Datenverarbeitungsvertrag (DPA)

Dieser Datenverarbeitungsvertrag (nachfolgend „DPA" oder „Vereinbarung") ergänzt den bestehenden Dienstleistungsvertrag zwischen HOSTON SRL (als Auftragsverarbeiter) und dem Kunden (als Verantwortlichem) und wird auf Grundlage von Art. 28 der Verordnung (EU) 2016/679 (DSGVO) geschlossen.

Die Vereinbarung gilt, wenn der Kunde auf der HostON-Infrastruktur personenbezogene Daten Dritter speichert oder verarbeitet (z.B. Website-Besucher, Online-Shop-Kunden, Portal-Mitglieder usw.).

Durch die Nutzung der HostON-Dienste und die Annahme der AGB akzeptiert der Kunde auch die Bedingungen dieses DPA. Wenn Sie ein Geschäftskunde sind und eine unterzeichnete Version dieser Vereinbarung benötigen, kontaktieren Sie uns unter info@hoston.ro.

• Verantwortlicher — der Kunde, der Zwecke und Mittel der Verarbeitung personenbezogener Daten Dritter bestimmt
• Auftragsverarbeiter — HOSTON SRL, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
• Personenbezogene Daten — alle Informationen über eine identifizierte oder identifizierbare natürliche Person, die auf der HostON-Infrastruktur gespeichert sind
• Betroffene Person — der Endnutzer des Kunden (Website-Besucher, E-Commerce-Kunde usw.), dessen Daten auf HostON-Servern gespeichert sind
• Sicherheitsvorfall — jede Verletzung der Datensicherheit, die zur Vernichtung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt

• Art der Verarbeitung: Speicherung, Verarbeitung, Übertragung und Backup personenbezogener Daten auf der HostON-Infrastruktur (Server, VPS, Hosting)
• Zweck der Verarbeitung: ausschließlich die Erbringung von Hosting-Diensten gemäß dem Vertrag — HostON verarbeitet Daten nicht für eigene Zwecke
• Datenarten: alle personenbezogenen Daten, die der Kunde auf HostON-Servern speichert (z.B. Namen, E-Mails, Adressen, Zahlungsdaten, Verhaltensdaten usw.)
• Kategorien betroffener Personen: Besucher, Kunden, Nutzer oder Mitarbeiter des Kunden
• Dauer: für die Laufzeit des Dienstleistungsvertrags, zuzüglich der in dieser Vereinbarung festgelegten Aufbewahrungsfrist nach Vertragsende

Der Kunde als Verantwortlicher garantiert, dass:

• Die Verarbeitung von Daten auf der HostON-Infrastruktur eine gültige Rechtsgrundlage gemäß DSGVO hat (Art. 6 und/oder Art. 9)
• Er betroffene Personen über die Datenverarbeitung informiert hat, einschließlich der Nutzung von Hosting-Diensten als Unterauftragsverarbeiter
• Er angemessene technische und organisatorische Maßnahmen auf Anwendungsebene implementiert hat (starke Passwörter, 2FA-Authentifizierung, Verschlüsselung auf Anwendungsebene usw.)
• Er HostON über spezifische Verarbeitungsanweisungen informiert, die über die Standard-Hosting-Verpflichtungen hinausgehen
• Er für den auf HostON-Servern gespeicherten Inhalt und die Rechtmäßigkeit der durchgeführten Verarbeitungen verantwortlich ist

HOSTON SRL verpflichtet sich als Auftragsverarbeiter:

• Daten ausschließlich gemäß den Anweisungen des Kunden zu verarbeiten, ohne sie für eigene oder Drittparteizwecke zu nutzen
• Vertraulichkeit zu gewährleisten — alle autorisierten Mitarbeiter mit Datenzugang sind vertraglich zur Vertraulichkeit verpflichtet
• Angemessene Sicherheitsmaßnahmen zu implementieren: Kontoisolierung (CageFS), Verschlüsselung bei der Übertragung (TLS/SSL), Firewall, automatisches Backup, DDoS-Schutz über Cloudflare, kontinuierliche Überwachung
• Den Kunden zu unterstützen bei der Erfüllung von Verpflichtungen gegenüber betroffenen Personen (Auskunftsrecht, Berichtigung, Löschung, Portabilität) soweit durch technische Möglichkeiten umsetzbar
• Daten ohne Zustimmung des Kunden nicht zu übertragen, außer in gesetzlich vorgesehenen Fällen
• Den Kunden unverzüglich zu benachrichtigen (innerhalb von 72 Stunden) über jeden Sicherheitsvorfall, der auf der HostON-Infrastruktur gespeicherte Daten betrifft
• Daten auf Anfrage des Kunden oder bei Vertragsende zu löschen oder zurückzugeben, gemäß der Wahl des Kunden
• Informationen zur Verfügung zu stellen um die Compliance nachzuweisen und angemessene Audits zu ermöglichen

Der Kunde erteilt HostON eine generelle Genehmigung zur Nutzung von Unterauftragsverarbeitern bei der Diensterbringung. Aktuelle Unterauftragsverarbeiter sind:

• Rumänisches Rechenzentrum — Server-Colocation (physische Datenspeicherung)
• Cloudflare Inc. — DDoS-Schutz und CDN (IP-Adressverarbeitung)
• Brevo (Sendinblue) — operative E-Mail-Benachrichtigungen (Kunden-E-Mail-Adresse)

HostON wird den Kunden mindestens 14 Tage im Voraus über die Hinzufügung oder den Austausch eines Unterauftragsverarbeiters benachrichtigen. Der Kunde hat das Recht, dagegen Einspruch zu erheben, woraufhin er den Vertrag ohne Vertragsstrafe kündigen kann.

HostON erlegt Unterauftragsverarbeitern durch dedizierte Verträge gleichwertige Datenschutzverpflichtungen auf.

HostON implementiert und pflegt angemessene technische und organisatorische Maßnahmen zum Schutz von Daten, darunter:

• Verschlüsselung bei der Übertragung (TLS 1.2/1.3) und für Backups
• Vollständige Kontoisolierung über CloudLinux CageFS
• Netzwerk- und anwendungsbasierte Firewall (ModSecurity WAF)
• Automatisches tägliches Backup mit 7-tägiger Aufbewahrung (JetBackup)
• 24/7-Überwachung und automatische Anomalie-Benachrichtigung
• Eingeschränkter Personalzugang nach dem Need-to-know-Prinzip
• Antiviren- und Anti-Malware-Prüfung über Imunify360

Im Falle eines Sicherheitsvorfalls, der die Daten des Kunden betrifft, wird HostON:

1. Den Kunden unverzüglich und innerhalb von maximal 72 Stunden nach Kenntnisnahme benachrichtigen
2. Alle verfügbaren Informationen bereitstellen: die Art des Vorfalls, betroffene Datenkategorien, geschätzte Anzahl betroffener Personen, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen
3. Vollständig mit dem Kunden bei der Vorfallsbehandlung und der ANSPDCP-Benachrichtigung kooperieren

Die Benachrichtigung erfolgt an die E-Mail-Adresse, die mit dem Kundenkonto im HostON-System verknüpft ist.

Auf HostON-Servern gespeicherte Daten befinden sich in Rumänien (EU). Übertragungen durch Unterauftragsverarbeiter (Cloudflare, Brevo) in Drittländer erfolgen unter Einhaltung der DSGVO-Übertragungsmechanismen (Angemessenheitsbeschlüsse, Standardvertragsklauseln — SCC). Details in der Datenschutzerklärung.

HostON stellt auf Anfrage die zur Demonstration der Compliance mit DSGVO Art. 28 erforderliche Dokumentation bereit.

Physische oder technische Audits am Standort/der Infrastruktur von HostON sind mit einem Vorlauf von mindestens 30 Tagen, einmal pro Jahr, auf Kosten des Kunden möglich und dürfen den Betrieb anderer Kunden nicht stören. HostON kann übermäßige oder unangemessene Audits ablehnen.

Bei Beendigung des Dienstleistungsvertrags (durch Ablauf, Kündigung oder ausdrückliche Anforderung):

• Der Kunde hat 14 Kalendertage ab der Sperrung, um Daten aus dem Kontrollpanel (cPanel/DirectAdmin) herunterzuladen
• Nach Ablauf dieser Frist werden Daten dauerhaft von HostON-Servern gelöscht
• Auf ausdrückliche Anfrage kann HostON eine schriftliche Bestätigung der Datenlöschung bereitstellen
• System-Backups werden maximal 30 Tage nach Kontolöschung aufbewahrt und dann dauerhaft vernichtet

Dieser DPA gilt für die gesamte Laufzeit des HostON-Dienstleistungsvertrags und endet automatisch mit diesem. HostON kann diesen DPA mit einer E-Mail-Ankündigung von 30 Tagen ändern. Die weitere Nutzung der Dienste nach dieser Frist gilt als Annahme der Änderungen. Wenn die Änderungen nicht akzeptabel sind, kann der Kunde den Vertrag innerhalb der Ankündigungsfrist ohne Vertragsstrafe kündigen.

Für Anfragen zu dieser Vereinbarung, für Anfragen nach einem unterzeichneten DPA oder zur Ausübung von Rechten gemäß DSGVO Art. 28, kontaktieren Sie uns unter info@hoston.ro mit Betreff „DPA / DSGVO-Vereinbarung".