Zum Inhalt springen
Selector7
Kostenlos testen

Rechtliches

Auftragsverarbeitungsvertrag

Vereinbarung nach Art. 28 DSGVO zwischen Auftraggeber und Selector7.

Entwurf — noch nicht rechtsgültig

Dieser Text ist ein Entwurf. Platzhalter wie [Firma], [Adresse] oder [HRB] müssen durch reale Daten ersetzt werden. Vor Veröffentlichung von einer auf Internetrecht spezialisierten Kanzlei prüfen lassen.

Präambel

Der Auftraggeber (Verantwortlicher im Sinne der DSGVO) und der Auftragnehmer ([Firma], Selector7) haben einen Hauptvertrag über die Nutzung der Selector7- Plattform abgeschlossen. Die Erbringung dieser Leistungen umfasst die Verarbeitung personenbezogener Daten durch Selector7 im Auftrag des Auftraggebers. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO.

§ 1 Gegenstand, Dauer und Spezifikation der Verarbeitung

(1) Gegenstand: Verarbeitung personenbezogener Daten zur Erbringung der im Hauptvertrag vereinbarten Leistungen (DMARC-Monitoring, Auswertung von DMARC-Aggregate- und Forensic-Reports, Alerting, Reporting).

(2) Dauer: Diese Vereinbarung gilt für die Laufzeit des Hauptvertrags.

(3) Art und Zweck der Verarbeitung: automatisierte Auswertung von E-Mail-Authentifizierungs-Daten, Erkennung von Anomalien, Benachrichtigung des Auftraggebers.

(4) Datenkategorien:

  • E-Mail-Adressen aus DMARC-Reports (Absender und Reporter)
  • IP-Adressen aus DMARC-Reports (sendende Server)
  • Kontaktdaten der durch den Auftraggeber benannten Nutzer der Plattform

(5) Kategorien betroffener Personen: Nutzer des Auftraggebers, Empfänger und Absender von E-Mails über die überwachten Domains.

§ 2 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Vereinbarungen und nach Weisung des Auftraggebers.

(2) Weisungen werden vor Vertragsschluss durch den Hauptvertrag begründet und können vom Auftraggeber jederzeit in Textform geändert werden.

(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

§ 3 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft die im Folgenden konkretisierten technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung im Sinne von Art. 32 DSGVO:

  • Verschlüsselung: TLS 1.3 für alle Verbindungen; AES-256 At-Rest bei Cloudflare D1.
  • Pseudonymisierung: Domains werden im Klartext nicht persistent gespeichert. Bei Public-Tools nur SHA-256-Hash. IP-Adressen werden nicht gespeichert.
  • Vertraulichkeit: Zwei-Faktor-Authentifizierung für alle Mitarbeitenden mit Datenzugriff, Need-to-know-Prinzip, RBAC-System.
  • Integrität: Audit-Trail für alle Konfigurations- und Berechtigungsänderungen, signierte Logs.
  • Verfügbarkeit: Multi-Edge-Hosting auf Cloudflare Workers (EU-Region), automatisierte Backups, Disaster-Recovery-Konzept.
  • Belastbarkeit: Lasttests, regelmäßige Penetration-Tests durch externe Prüfer.
  • Wiederherstellbarkeit: Tegliche verschlüsselte Backups mit Point-in-Time-Recovery bis 30 Tage.
  • Verfahren zur regelmäßigen Überprüfung: Jährliches internes Audit, externes Audit alle zwei Jahre.

§ 4 Unterauftragsverarbeiter

(1) Die Inanspruchnahme der nachfolgend genannten Unterauftragsverarbeiter wird vom Auftraggeber genehmigt. Diese verarbeiten Daten ausschließlich innerhalb der EU/EWR:

Unterauftragnehmer Zweck Standort
Cloudflare Germany GmbH Hosting, Edge-Compute, DNS, DDoS-Schutz, Datenbank (D1, KV) Frankfurt am Main, DE
Resend GmbH Transaktionaler Mailversand (Bestätigungen, Reports) EU

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich bei einer geplanten änderung der Unterauftragsverarbeiter und gibt dem Auftraggeber Gelegenheit zum Einspruch innerhalb von 30 Tagen.

§ 5 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen, insbesondere durch Bereitstellung von Export- und Löschfunktionen im Self-Service.

§ 6 Meldepflicht bei Datenpannen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit dem Auftragnehmer bekannt.

§ 7 Kontroll- und Auditrechte

(1) Der Auftraggeber hat das Recht, sich von der Einhaltung dieser Vereinbarung durch den Auftragnehmer zu überzeugen — entweder durch Vorlage von Zertifikaten, Prüfberichten oder durch ein Audit vor Ort nach vorheriger Ankündigung mit angemessener Frist.

(2) Die Kosten eines Audits trägt der Auftraggeber, es sei denn, das Audit deckt Verstöße des Auftragnehmers auf.

§ 8 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Auf Wunsch des Auftraggebers werden die Daten vorab exportiert und in einem strukturierten, maschinenlesbaren Format übergeben.

§ 9 Schlussbestimmungen

(1) Diese Vereinbarung tritt mit Abschluss des Hauptvertrags in Kraft und endet automatisch mit dessen Beendigung. Einzelne Regelungen wirken nach.

(2) änderungen und Ergänzungen bedürfen der Textform.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist — soweit zulässig — Frankfurt am Main.

Stand: [Datum der letzten Aktualisierung]