Art. 28 DSGVO

Auftragsverarbeitungsvertrag

Wie wir die Daten Ihrer Nutzer in Ihrem Auftrag verarbeiten.

Stand: Juni 2026 · zwischen dem Kunden (Verantwortlicher) und Lucksmith e.K. (Auftragsverarbeiter)

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch AWYN (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Bereitstellung der gehosteten Mail- und Kollaborations-Infrastruktur. Die Dauer entspricht der Laufzeit des Hauptvertrags. Dieser AVV wird mit Abschluss des Hauptvertrags einbezogen.

2. Art, Zweck und Art der Daten

  • Art/Zweck: Betrieb von Postfächern, Übermittlung, Speicherung, Filterung (Spam/Viren), Backup und Wiederherstellung von E-Mail- und Groupware-Inhalten.
  • Datenarten: Bestands- und Kontaktdaten, Kommunikationsinhalte (E-Mail, Kalender, Kontakte, Aufgaben), Verbindungs-/Metadaten, Anmelde-/Protokolldaten.
  • Betroffene: Nutzer (Mitarbeitende) des Kunden sowie deren Kommunikationspartner.

3. Weisungsbindung

AWYN verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden und im Rahmen des Hauptvertrags, sofern nicht eine Rechtsvorschrift etwas anderes verlangt. Hält AWYN eine Weisung für rechtswidrig, wird der Kunde unverzüglich informiert.

4. Vertraulichkeit

AWYN setzt nur zur Vertraulichkeit verpflichtete Personen ein und stellt sicher, dass diese die Daten nur weisungsgemäß verarbeiten.

5. Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)

  • Rechenzentren in Deutschland/EU; keine Unterstellung unter Drittstaatenrecht (kein US-CLOUD-Act-Zugriff durch Provider-Wahl).
  • Transportverschlüsselung (TLS) und verschlüsselte Backups.
  • Zugriffskontrolle, rollenbasierte Mandanten-Trennung (Multi-Tenant-Isolation).
  • Anti-Spam/Anti-Malware, Audit-Logs, Monitoring und Incident-Handling.
  • Regelmäßige, getestete Datensicherung (tägliche Postfach-Backups).

6. Unterauftragsverarbeiter

Der Kunde gestattet den Einsatz von Unterauftragsverarbeitern. AWYN informiert über Änderungen und ermöglicht Widerspruch aus wichtigem Grund. Aktuell eingesetzt u. a.:

  • Zahlungsdienstleister: Unzer GmbH (Zahlungsabwicklung SEPA) — nur Abrechnungsdaten.
  • Hosting/Infrastruktur: [Rechenzentrums-/Infrastrukturpartner eintragen], DE/EU.

7. Unterstützung des Verantwortlichen

AWYN unterstützt den Kunden im Rahmen des Zumutbaren bei Betroffenenrechten (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit), bei Meldepflichten (Art. 33/34) sowie bei Datenschutz-Folgenabschätzungen (Art. 35/36).

8. Löschung und Rückgabe

Nach Beendigung des Vertrags werden die Daten nach Wahl des Kunden zurückgegeben oder gelöscht (Export in offene Formate: MBOX, vCard, iCal), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

9. Nachweise und Kontrollen

AWYN stellt dem Kunden die zum Nachweis der Pflichten erforderlichen Informationen bereit und ermöglicht angemessene Überprüfungen (auch durch beauftragte Prüfer).

Diese Vorlage ersetzt keine Rechtsberatung. Bitte vor Verwendung anwaltlich prüfen lassen. Eine unterschriebene Fassung stellen wir Geschäftskunden auf Anfrage bereit.