23 Jahre aus Stockholm
Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag (AVV / DPA)

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Klare Datenresidenz EU, dokumentierte Unterauftragsverarbeiter, ISO 27001-Auditrecht.

1. Vertragsgegenstand

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden (Verantwortlicher) durch Authorize Hosting AB (Auftragsverarbeiter) gemäß Art. 28 DSGVO.

Der AVV ergänzt den Hauptvertrag über die Bereitstellung von E-Mail-Infrastruktur-Diensten und ist Bestandteil des Vertrags zwischen den Parteien.

2. Gegenstand und Dauer der Auftragsverarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Rahmen der Bereitstellung folgender Dienste:

  • SMTP-Relay-Dienste
  • Email API
  • PowerMTA-Server (gemanagt oder Self-Hosted)
  • Dedizierte E-Mail-Server
  • Gemanagte Zustellbarkeits-Dienste

Die Verarbeitung erfolgt für die Dauer des Hauptvertrags.

3. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst:

  • Übermittlung von E-Mails im Auftrag des Verantwortlichen
  • Verarbeitung von Bounces und Beschwerden
  • Reputations-Management der Versand-Infrastruktur
  • Erstellung von Versand-Logs und Reports

4. Art der personenbezogenen Daten

  • E-Mail-Adressen der Empfänger
  • Inhalte der E-Mails (soweit personenbezogene Daten enthalten sind)
  • IP-Adressen (in Versand-Logs und FBL-Daten)
  • Versand-Status-Daten (Delivered, Bounced, Complained)

5. Kategorien betroffener Personen

Empfänger der vom Verantwortlichen versendeten E-Mails — Kunden, Interessenten, Mitarbeiter, Geschäftspartner.

6. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
  • Verpflichtung der Mitarbeiter zur Vertraulichkeit
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
  • Unterstützung des Verantwortlichen bei Betroffenenrechten
  • Unterstützung bei Datenschutz-Folgenabschätzungen
  • Meldung von Datenschutzverletzungen ohne unangemessene Verzögerung
  • Löschung oder Rückgabe der Daten nach Vertragsende
  • Nachweis der Einhaltung der Verpflichtungen

7. Unterauftragsverarbeiter

Der Auftragsverarbeiter darf folgende Unterauftragsverarbeiter einsetzen:

  • Hetzner Online GmbH (Frankfurt, Deutschland) — Hardware-Hosting
  • Cloudflare Inc. (San Francisco, USA, EU-Datenresidenz konfiguriert) — DNS
  • Stripe Payments Europe (Dublin, Irland) — Zahlungsabwicklung

Eine Änderung der Unterauftragsverarbeiter wird mindestens 30 Tage im Voraus schriftlich angekündigt.

8. Datenschutzverletzung

Der Auftragsverarbeiter meldet dem Verantwortlichen Datenschutzverletzungen unverzüglich nach Bekanntwerden, spätestens innerhalb von 24 Stunden.

9. Beendigung der Auftragsverarbeitung

Nach Beendigung des Vertrags werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht oder zurückgegeben. Ausnahme: gesetzliche Aufbewahrungspflichten (z.B. Rechnungs-Daten 10 Jahre nach §147 AO).

10. Audit-Rechte

Der Verantwortliche hat das Recht, die Einhaltung des AVV zu überprüfen — entweder durch eigene Audits (mit angemessener Vorankündigung) oder durch unabhängige Prüfungen wie ISO 27001-Zertifikat oder SOC 2-Report.

11. Anwendbares Recht

Es gilt das Recht der Republik Schweden sowie die DSGVO. Streitigkeiten unterliegen der Gerichtsbarkeit von Stockholm, Schweden.

Eine ausführliche AVV-Vorlage zur Unterzeichnung wird im Onboarding-Prozess bereitgestellt. Stand: 1. Januar 2026.