Auftragsverarbeitung gemäß Art. 28 DSGVO

Internet Viennaweb Service GmbH
Perfektastraße 21/2/30, 1230 Wien, Österreich

Stand: April 2026

1. Gegenstand und Geltungsbereich

Diese Regelungen zur Auftragsverarbeitung gelten für sämtliche Leistungen der Internet Viennaweb Service GmbH, nachfolgend „Viennaweb“ genannt, bei denen Viennaweb im Rahmen technischer Dienstleistungen personenbezogene Daten im Auftrag eines Kunden verarbeitet oder eine technische Zugriffsmöglichkeit auf solche Daten bestehen kann.

Dies betrifft insbesondere Leistungen in den Bereichen Webhosting, E-Mail-Dienste, Datenbankbetrieb, Serverbetrieb, Datensicherung, technische Migrationen, Sicherheitsmaßnahmen, Netzwerkbetrieb sowie vergleichbare technische Infrastrukturleistungen.

Dieses Dokument ergänzt die Allgemeinen Geschäftsbedingungen von Viennaweb. Soweit einzelne Regelungen dieses Dokuments strengere oder speziellere datenschutzrechtliche Vorgaben enthalten, gehen diese für den Bereich der Auftragsverarbeitung den allgemeinen Regelungen vor.

2. Verantwortlichkeit für die Datenverarbeitung

Der Kunde ist im Sinne der Datenschutz-Grundverordnung (DSGVO) Verantwortlicher für sämtliche personenbezogenen Daten, die er im Rahmen der Nutzung der von Viennaweb bereitgestellten Dienstleistungen verarbeitet, speichert, übermittelt oder in sonstiger Weise technisch verarbeiten lässt.

Viennaweb stellt dem Kunden ausschließlich die technische Infrastruktur zur Verfügung, insbesondere Webspace, Serverressourcen, E-Mail-Dienste, Datenbanken, Datensicherungen und Netzwerkanbindungen. Der Kunde entscheidet eigenständig und ausschließlich über Art, Umfang, Zweck und Dauer der von ihm verarbeiteten personenbezogenen Daten. Viennaweb hat auf diese inhaltliche Datenverarbeitung grundsätzlich keinen Einfluss.

Der Kunde bleibt insbesondere verantwortlich für die Rechtmäßigkeit der Verarbeitung, für die Erfüllung datenschutzrechtlicher Informationspflichten, für das Vorliegen einer wirksamen Rechtsgrundlage, für den Abschluss allfälliger weiterer Datenschutzvereinbarungen mit Dritten sowie für die datenschutzkonforme Ausgestaltung seiner eigenen Anwendungen, Websites, Shops, Kontaktformulare, Datenbanken und E-Mail-Nutzungen.

3. Rolle von Viennaweb als Auftragsverarbeiter

Soweit personenbezogene Daten im Rahmen der Nutzung der Hosting- und Infrastrukturleistungen verarbeitet werden, erfolgt diese Verarbeitung durch Viennaweb als Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

Die Verarbeitung erfolgt ausschließlich zur Bereitstellung der vertraglich vereinbarten technischen Dienstleistungen. Dies umfasst insbesondere die Speicherung von Webseiten und Dateien, den Betrieb von Datenbanken, die Bereitstellung von E-Mail-Diensten, Datensicherungssysteme, den Netzwerk- und Serverbetrieb, die technische Administration der Infrastruktur, Maßnahmen zur Störungsbehebung sowie sicherheitsbezogene technische Eingriffe.

Viennaweb verarbeitet personenbezogene Daten des Kunden ausschließlich im Auftrag und nach Maßgabe des zugrunde liegenden Vertragsverhältnisses und nicht zu eigenen inhaltlichen Zwecken. Eine inhaltliche Bewertung oder wirtschaftliche Verwertung der Kundendaten durch Viennaweb findet nicht statt.

4. Art der verarbeiteten Daten und Kategorien betroffener Personen

Die konkreten Kategorien personenbezogener Daten hängen von den vom Kunden genutzten Diensten und den vom Kunden auf den Systemen von Viennaweb gespeicherten oder verarbeiteten Inhalten ab. Dazu können insbesondere gehören:

• Stammdaten, Kontaktdaten und Kommunikationsdaten,
• Bestell-, Vertrags-, Rechnungs- und Kundendaten,
• Websiteinhalte, Formulareingaben und Datenbankinhalte,
• E-Mail-Adressen, E-Mail-Inhalte und Metadaten des Mailverkehrs,
• Authentifizierungsdaten und Systemzugangsdaten,
• technische Protokolldaten, Logfiles und sicherheitsbezogene Metadaten.

Betroffene Personen können insbesondere Endkunden des Kunden, Interessenten, Mitarbeiter, Bewerber, Lieferanten, Kommunikationspartner, Websitebesucher, Ansprechpartner sowie sonstige Personen sein, deren Daten durch den Kunden auf den Systemen von Viennaweb verarbeitet werden.

5. Zugriffsmöglichkeiten auf Kundendaten

Im Rahmen des technischen Betriebs kann eine Zugriffsmöglichkeit auf gespeicherte Daten bestehen, insbesondere durch Systemadministratoren, Netzwerkadministratoren und Mitarbeiter des Network Operations Center (NOC), soweit ein solcher Zugriff technisch erforderlich ist.

Ein Zugriff erfolgt ausschließlich, wenn dies zur Fehleranalyse, Wartung, Sicherstellung des Betriebs, Behebung technischer Störungen, Wiederherstellung von Diensten, Abwehr von Sicherheitsbedrohungen, Bearbeitung konkreter Supportfälle oder zur Umsetzung gesetzlicher bzw. behördlicher Anforderungen notwendig ist.

Ein Zugriff erfolgt grundsätzlich nicht zum Zweck einer inhaltlichen Einsichtnahme in Kundendaten. Soweit ausnahmsweise eine inhaltliche Einsicht technisch unvermeidbar ist, erfolgt diese ausschließlich im erforderlichen Mindestmaß und nur soweit dies sachlich durch den konkreten technischen Anlass gerechtfertigt ist.

6. Technische Protokollierung und Logfiles

Zur Sicherstellung des Betriebs sowie zur Gewährleistung der Systemsicherheit können technische Protokolldaten verarbeitet werden. Dies betrifft insbesondere Serverlogs, E-Mail-Transportprotokolle, Authentifizierungslogs, Netzwerkprotokolle, Sicherheitsereignisse, Fehlermeldungen, Zustellungsstatus, Rate-Limits, Abuse-bezogene Logs sowie vergleichbare technische Metadaten.

Diese Verarbeitung erfolgt ausschließlich zu folgenden Zwecken: Betriebssicherheit, Fehleranalyse, Missbrauchserkennung, Schutz der Infrastruktur, Reaktion auf Sicherheitsvorfälle, Lastverteilung, Störungsbehebung, Zustellungsanalyse, Einhaltung technischer Richtlinien sowie Nachvollziehbarkeit administrativer und sicherheitsrelevanter Vorgänge.

Eine darüber hinausgehende inhaltliche Auswertung von Kundendaten erfolgt nicht. Soweit Protokolldaten personenbezogene Informationen enthalten können, werden sie nur so lange aufbewahrt, wie dies technisch, sicherheitsrelevant oder gesetzlich erforderlich ist.

7. Datensicherungen (Backups)

Zur Gewährleistung der Datenintegrität sowie zur Wiederherstellung im Fehlerfall werden regelmäßig technische Datensicherungen erstellt, soweit dies nach Maßgabe des jeweiligen Produkts, der jeweiligen Plattform oder des konkreten Betriebsmodells vorgesehen ist.

Diese Backups können auch personenbezogene Daten enthalten, sofern diese Bestandteil der gespeicherten Systeme, Datenbanken, Postfächer, Anwendungen, Webseiten oder sonstigen Inhalte des Kunden sind.

Backups werden ausschließlich zu Zwecken der Systemwiederherstellung, Fehlerbehebung, Sicherheitsvorsorge, Datenintegrität und technischen Notfallvorsorge verwendet. Sie dienen nicht als individuelle Archivierungs- oder Aufbewahrungslösung für den Kunden, sofern nicht ausdrücklich ein gesondertes Backup-Produkt vereinbart wurde.

8. Technische und organisatorische Maßnahmen

Viennaweb ergreift angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Manipulation, Missbrauch oder unzulässiger Offenlegung zu schützen. Diese Maßnahmen orientieren sich am Stand der Technik, am Risiko der Verarbeitung, am Umfang der Leistungen sowie an der wirtschaftlichen Zumutbarkeit.

Dazu gehören insbesondere:

• Zugangsbeschränkungen zu Servern, Netzwerken und Administrationsoberflächen,
• verschlüsselte Datenübertragung, soweit technisch vorgesehen oder vertraglich vereinbart,
• Netzwerküberwachung und Sicherheitsmaßnahmen zur Erkennung von Angriffen und Missbrauch,
• Zugriffsbeschränkungen für Administratoren und rollenspezifische Berechtigungen,
• Sicherheitsmaßnahmen im Rechenzentrums- und Infrastrukturumfeld,
• Maßnahmen zur Datensicherung, Wiederherstellung und technischen Notfallvorsorge,
• Protokollierung sicherheitsrelevanter Ereignisse und administrativer Zugriffe, soweit technisch üblich.

Viennaweb ist berechtigt, technische und organisatorische Maßnahmen im Zuge des technischen Fortschritts, geänderter Bedrohungslagen, Sicherheitsanforderungen oder betrieblicher Optimierungen anzupassen, sofern das Schutzniveau insgesamt nicht unangemessen abgesenkt wird.

9. Unterstützung des Kunden bei Datenschutzpflichten

Soweit technisch möglich und im Rahmen der vertraglich vereinbarten Leistungen unterstützt Viennaweb den Kunden bei der Einhaltung seiner datenschutzrechtlichen Verpflichtungen. Dies kann insbesondere technische Informationen zur Datenverarbeitung, Hinweise zu Sicherheitsmaßnahmen, Unterstützung bei datenschutzrelevanten technischen Fragestellungen oder technische Mitwirkung bei der Behebung datenschutzrelevanter Vorfälle betreffen.

Eine darüber hinausgehende rechtliche Beratung schuldet Viennaweb nicht. Insbesondere bleibt der Kunde für die rechtliche Beurteilung seiner konkreten Verarbeitungen, Informationspflichten, Löschkonzepte, Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, Einwilligungstexte, Datenschutzerklärungen, Aufbewahrungspflichten und sonstige Pflichten als Verantwortlicher selbst zuständig.

10. Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses werden gespeicherte Daten gemäß den gesetzlichen Aufbewahrungspflichten gelöscht, sofern keine andere rechtliche Verpflichtung zur Speicherung besteht oder der Kunde nicht rechtzeitig eine zulässige Datenübernahme veranlasst.

Backups können aus technischen Gründen für eine begrenzte Zeit weiterhin vorhanden sein, bis diese planmäßig überschrieben oder aus den Backup-Zyklen entfernt werden. Eine sofortige selektive Löschung sämtlicher historischer Sicherungen ist technisch nicht in jedem Fall möglich und schuldet Viennaweb daher nicht, sofern dies nicht ausdrücklich vereinbart wurde.

Der Kunde ist verpflichtet, vor Vertragsende alle von ihm benötigten Daten eigenverantwortlich zu sichern. Soweit Viennaweb auf Wunsch des Kunden Datenexporte, Migrationshilfen oder Wiederherstellungen vornimmt, kann dies gesondert verrechnet werden.

11. Verantwortlichkeit des Kunden

Der Kunde ist verantwortlich für die rechtmäßige Verarbeitung personenbezogener Daten innerhalb der von ihm betriebenen Anwendungen, Webseiten, Systeme und Kommunikationsprozesse. Dies umfasst insbesondere die Einhaltung datenschutzrechtlicher Bestimmungen, die Bereitstellung eigener Datenschutzerklärungen, die Einholung notwendiger Einwilligungen, die Festlegung zulässiger Speicherdauern, die Umsetzung geeigneter organisatorischer Abläufe sowie die rechtmäßige Speicherung und Verarbeitung personenbezogener Daten.

Der Kunde ist ferner dafür verantwortlich, seine Systeme aktuell zu halten, Sicherheitslücken unverzüglich zu schließen, sichere Zugangsdaten zu verwenden, missbräuchliche Nutzung zu verhindern und Datenverarbeitungen nur im gesetzlich zulässigen Umfang vorzunehmen.

12. Weitergabe von Daten

Viennaweb gibt personenbezogene Daten des Kunden grundsätzlich nicht an Dritte weiter, außer wenn dies zur Erfüllung vertraglicher Leistungen erforderlich ist, wenn gesetzliche Verpflichtungen bestehen oder wenn dies zur Gewährleistung der Systemsicherheit notwendig ist.

Eine Weitergabe kann insbesondere an Rechenzentrumsbetreiber, technische Vorlieferanten, Sicherheitsdienstleister, Registrare, Registrierungsstellen, Zahlungsdienstleister, Netzbetreiber, Transportdienstleister für E-Mail, externe Wartungspartner oder Behörden erfolgen, soweit dies jeweils für die technische oder rechtliche Durchführung der Leistung erforderlich ist.

Soweit Drittleistungen eingebunden sind, erfolgt die Auswahl mit der im Hosting- und IT-Bereich üblichen Sorgfalt. Der Kunde nimmt zur Kenntnis, dass einzelne technische Prozesse aus Gründen der weltweiten Internetinfrastruktur nicht ausschließlich durch Viennaweb kontrolliert werden können.

13. Sicherheitsvorfälle und Missbrauch

Viennaweb ist berechtigt, bei Sicherheitsvorfällen, Missbrauchsverdacht, Spam, Malware, Phishing, DDoS-Ereignissen, kompromittierten Kundensystemen oder sonstigen Gefahrenlagen die technisch und organisatorisch erforderlichen Maßnahmen zu ergreifen, um die eigene Infrastruktur, andere Kunden oder Dritte zu schützen.

Dies kann insbesondere die Einschränkung oder Sperre von Diensten, das Blockieren von Zugängen, das Isolieren von Systemen, das Deaktivieren einzelner Anwendungen, das Zurücksetzen von Zugangsdaten oder vergleichbare Maßnahmen umfassen. Solche Maßnahmen erfolgen im Rahmen der Auftragsverarbeitung ausschließlich zur Sicherstellung des Betriebs, zur Gefahrenabwehr und zur Wahrung berechtigter Sicherheitsinteressen.

14. Schlussbestimmungen

Dieses Dokument ist als ergänzende Vereinbarung zur datenschutzrechtlichen Rollen- und Pflichtenverteilung im Sinne des Art. 28 DSGVO ausgestaltet. Es ergänzt die Allgemeinen Geschäftsbedingungen sowie die Datenschutzerklärung von Viennaweb.

Sollten einzelne Bestimmungen dieses Dokuments ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle einer unwirksamen Bestimmung tritt eine zulässige Regelung, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der unwirksamen Regelung möglichst nahekommt.

PDF-Version: AVV herunterladen