Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Stand: Juli 2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag") konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen dem Kunden als Verantwortlichem (nachfolgend „Auftraggeber") und dem Betreiber von Webalyzr als Auftragsverarbeiter im Rahmen der Nutzung des Webalyzr-Mitgliederbereichs. Er gilt ergänzend zu den Nutzungsbedingungen und wird mit Aktivierung eines Kontos im Mitgliederbereich wirksam.
1. Auftragsverarbeiter
IT-Service Matthias Tichý (MT-Computerservice), Lindenufer 39, 13597 Berlin, E-Mail: support@webalyzr.de (nachfolgend „Auftragnehmer").
2. Gegenstand und Dauer
Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers zum Zweck der Bereitstellung der Webalyzr-Dienste (DMARC-/TLS-RPT-Report-Auswertung, Managed DNS-Dienste, Reputations- und Sicherheitsüberwachung sowie zugehörige Benachrichtigungen). Die Dauer richtet sich nach dem zugrunde liegenden Nutzungsverhältnis und endet mit dessen Beendigung.
3. Art, Umfang und Zweck der Verarbeitung
Art der Verarbeitung: Erheben, Erfassen, Speichern, Auslesen, Auswerten, Ordnen, Übermitteln (an Berichtsempfänger) und Löschen.
Zweck: Überwachung und Verwaltung der E-Mail-Authentifizierung und -Sicherheit der vom Auftraggeber verwalteten Domains.
Art der Daten: Kontodaten der Nutzer (E-Mail-Adresse), in DMARC-/TLS-RPT-Aggregat-Reports enthaltene IP-Adressen und Server-Kennungen, ggf. in optionalen Forensic-Reports enthaltene E-Mail-Metadaten, Domain- und DNS-bezogene Konfigurationsdaten, Protokolldaten (Audit-Log).
Kategorien betroffener Personen: Nutzer des Mitgliederbereichs des Auftraggebers sowie Absender/Empfänger von E-Mails, die die Domains des Auftraggebers betreffen.
4. Weisungsgebundenheit
Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, soweit er nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. Er informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
5. Vertraulichkeit
Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
6. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung und hält diese während der Vertragsdauer aufrecht.
7. Unterauftragsverarbeiter
Der Auftraggeber stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter; der Auftraggeber kann berechtigten Einwendungen widersprechen. Der Auftragnehmer verpflichtet die Unterauftragsverarbeiter auf ein dem vorliegenden Vertrag entsprechendes Datenschutzniveau.
8. Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Möglichen bei der Erfüllung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).
9. Meldung von Verletzungen
Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden.
10. Löschung und Rückgabe
Nach Abschluss der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers sämtliche personenbezogenen Daten oder gibt sie zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Nach Kontolöschung werden Daten des Mitgliederbereichs regelmäßig innerhalb von 30 Tagen gelöscht.
11. Nachweise und Kontrollen
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang.
12. Ort der Verarbeitung
Die Verarbeitung findet in der Europäischen Union bzw. im Europäischen Wirtschaftsraum statt. Erfolgt im Einzelfall eine Verarbeitung durch einen Unterauftragsverarbeiter in einem Drittland (siehe Anlage 2), wird ein angemessenes Schutzniveau durch geeignete Garantien (z. B. EU-Standardvertragsklauseln oder einen Angemessenheitsbeschluss / EU-US Data Privacy Framework) sichergestellt.
Anlage 1 – Technische und organisatorische Maßnahmen (TOM)
- Mandantentrennung: Logische Trennung der Kundendaten in der Datenbank durch verpflichtende Row-Level-Security (RLS) je Mandant.
- Verschlüsselung: Transportverschlüsselung (TLS) für alle Verbindungen; Verschlüsselung sensibler Geheimnisse und des Audit-Logs in der Datenbank (AES-256-GCM).
- Zugriffskontrolle: Passwort-Hashing (scrypt), optionale Zwei-Faktor-Authentifizierung (TOTP), rollenbasiertes Rechtemodell, Sitzungs-Cookies (httpOnly).
- Protokollierung: Verschlüsseltes Audit-Log aller sicherheitsrelevanten Änderungen und Anmeldungen, nur für Administratoren des Mandanten abrufbar.
- Eingabekontrolle: Nachvollziehbarkeit von Änderungen über das Audit-Log.
- Verfügbarkeit: Betrieb auf gehärteter Server-Infrastruktur in Deutschland, regelmäßige Aktualisierung, getrennte Datenbank-Rollen mit minimalen Rechten.
- Datenminimierung: Forensic-Reports (mit möglichen Nachrichteninhalten) sind Opt-in und gehen ausschließlich an eine vom Auftraggeber bestimmte Adresse, nicht an den Auftragnehmer.
Anlage 2 – Unterauftragsverarbeiter
| Dienstleister | Leistung | Ort |
|---|---|---|
| IONOS SE | Server-/Hosting-Infrastruktur, DNS | Deutschland |
| BunnyWay d.o.o. (Bunny.net) | DNS, Auslieferung der MTA-STS-Policy-Datei (CDN, Auto-SSL) | EU (Slowenien) |
| Microsoft Ireland Operations Ltd. | E-Mail-Postfach für den Empfang von Reports (Microsoft 365 / Graph) | EU, ggf. Drittland (Garantien: EU-SCC / EU-US DPF) |
Hinweis: Dieser AVV wird bei Bedarf als unterzeichenbares Dokument bereitgestellt. Bei Fragen zur Auftragsverarbeitung: support@webalyzr.de.