AVV – Auftragsverarbeitung

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") ergänzt die Allgemeinen Geschäftsbedingungen und regelt die datenschutzrechtlichen Pflichten zwischen dem Kunden (nachfolgend "Verantwortlicher" oder "Auftraggeber") und der basemedia GmbH (nachfolgend "Auftragsverarbeiter" oder "Auftragnehmer") bei der Verarbeitung personenbezogener Daten im Rahmen der beauftragten Dienstleistungen.

Hinweis: Dieser AVV tritt automatisch in Kraft, wenn Sie Hosting-, Cloud-Server- oder E-Mail-Dienste der basemedia GmbH nutzen und dabei personenbezogene Daten Dritter verarbeiten.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter erbringt für den Verantwortlichen folgende Dienstleistungen, bei denen personenbezogene Daten im Auftrag verarbeitet werden:

Webhosting: Bereitstellung von Speicherplatz und Webserver-Infrastruktur
Cloud-Server (B-Cloud): Bereitstellung virtueller Server mit Root-Zugang
E-Mail-Hosting: Bereitstellung von E-Mail-Diensten inkl. Microsoft Exchange Online
Domain-Services: Registrierung und Verwaltung von Domains
Backup-Services: Sofern vom jeweiligen Infrastrukturpartner angeboten (unverbindlich, ohne Gewähr)

Die Einzelheiten der Leistung ergeben sich aus dem jeweiligen Hauptvertrag (Bestellung, Auftragsbestätigung, AGB).

1.2 Dauer

Die Dauer dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags. Sie beginnt mit Vertragsschluss und endet automatisch mit Beendigung des Hauptvertrags, sofern sich aus den nachfolgenden Bestimmungen keine darüber hinausgehenden Verpflichtungen ergeben.

§ 2 Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

Speicherung von Daten auf Servern des Auftragsverarbeiters bzw. seiner Unterauftragsverarbeiter
Übermittlung von Daten über das Internet (verschlüsselt via TLS/SSL)
Sicherung von Daten (Backups) – sofern vom Infrastrukturpartner angeboten, ohne Gewähr
Wiederherstellung von Daten auf Anfrage – sofern technisch möglich, ohne Gewähr auf Vollständigkeit
Technische Wartung und Administration der Infrastruktur
Löschung von Daten bei Vertragsende oder auf Weisung des Verantwortlichen

2.2 Zweck der Verarbeitung

Die Verarbeitung dient ausschliesslich der Erfüllung des Hauptvertrags. Der Auftragsverarbeiter verarbeitet die Daten nicht für eigene Zwecke und führt keine Analysen oder Auswertungen der Inhalte durch.

§ 3 Art der personenbezogenen Daten

Die Art der verarbeiteten personenbezogenen Daten richtet sich nach der Nutzung durch den Verantwortlichen und kann insbesondere umfassen:

Datenkategorie	Beispiele
Stammdaten	Name, Vorname, Firma, Anschrift, Geburtsdatum
Kontaktdaten	E-Mail-Adresse, Telefonnummer, Faxnummer
Kommunikationsdaten	E-Mail-Inhalte, Chat-Nachrichten, Anhänge
Vertragsdaten	Bestellungen, Rechnungen, Zahlungsinformationen
Nutzungsdaten	Login-Daten, IP-Adressen, Zugriffszeiten
Inhaltsdaten	Vom Verantwortlichen auf Servern gespeicherte Dateien und Datenbanken

Besondere Kategorien (Art. 9 DSGVO): Der Verantwortliche bestätigt, dass keine besonderen Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten, Daten zur politischen Meinung, etc.) verarbeitet werden, es sei denn, dies wurde gesondert vereinbart und entsprechende zusätzliche Schutzmassnahmen wurden implementiert.

§ 4 Kategorien betroffener Personen

Die Kategorien der betroffenen Personen richten sich nach der Nutzung durch den Verantwortlichen und können umfassen:

Kunden und Interessenten des Verantwortlichen
Mitarbeiter und Bewerber des Verantwortlichen
Lieferanten und Geschäftspartner des Verantwortlichen
Website-Besucher und Newsletter-Abonnenten
Sonstige Personen, deren Daten der Verantwortliche verarbeitet

§ 5 Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen. Die Weisungen sind grundsätzlich in diesem AVV und im Hauptvertrag niedergelegt. Einzelweisungen können schriftlich oder per E-Mail erteilt werden.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen Datenschutzvorschriften verstösst, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

5.2 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Sicherheit der Verarbeitung

Der Auftragsverarbeiter ergreift alle gemäss Art. 32 DSGVO erforderlichen technischen und organisatorischen Massnahmen (TOMs). Die detaillierten TOMs sind in Anlage 1 zu diesem AVV beschrieben.

5.4 Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen. Die aktuell eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail. Der Verantwortliche kann gegen solche Änderungen innerhalb von 30 Tagen Einspruch erheben.

5.5 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung:

Bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, etc.)
Bei der Einhaltung der Pflichten gemäss Art. 32-36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung)

Der Auftragsverarbeiter kann für Unterstützungsleistungen, die über das übliche Mass hinausgehen, eine angemessene Vergütung verlangen.

5.6 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, per E-Mail an die vom Verantwortlichen angegebene Kontaktadresse.

Die Meldung enthält mindestens:

Beschreibung der Art der Verletzung
Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
Beschreibung der wahrscheinlichen Folgen
Beschreibung der ergriffenen oder vorgeschlagenen Massnahmen

5.7 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Auf Wunsch des Verantwortlichen werden die Daten vor der Löschung zurückgegeben (z.B. als Datenbank-Export).

Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Allfällige Backups bei Infrastrukturpartnern werden gemäss deren Richtlinien gelöscht.

5.8 Nachweispflichten

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen (Audits) durch den Verantwortlichen oder einen von diesem beauftragten Prüfer.

Audits sind mit einer Vorankündigung von mindestens 14 Tagen anzukündigen und während der üblichen Geschäftszeiten durchzuführen. Der Verantwortliche trägt die Kosten des Audits.

§ 6 Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmässigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass:

Eine gültige Rechtsgrundlage für die Verarbeitung vorliegt
Betroffene Personen ordnungsgemäss informiert wurden
Erforderliche Einwilligungen eingeholt wurden
Keine besonderen Kategorien personenbezogener Daten ohne entsprechende Vereinbarung verarbeitet werden
Weisungen an den Auftragsverarbeiter datenschutzkonform sind

Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmässigkeiten, die er bei der Prüfung der Verarbeitungsergebnisse feststellt.

§ 7 Kontaktpersonen

Ansprechpartner des Auftragsverarbeiters:

basemedia GmbH
Alte Brunnen 11
7206 Igis, Schweiz
E-Mail: datenschutz@basemedia.ch
Tel: +41 81 534 89 73

Ansprechpartner des Verantwortlichen:

Die im Kundenbereich hinterlegte Kontaktperson bzw. der Kontoinhaber.

§ 8 Haftung

Die Haftung der Parteien richtet sich nach den anwendbaren gesetzlichen Bestimmungen (Art. 82 DSGVO) sowie den Regelungen in den AGB. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch eine nicht den Vorgaben der DSGVO entsprechende Verarbeitung oder durch Missachtung von Weisungen des Verantwortlichen entstehen.

§ 9 Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Es gilt Schweizer Recht. Für Streitigkeiten aus diesem AVV gelten die Gerichtsstandsregelungen der AGB.

Anlage 1: Technische und organisatorische Massnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Massnahmen gemäss Art. 32 DSGVO implementiert:

A. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Rechenzentren der Unterauftragsverarbeiter (Hetzner) mit 24/7 Sicherheitspersonal
Biometrische Zugangskontrollen und Videoüberwachung
Zutrittsprotokolle und Besucherregistrierung

Zugangskontrolle

Individuelle Benutzerkonten mit starken Passwörtern
Pflicht zur Zwei-Faktor-Authentifizierung (2FA) oder Passkey
Automatische Sperrung nach fehlgeschlagenen Anmeldeversuchen
SSH-Zugang nur mit Public-Key-Authentifizierung
VPN für administrative Zugriffe

Zugriffskontrolle

Rollenbasiertes Berechtigungskonzept
Prinzip der minimalen Rechte (Least Privilege)
Regelmässige Überprüfung der Zugriffsrechte
Protokollierung aller administrativen Zugriffe

Trennungskontrolle

Logische Mandantentrennung auf Datenbankebene
Getrennte Umgebungen für verschiedene Kunden
Netzwerksegmentierung mittels VLANs und Firewalls

Pseudonymisierung

PII-Maskierung in Log-Dateien
Anonymisierung von IP-Adressen in Statistiken

B. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

TLS 1.3 Verschlüsselung für alle Datenübertragungen
HTTPS-Pflicht für alle Webdienste
Verschlüsselte E-Mail-Übertragung (STARTTLS)
SFTP/SCP für Dateitransfers

Eingabekontrolle

Vollständige Protokollierung aller Änderungen
Audit-Logs mit Zeitstempel und Benutzeridentifikation
Unveränderbare Log-Archive

C. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Verfügbarkeitskontrolle

Die folgenden Massnahmen werden durch die Infrastrukturpartner (Hetzner, hosttech, Microsoft) bereitgestellt:

Redundante Stromversorgung (USV, Dieselgeneratoren) bei den Rechenzentren
Redundante Netzwerkanbindung
DDoS-Schutz auf Netzwerkebene
Monitoring der Infrastruktur

Wichtiger Hinweis zu Backups: Backups werden – sofern verfügbar – durch die Infrastrukturpartner bereitgestellt. Der Auftragsverarbeiter übernimmt keine Garantie für die Verfügbarkeit, Vollständigkeit oder Wiederherstellbarkeit von Backups. Der Verantwortliche ist selbst für die regelmässige Sicherung seiner Daten verantwortlich.

Wiederherstellbarkeit

Die Wiederherstellbarkeit richtet sich nach den Disaster-Recovery-Prozessen der jeweiligen Infrastrukturpartner. Der Auftragsverarbeiter gibt keine eigenen Garantien bezüglich Recovery-Zeiten (RTO) oder Recovery-Punkten (RPO) ab.

D. Verfahren zur regelmässigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Jährliche Überprüfung und Aktualisierung der TOMs
Regelmässige Sicherheitsupdates und Patches
Vulnerability-Scanning der Infrastruktur
Schulung der Mitarbeiter zu Datenschutz und IT-Sicherheit

Anlage 2: Genehmigte Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter:

Unterauftragsverarbeiter	Anschrift	Verarbeitungszweck	Standort Datenverarbeitung
Hetzner Online GmbH	Industriestr. 25, 91710 Gunzenhausen, Deutschland	Cloud-Server-Infrastruktur, Rechenzentrumsleistungen, Backup-Storage	Falkenstein (DE), Nürnberg (DE), Helsinki (FI), Ashburn VA (USA), Hillsboro OR (USA), Singapur (SG) – je nach Kundenwahl
hosttech GmbH	Industriestrasse 25, 8404 Winterthur, Schweiz	Domain-Registrierung, DNS-Hosting, Nameserver-Betrieb	Schweiz
Microsoft Ireland Operations Ltd.	One Microsoft Place, South County Business Park, Dublin 18, Irland	Exchange Online (E-Mail, Kalender, Kontakte)	EU (primär Irland, Niederlande)

Hinweise zu Unterauftragsverarbeitern

Hetzner: ISO 27001 zertifiziert, eigener AVV unter hetzner.com/legal/privacy-policy
hosttech: Schweizer Unternehmen, unterliegt dem Schweizer DSG
Microsoft: EU Data Boundary, DPA unter Microsoft DPA

Datenübermittlung in Drittländer

Die Datenverarbeitung kann je nach gewähltem Serverstandort auch ausserhalb der EU/EWR erfolgen:

EU/EWR-Standorte: Falkenstein (DE), Nürnberg (DE), Helsinki (FI) – kein Drittlandtransfer
USA-Standorte: Ashburn VA, Hillsboro OR – Hetzner ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert
Singapur: Angemessenheitsbeschluss der EU-Kommission für Singapur vorhanden
Microsoft: EU Data Boundary, DPF-zertifiziert, Standardvertragsklauseln (SCCs)

Wichtig: Der Kunde wählt den Serverstandort bei der Bestellung selbst. Wird ein Standort ausserhalb der EU gewählt (USA, Singapur), erfolgt die Datenverarbeitung im jeweiligen Land. Die rechtlichen Grundlagen für diese Übermittlungen sind oben aufgeführt.

Download und Abschluss

Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen und tritt mit Nutzung der Hosting-, Cloud- oder E-Mail-Dienste der basemedia GmbH automatisch in Kraft, sofern Sie personenbezogene Daten Dritter auf unserer Infrastruktur verarbeiten.

Für einen individuell unterzeichneten AVV kontaktieren Sie uns bitte unter datenschutz@basemedia.ch.

Stand: 22. Januar 2026

Cookie	Anbieter	Zweck	Dauer
basemedia_cookie_consent	basemedia.ch	Speichert Ihre Cookie-Einstellungen	1 Jahr
basemedia_theme	basemedia.ch	Speichert Ihre Farbschema-Präferenz (hell/dunkel)	Lokal
basemedia_session	basemedia.ch	Session-Cookie für eingeloggte Benutzer (nur im Kundenbereich)	2 Stunden
XSRF-TOKEN	basemedia.ch	Schutz vor Cross-Site-Request-Forgery-Angriffen	2 Stunden
_GRECAPTCHA	Google	Spam-Schutz für das Kontaktformular (reCAPTCHA v3)	6 Monate

Cookie	Anbieter	Zweck	Dauer
_ga	Google Analytics	Unterscheidung von Nutzern (anonymisierte ID)	2 Jahre
_ga_*	Google Analytics	Session-Status speichern	2 Jahre
_gid	Google Analytics	Unterscheidung von Nutzern	24 Stunden
_gat	Google Analytics	Drosselung der Anfragerate	1 Minute

Cookie	Anbieter	Zweck	Dauer
__stripe_mid	Stripe	Betrugsprävention und Geräte-Identifikation	1 Jahr
__stripe_sid	Stripe	Session-Cookie für Zahlungsabwicklung	30 Minuten