Auftragsverarbeitungsvertrag (AVV/DPA)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus dem Hauptvertrag über die Nutzung der Video-Hosting-Dienste ergeben.

Der AVV gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragsverarbeiters oder durch ihn beauftragte Unterauftragnehmer personenbezogene Daten des Verantwortlichen verarbeiten.

§ 1 Definitionen

Verantwortlicher: Der Kunde, der die Video-Hosting-Dienste nutzt.

Auftragsverarbeiter: AboveStream GmbH, Musterstraße 123, 10115 Berlin.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

§ 2 Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung

Die Verarbeitung umfasst die Speicherung, Verwaltung und Bereitstellung von Videoinhalten sowie damit verbundener Metadaten im Rahmen der Video-Hosting-Dienste.

Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Nach Vertragsende werden die Daten gemäß den Regelungen in § 10 dieses AVV gelöscht.

§ 3 Art und Zweck der Verarbeitung

Art der Verarbeitung	Zweck
Speicherung	Bereitstellung der Video-Hosting-Infrastruktur
Transcoding	Konvertierung von Videos in verschiedene Qualitätsstufen
Übermittlung	Auslieferung der Videos an autorisierte Endnutzer
Protokollierung	Erstellung von Nutzungsstatistiken und Fehleranalyse

§ 4 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten können verarbeitet werden:

• Videoinhalte (soweit Personen erkennbar sind)
• Metadaten zu Videos (Titel, Beschreibung, Tags)
• Benutzerdaten (Name, E-Mail-Adresse, Rolle)
• Zugriffsprotokolle (IP-Adresse anonymisiert, Zeitstempel)
• Nutzungsstatistiken (Views, Wiedergabedauer)

§ 5 Kategorien betroffener Personen

• Mitarbeiter des Verantwortlichen
• Kunden des Verantwortlichen
• Personen, die in den Videoinhalten erscheinen
• Nutzer, die auf die Videos zugreifen

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
2. Die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten
3. Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
4. Unterauftragsverarbeiter nur mit vorheriger Genehmigung einzusetzen
5. Den Verantwortlichen bei der Erfüllung seiner Pflichten zu unterstützen
6. Nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben
7. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung bereitzustellen

§ 7 Technische und organisatorische Maßnahmen

Vertraulichkeit

• Zutrittskontrolle: Biometrische Zugangssysteme, 24/7 Überwachung
• Zugangskontrolle: Multi-Faktor-Authentifizierung, rollenbasierte Zugriffsrechte
• Zugriffskontrolle: Berechtigungskonzept, Protokollierung aller Zugriffe
• Trennungskontrolle: Mandantentrennung, separate Datenbanken

Integrität

• Weitergabekontrolle: TLS 1.3 Verschlüsselung, signierte URLs
• Eingabekontrolle: Vollständige Audit-Logs mit Zeitstempel und Benutzeridentifikation

Verfügbarkeit und Belastbarkeit

• Redundante Speicherung in geografisch getrennten Rechenzentren
• Tägliche Backups mit 30-tägiger Aufbewahrung
• Disaster-Recovery-Plan mit definierten RTOs und RPOs
• DDoS-Schutz und Web Application Firewall

Verfahren zur regelmäßigen Überprüfung

• Jährliche interne Sicherheitsaudits
• Penetrationstests durch externe Dienstleister
• Kontinuierliche Schwachstellenüberwachung

§ 8 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz weiterer Auftragsverarbeiter.

Aktuelle Liste der Unterauftragsverarbeiter:

Unternehmen	Leistung	Standort
Hetzner Online GmbH	Server-Hosting, Speicher	Deutschland
Bunny CDN	Content Delivery (nur EU-Server)	EU

Bei beabsichtigten Änderungen wird der Auftragsverarbeiter den Verantwortlichen mindestens 30 Tage vorher informieren. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen widersprechen.

§ 9 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

• Der Beantwortung von Anfragen betroffener Personen
• Der Meldung von Datenschutzverletzungen an die Aufsichtsbehörde
• Der Durchführung von Datenschutz-Folgenabschätzungen
• Prüfungen durch Aufsichtsbehörden

§ 10 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Auf Wunsch des Verantwortlichen werden die Daten vor der Löschung in einem gängigen Format exportiert und zum Download bereitgestellt.

§ 11 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Auftragsverarbeiter stellt auf Anfrage alle erforderlichen Informationen bereit.

Inspektionen vor Ort sind nach vorheriger Ankündigung (mindestens 14 Tage) und während der üblichen Geschäftszeiten möglich. Die Kosten trägt der Verantwortliche.

§ 12 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten.

Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl der betroffenen Personen
• Wahrscheinliche Folgen der Verletzung
• Ergriffene oder vorgeschlagene Maßnahmen

§ 13 Schlussbestimmungen

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Änderungen bedürfen der Schriftform.