Auftragsverarbeitungsvertrag (Art. 28 DSGVO) – für Website-Hosting, Website-Wartung und Website-Support

Rechtliches / Datenschutz

Inhaltsverzeichnis

Letzte Aktualisierung: 20.11.2025

abgeschlossen zwischen:

merakee Interactive GmbH
Johann-Schreiner-Straße 3
8074 Raaba-Grambach, Österreich
(im Folgenden „merakee“ oder „Auftragsverarbeiter“)

und dem Kunden, der die Leistungen von merakee nützt wie Website-Hosting, Website-Wartung, Website-Support. (im Folgenden „Auftraggeber“ oder „Verantwortlicher“)

Diese AVV wird Bestandteil des jeweiligen Hosting-, Wartungs- oder Supportvertrags zwischen den Parteien. Durch die Nutzung oder Beauftragung der Leistungen von merakee gilt diese AVV als abgeschlossen und verbindlicher Bestandteil der Geschäftsbeziehung.

1. Gegenstand der Verarbeitung

1.1 Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch merakee im Rahmen der vom Auftraggeber gebuchten Leistungen, insbesondere:

  • Hosting von Websites (falls beauftragt)
  • Technische Wartung und Aktualisierung von Websites
  • Support- und Fehlerbehebungsleistungen
  • Monitoring, Sicherheitsprüfungen und technische Analysen
  • Backup-Erstellung und Wiederherstellung
  • E-Mail-Hosting (nur falls vom Kunden ausdrücklich beauftragt)

1.2 Die Verarbeitung erfolgt ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers, wie sie sich aus dem Angebot, der Bestellung oder der Hosting-, Wartungs- oder Supportvereinbarung ergeben.

2. Art der verarbeiteten Daten

Unter die Verarbeitung können – abhängig von den beauftragten Leistungen – folgende Datenkategorien fallen:

  • technische Nutzungsdaten (IP-Adresse, Zugriffszeitpunkte, Server-Logs)
  • Inhaltsdaten der Website
  • Kontaktdaten, die über Formulare erfasst werden
  • Benutzerdaten innerhalb des CMS
  • Meta- und Analysedaten
  • E-Mail-Daten (nur falls merakee das E-Mail-Hosting übernimmt)
  • sonstige Daten, die im Rahmen der Website verarbeitet werden

3. Kategorien betroffener Personen

  • Besucher der Website
  • Kunden des Auftraggebers
  • Nutzerkonten innerhalb des CMS
  • ggf. Newsletter-Abonnenten
  • ggf. E-Mail-Nutzer (falls Mailhosting durch merakee erfolgt)

4. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer der gebuchten Leistungen (Hosting, Wartung oder Support) und endet automatisch mit Beendigung des zugrunde liegenden Vertragsverhältnisses.

5. Pflichten des Auftragsverarbeiters

merakee verpflichtet sich:

5.1 Daten ausschließlich gemäß dokumentierter Weisung des Auftraggebers zu verarbeiten.

5.2 Alle mit der Datenverarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten.

5.3 Angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO umzusetzen. Die TOM sind in Abschnitt 8 dieser Vereinbarung definiert.

5.4 Den Auftraggeber bei der Wahrung der Betroffenenrechte zu unterstützen (Art. 12–23 DSGVO).

5.5 Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren.

5.6 Eine Verarbeitung außerhalb der EU/des EWR nur mit geeigneten Garantien und gemäß den gesetzlichen Vorgaben vorzunehmen.

5.7 Nach Vertragsende sämtliche personenbezogene Daten auf Weisung des Auftraggebers zu löschen oder herauszugeben, sofern keine gesetzlichen Aufbewahrungsfristen bestehen.

6. Einsatz von Sub-Auftragsverarbeitern

6.1 Der Auftraggeber autorisiert merakee zum Einsatz geeigneter Sub-Auftragsverarbeiter.

6.2 Die jeweils aktuelle Liste der Subverarbeiter ist online einsehbar unter: https://merakee.at/sub-auftragsverarbeiter

6.3 Änderungen der Subverarbeiterliste können vom Auftraggeber innerhalb von 14 Tagen schriftlich widersprochen werden, sofern ein wichtiger Datenschutzgrund vorliegt.

6.4 merakee verpflichtet sämtliche Subverarbeiter gemäß Art. 28 DSGVO.

7. Ort der Verarbeitung

Die Datenverarbeitung erfolgt in der Regel innerhalb der Europäischen Union. Sofern internationale Dienstleister eingesetzt werden (z. B. CDN oder Analyse-Tools der Subverarbeiter), erfolgt dies ausschließlich mit geeigneten Garantien (z. B. EU-Standardvertragsklauseln).

8. Technische und organisatorische Maßnahmen (TOM)

merakee hat angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

  • Zugriffskontrollen
  • Berechtigungskonzepte
  • Passwort-Richtlinien
  • Verschlüsselungsmaßnahmen
  • Backup-Strategien
  • Firewall- und Sicherheitsmechanismen
  • Update- und Patch-Management

9. Unterstützungspflichten

merakee unterstützt den Auftraggeber bei:

  • Datenschutz-Folgenabschätzungen
  • Anfragen der Aufsichtsbehörden
  • Betroffenenanfragen (Löschung, Auskunft, Berichtigung etc.)
  • Vorfallsmeldungen

Aufwände, die über den gewöhnlichen Leistungsumfang hinausgehen, werden gemäß bestehender Vereinbarungen gesondert verrechnet.

10. Löschung und Rückgabe von Daten

Nach Beendigung der Leistungen:

  • werden Daten gelöscht oder zurückgegeben
  • außer es bestehen gesetzliche Aufbewahrungspflichten
  • Backups werden automatisch nach definiertem Löschintervall überschrieben

11. Haftung

Die Haftung richtet sich nach den bestehenden Hosting-, Wartungs- oder Supportverträgen. merakee haftet ausschließlich nach Maßgabe der dort definierten Haftungsbeschränkungen.

12. Schluss­bestimmungen

12.1 Diese AVV gilt für sämtliche Leistungen, bei denen merakee personenbezogene Daten im Auftrag des Kunden verarbeitet (Hosting, Wartung, Support, optionales E-Mail-Hosting).

12.2 Änderungen dieser AVV können online veröffentlicht werden und gelten ab Veröffentlichung, sofern sie dem Kunden im Angebot oder im Rahmen der laufenden Geschäftsbeziehung bekanntgegeben wurden.

12.3 Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen gültig.

12.4 Es gilt österreichisches Recht. Ausschließlicher Gerichtsstand ist Graz, Österreich.