzt werden. Die Nutzung der Self-Service- und API-Funktionen des Portals gilt insoweit als Weisung. Weisungen, die im Hauptvertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt; der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen, soweit die Leistung über die vertraglich geschuldete oder gesetzlich verpflichtende Unterstützung hinausgeht.
§ 3 Pflichten des Auftragnehmers
Section titled “§ 3 Pflichten des Auftragnehmers”(1) Der Auftragnehmer verarbeitet die Daten nur im Rahmen des Auftrags und der Weisungen des Auftraggebers, außer es liegt ein gesetzlicher Ausnahmefall (§ 2 Abs. 1) vor.
(2) Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich; er darf die Umsetzung bis zur Bestätigung oder Änderung aussetzen. Zu einer umfassenden Rechtsprüfung ist er nicht verpflichtet.
(3) Technische und organisatorische Maßnahmen (TOM). Der Auftragnehmer trifft die zum Schutz der Daten erforderlichen TOM nach Art. 32 DSGVO. Die vereinbarten Maßnahmen sind in Anlage 2 beschrieben; die Parteien sind sich einig, dass diese ein dem Risiko angemessenes Schutzniveau gewährleisten. Der Auftragnehmer darf alternative, gleichwertige Maßnahmen umsetzen, ohne das vereinbarte Sicherheitsniveau zu unterschreiten; wesentliche Änderungen dokumentiert er und gibt sie dem Auftraggeber auf Anfrage bekannt.
(4) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des technisch Möglichen bei der Erfüllung der Anträge und Ansprüche betroffener Personen (Kapitel III DSGVO); Näheres regelt § 5.
(5) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm verfügbaren Informationen bei der Einhaltung der Art. 32 bis 36 DSGVO. Er stellt sicher, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind und dass diese Pflicht auch nach Beendigung des Auftrags fortbesteht.
(6) Meldung von Datenschutzverletzungen. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten des Auftraggebers bekannt geworden ist, so rechtzeitig und vollständig, dass der Auftraggeber seinen Pflichten nach Art. 33, 34 DSGVO nachkommen kann. Die Meldung enthält mindestens die in Anlage 4 genannten Angaben; fehlende Angaben können ohne unangemessene Verzögerung schrittweise nachgereicht werden.
(7) Der Auftragnehmer benennt dem Auftraggeber einen Kontakt für Datenschutzfragen: TODO(owner): Datenschutzkontakt/-E-Mail (z. B. privacy@paasbox.com); ggf. Datenschutzbeauftragten benennen, falls nach Art. 37 DSGVO erforderlich.
(8) Löschung/Rückgabe bei Beendigung. Nach Beendigung des Auftrags löscht der Auftragnehmer die verarbeiteten Daten des Auftraggebers, sofern keine gesetzliche Aufbewahrungspflicht besteht. Konkret: Der beim Auftragnehmer gehaltene Steuerungsebenen-Zustand (etcd) und dessen Sicherungen werden mit Löschung des Clusters bzw. Vertragsende gelöscht; der Auftraggeber kann sie zuvor jederzeit über kubeconfig/API exportieren (Ziffer 2.8 der Leistungsbeschreibung). Adoptierte Server werden in den Bestand des Auftraggebers entlassen und niemals gelöscht; ihre Inhalte liegen im Hetzner-Projekt des Auftraggebers. Die Löschung wird auf Anfrage bestätigt.
§ 4 Pflichten des Auftraggebers
Section titled “§ 4 Pflichten des Auftraggebers”(1) Der Auftraggeber erteilt Weisungen im Rahmen dieses AVV und trägt die Verantwortung für ihre Rechtmäßigkeit. Er benennt dem Auftragnehmer einen Kontakt für Datenschutzfragen und hält dessen Angaben aktuell. Im Kundenportal ist dies regelmäßig der Team-Administrator.
(2) Der Auftraggeber unterrichtet den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
§ 5 Anfragen betroffener Personen
Section titled “§ 5 Anfragen betroffener Personen”Wendet sich eine betroffene Person mit einem Antrag nach Kapitel III DSGVO an den Auftragnehmer, verweist dieser sie unverzüglich an den Auftraggeber und leitet den Antrag weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des technisch Möglichen und auf Weisung bei der Beantwortung. Auskünfte an Dritte erteilt der Auftragnehmer nur, soweit er hierzu gesetzlich verpflichtet ist.
§ 6 Nachweismöglichkeiten und Kontrollrechte
Section titled “§ 6 Nachweismöglichkeiten und Kontrollrechte”(1) Der Auftragnehmer weist die Einhaltung seiner Pflichten mit geeigneten Mitteln nach und stellt dem Auftraggeber auf Anforderung die erforderlichen Informationen zur Verfügung, insbesondere zur Umsetzung der TOM nach Art. 32 DSGVO. Der Nachweis kann auch durch aktuelle Testate, Berichte unabhängiger Stellen, Selbstaudits oder eine geeignete Zertifizierung (z. B. ISO 27001, BSI C5) erfolgen. TODO(owner): vorhandene Zertifizierungen/Testate benennen oder Feld streichen.
(2) Auf Verlangen ermöglicht der Auftragnehmer Prüfungen der von diesem AVV erfassten Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen einer Nichteinhaltung und wirkt daran mit. Vor-Ort-Inspektionen sind auf eine reguläre Prüfung pro Kalenderjahr beschränkt und mit angemessener Vorankündigung während der üblichen Geschäftszeiten durchzuführen; anlassbezogene Kontrollen bleiben unberührt. Die Prüfung erfolgt ohne Störung des Betriebsablaufs und unter Wahrung der Sicherheits- und Vertraulichkeitsinteressen des Auftragnehmers; jede Partei trägt ihre eigenen Kosten.
§ 7 Weitere Auftragsverarbeiter (Unterauftragsverarbeiter)
Section titled “§ 7 Weitere Auftragsverarbeiter (Unterauftragsverarbeiter)”(1) Die in Anlage 3 aufgeführten Unterauftragsverarbeiter gelten als vom Auftraggeber genehmigt.
(2) Allgemeine Genehmigung mit Widerspruchsrecht. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Unterauftragsverarbeiter einzusetzen. Der Auftragnehmer informiert den Auftraggeber vor Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters in Textform. Der Auftraggeber kann innerhalb von 14 Kalendertagen aus wichtigem datenschutzrechtlichem Grund widersprechen; erfolgt kein Widerspruch, gilt die Zustimmung als erteilt. In Notfällen (z. B. dringendes Sicherheitsrisiko, unvorhergesehener Ausfall) darf der Auftragnehmer ohne Einhaltung der Frist tätig werden und informiert unverzüglich.
(3) Der Auftragnehmer führt eine aktuelle Liste aller Unterauftragsverarbeiter mit Name, Anschrift, Teilleistung und Ort der Verarbeitung (Anlage 3) und stellt sie über einen dauerhaft zugänglichen Weg bereit.
(4) Der Auftragnehmer verpflichtet jeden Unterauftragsverarbeiter nach Art. 28 Abs. 4 DSGVO auf dieselben Datenschutzpflichten und haftet dem Auftraggeber für deren Einhaltung.
(5) Abgrenzung. Für die im eigenen Hetzner-Projekt des Kunden entstehenden Ressourcen (Worker-Knoten, Load Balancer, Volumes) ist Hetzner kein Unterauftragsverarbeiter des Auftragnehmers; insoweit besteht ein eigenständiges Vertragsverhältnis des Auftraggebers mit Hetzner. Als Unterauftragsverarbeiter des Auftragnehmers gilt Hetzner nur, soweit die Plattform- und Steuerungsebenen-Infrastruktur (Seeds, etcd) des Auftragnehmers dort betrieben wird (Anlage 3). Reine Nebenleistungen ohne Zugriff auf Auftraggeberdaten sind keine Unterauftragsverarbeitung.
§ 8 Übermittlung in Drittstaaten
Section titled “§ 8 Übermittlung in Drittstaaten”Eine Verarbeitung findet ausschließlich in der Bundesrepublik Deutschland, in einem Mitgliedstaat der EU oder in einem anderen Vertragsstaat des EWR statt (Ziffer 4.4 SaaS Bitkom, Ziffer 2.9 der Leistungsbeschreibung). Eine Übermittlung in Drittstaaten erfolgt nicht; sie bedürfte einer dokumentierten Weisung des Auftraggebers und der Einhaltung der Art. 44 ff. DSGVO.
§ 9 Haftung
Section titled “§ 9 Haftung”Für die Haftung im Verhältnis der Parteien gilt die im Hauptvertrag und den einbezogenen Bitkom-Modulen (insbesondere Ziffer 6 AV Bitkom) vereinbarte Haftungsregelung auch für diesen AVV. Im Verhältnis zu betroffenen Personen haften Auftraggeber und Auftragnehmer nach Art. 82 DSGVO.
§ 10 Informationspflichten, Form, Rechtswahl, Vorrang
Section titled “§ 10 Informationspflichten, Form, Rechtswahl, Vorrang”(1) Werden Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, ein Insolvenz- oder Vergleichsverfahren oder sonstige Maßnahmen Dritter gefährdet, informiert der Auftragnehmer den Auftraggeber unverzüglich und weist die Beteiligten darauf hin, dass die Datenhoheit ausschließlich beim Auftraggeber liegt.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform und des ausdrücklichen Hinweises, dass es sich um eine Änderung dieser Anlage handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Ist eine Bestimmung dieses AVV unwirksam, bleibt der AVV im Übrigen wirksam (salvatorische Klausel). Es gilt deutsches Recht.
Anlage 1 — Details der Auftragsverarbeitung
Section titled “Anlage 1 — Details der Auftragsverarbeitung”Verantwortlicher (Auftraggeber): der Kunde gemäß Hauptvertrag. Auftragsverarbeiter (Auftragnehmer): der Anbieter. TODO(owner): Rechtsträger, siehe Impressum.
Gegenstand der Verarbeitung. Betrieb der verwalteten Kubernetes-Steuerungsebene auf Infrastruktur des Auftragnehmers, d. h. Speicherung, Sicherung, Wiederherstellung und technischer Betrieb des Steuerungsebenen-Zustands (etcd) jedes Clusters im Auftrag des Auftraggebers, wie in der Leistungsbeschreibung beschrieben.
Art und Zweck der Verarbeitung. Speichern, Sichern (fortlaufende Backups), Wiederherstellen und Verwalten des etcd-Zustands zur Erbringung des Managed-Kubernetes-Dienstes. Keine Nutzung zu eigenen Zwecken des Auftragnehmers; keine Auswertung der Inhalte.
Kategorien betroffener Personen. Werden ausschließlich vom Auftraggeber bestimmt: die natürlichen Personen, deren personenbezogene Daten der Auftraggeber in Kubernetes-Objekte des Clusters einstellt — typischerweise Beschäftigte, Endkunden oder Kontakte des Auftraggebers. Der Auftragnehmer bestimmt diese Kategorien nicht und kennt sie regelmäßig nicht.
Art der personenbezogenen Daten. Werden ausschließlich vom Auftraggeber bestimmt: alle personenbezogenen Daten, die der Auftraggeber im Steuerungsebenen-Zustand (etcd) ablegt — z. B. Zugangsdaten, Token, Konfigurationswerte und Objekt-Metadaten in Kubernetes-Secrets/-ConfigMaps. Nicht Gegenstand dieses AVV sind Workload-/Anwendungsdaten auf Worker-Knoten und in Volumes; diese liegen im eigenen Hetzner-Projekt des Auftraggebers. Besondere Kategorien (Art. 9 DSGVO): nur, soweit der Auftraggeber solche Daten in Kubernetes-Objekte einstellt. Der Auftraggeber sollte dies vermeiden; stellt er sie ein, trägt er die Verantwortung und weist den Auftragnehmer ggf. auf erhöhte Schutzanforderungen hin.
Dauer der Speicherung / Löschung. Der etcd-Zustand und dessen Sicherungen werden mit Löschung des Clusters bzw. Vertragsende gelöscht (§ 3 Abs. 8). Der Auftraggeber kann die Daten zuvor jederzeit über kubeconfig/API exportieren.
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Section titled “Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)”Vertraulichkeit (Zugangs-/Zugriffskontrolle).
- Das vom Kunden bereitgestellte Hetzner-API-Token wird verschlüsselt gespeichert, nach der Validierung nie wieder angezeigt (auch nicht im Portal, in der API oder gegenüber dem Support) und ist auf ein Hetzner-Projekt beschränkt; der Kunde kann es jederzeit rotieren oder bei Hetzner widerrufen.
- Geheimnisse werden über schreibgeschützte Referenzen verwaltet und nie zurückgegeben.
- Ein einziger, kontrollierter Schreibpfad (Portal/API); kein stehender Zugang im Kunden-Projekt, kein zurückbehaltener SSH-Zugang; Knoten verbinden sich ausschließlich ausgehend zu ihrer Steuerungsebene.
- Kurzlebige Admin-Zugangsdaten (kubeconfig, Gültigkeit maximal 8 Stunden), auf Anforderung ausgestellt, nicht auf Anbieterseite gespeichert, bei Ausstellung im Aktivitätsprotokoll des Teams auditiert.
- API-Schlüssel mit least-privilege-Scopes, je Team abgegrenzt (Mandantentrennung: ein Gardener-Projekt je Team, ein Cluster je Isolationseinheit).
Integrität und Verfügbarkeit.
- Fortlaufende Sicherungen des etcd-Zustands (inkrementelle Deltas etwa alle fünf Minuten, periodische Vollsnapshots) in ein von den Steuerungsebenen-Maschinen unabhängiges, S3-kompatibles Objektspeicher-System in der EU.
- Wiederherstellbarkeit der Steuerungsebene aus dieser Sicherungskette.
- Never-Delete-Invariante für adoptierte Server (kein Löschpfad; zusätzlich Hetzner-Löschschutz).
Ort der Verarbeitung. Ausschließlich Rechenzentren in der EU (Hetzner, EU).
Verschlüsselung des etcd-Zustands. TODO(owner): Verschlüsselung des etcd-Zustands bzw. der Kubernetes-Secrets at rest auf den Seeds bestätigen und hier präzise beschreiben.
Weitere Maßnahmen. TODO(owner): Protokollierung/Monitoring, Löschkonzept, Verpflichtung der Beschäftigten auf Vertraulichkeit, Belastbarkeit/Wiederanlauf, regelmäßige Überprüfung der TOM konkretisieren.
Anlage 3 — Unterauftragsverarbeiter
Section titled “Anlage 3 — Unterauftragsverarbeiter”Genehmigt sind bei Vertragsschluss:
| Unterauftragsverarbeiter | Teilleistung | Ort |
|---|---|---|
| Hetzner Online GmbH | Bereitstellung der Plattform- und Steuerungsebenen-Infrastruktur (Seeds, etcd) des Anbieters | EU (Deutschland/Finnland) |
| S3-kompatibler Objektspeicher (EU) | Ablage der etcd-Sicherungen | EU |
TODO(owner): den genauen Anbieter des etcd-Backup-Objektspeichers benennen (z. B. Hetzner Object Storage oder ein anderer EU-Anbieter) und die Hetzner-Standorte bestätigen. Liste aktuell halten und unter einer dauerhaften URL bereitstellen.
Nicht Unterauftragsverarbeiter dieses AVV:
- Hetzner hinsichtlich der Ressourcen im eigenen Hetzner-Projekt des Kunden (Worker-Knoten, Load Balancer, Volumes) — eigenständiges Vertragsverhältnis des Kunden mit Hetzner (§ 7 Abs. 5).
- Stripe (Abrechnung) und Mailjet (Newsletter der Website) — sie verarbeiten Daten, für die der Anbieter Verantwortlicher ist; sie sind in der Datenschutzerklärung als Auftragsverarbeiter des Anbieters aufgeführt, nicht als Unterauftragsverarbeiter dieses AVV.
Anlage 4 — Mindestinhalt einer Meldung nach § 3 Abs. 6
Section titled “Anlage 4 — Mindestinhalt einer Meldung nach § 3 Abs. 6”Eine Meldung einer Verletzung des Schutzes personenbezogener Daten enthält, soweit möglich:
- Beschreibung des Vorfalls und der Art der Verletzung;
- betroffene Kategorien und ungefähre Zahl der betroffenen Personen;
- betroffene Kategorien und ungefähre Zahl der betroffenen Datensätze;
- betroffene Systeme/Verfahren und Zeitpunkt (Eintritt und Feststellung);
- voraussichtliche Folgen des Vorfalls;
- ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Risikominderung;
- Kontaktstelle für weitere Informationen.
Diese Angaben können ohne unangemessene Verzögerung schrittweise nachgereicht werden.