Auftragsverarbeitungsvertrag (AVV) — Stand 26.05.2026
Hinweis: Diese Fassung des Auftragsverarbeitungs-
vertrags entspricht dem Stand 26.05.2026 und ist auf den
tatsaechlichen technischen + organisatorischen Stand der
High5Manufaktur GmbH ausgelegt. Bestehende Vertragsverhaeltnisse
bleiben unberuehrt; bei wesentlichen Aenderungen werden die Kunden
gemaess § 14 in Textform informiert.
Päambel
Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“)
konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien,
die sich aus dem Hauptvertrag über Managed IT-Services
(Microsoft 365 Managed Services, Mail-Schutz, Cloud-Backup, RMM,
Service-Desk u. ä.) ergeben. Er findet Anwendung auf alle
Verarbeitungstätigkeiten, bei denen die High5Manufaktur
GmbH (im Folgenden „Auftragsverarbeiterin“)
im Auftrag der im Hauptvertrag benannten Kundin oder des Kunden (im
Folgenden „Verantwortliche“) personenbezogene
Daten i. S. d. Art. 4 Nr. 2 DSGVO verarbeitet.
Es gelten die Begriffsbestimmungen der DSGVO sowie die einschlägigen
Leitlinien des Europäischen Datenschutzausschusses (EDSA) in der
jeweils aktuellen Fassung.
§ 1 Gegenstand, Art und Zweck der Verarbeitung
(1) Gegenstand der Verarbeitung ist die Erbringung der
im Hauptvertrag vereinbarten IT-Dienstleistungen (insbesondere:
Microsoft 365 Managed Services, Cloud-Telefonie, RMM &
Patchmanagement, IT-Sicherheit inkl. EDR/MDR/XDR, E-Mail-Sicherheit
und -Archivierung, Cloud-Backup, IT-Support und Service-Desk).
(2) Art und Zweck der Verarbeitung umfassen alle
Verarbeitungsvorgänge, die zur Erbringung dieser Dienstleistungen
erforderlich sind — insbesondere Erhebung, Speicherung,
Strukturierung, Anpassung, Wiederherstellung, Sicherung, Übermittlung
innerhalb der EU, Einschränkung und Löschung. Eine Nutzung der
Daten zu eigenen Zwecken der Auftragsverarbeiterin findet nicht statt.
(3) Eine Verarbeitung erfolgt ausschliesslich innerhalb
der Europäischen Union oder in einem Vertragsstaat des Abkommens
über den Europäischen Wirtschaftsraum. Eine Übermittlung in ein
Drittland im Sinne der Art. 44 ff. DSGVO findet nur statt, wenn
die Voraussetzungen dieser Vorschriften erfüllt sind (insbesondere
Angemessenheitsbeschluss, geeignete Garantien nach Art. 46 DSGVO,
EU-Standardvertragsklauseln 2021/914 nebst Transfer-Impact-
Assessment). Aktuelle Konstellationen sind in Anlage 2
abschliessend benannt.
§ 2 Dauer und Beendigung
(1) Die Laufzeit dieses AVV ist an die Laufzeit des
Hauptvertrags gekoppelt. Mit dessen Beendigung endet auch die
Berechtigung der Auftragsverarbeiterin zur Verarbeitung.
(2) Das Recht zur ausserordentlichen Kündigung aus
wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt
insbesondere vor bei
(a) schwerwiegenden Verstössen der Auftragsverarbeiterin gegen
diesen AVV oder gegen das Datenschutzrecht,
(b) Verweigerung von Kontrollrechten oder dokumentierter Weisungen,
(c) Anordnung einer Aufsichtsbehörde, die einer Fortführung der
Verarbeitung entgegensteht.
§ 3 Weisungsrecht
(1) Die Auftragsverarbeiterin verarbeitet
personenbezogene Daten ausschliesslich auf dokumentierte Weisung der
Verantwortlichen. Weisungen werden in Textform (§ 126b BGB) erteilt
— per E-Mail, Ticket im Service-Desk oder im Dashboard der
Plattform. Mündliche Weisungen sind unverzüglich textförmlich zu
bestätigen.
(2) Die Auftragsverarbeiterin informiert die
Verantwortliche unverzüglich, wenn sie der Auffassung ist, dass
eine Weisung gegen geltendes Datenschutzrecht verstösst. Die
Auftragsverarbeiterin ist berechtigt, die Umsetzung einer solchen
Weisung bis zu deren Bestätigung oder Änderung auszusetzen.
(3) Weisungsberechtigt auf Seiten der Verantwortlichen
sind die im Hauptvertrag benannten Personen sowie deren ausdrücklich
bevollmächtigte Stellvertreter.
§ 4 Art der Daten und Kategorien betroffener Personen
(1) Gegenstand der Verarbeitung sind üblicherweise
folgende Datenkategorien:
- Stammdaten (Name, Anschrift, Geburtsdatum, Funktion)
- Kommunikationsdaten (E-Mail, Telefon, Chat-Inhalte, Mail-Metadaten)
- Vertrags- und Abrechnungsdaten (Vertragsbeziehung, Produktinteresse, Rechnungs- und Bankdaten)
- Technische Verkehrs- und Logdaten (IP-Adressen, Geräte-IDs, Authentifizierungs-Events, Sitzungsmetadaten)
- Endgeräte- und Telemetriedaten im Rahmen von Intune-MDM und RMM
- Backup-Inhalte aus Microsoft 365 (Mail, OneDrive, SharePoint, Teams)
- Daten aus DMARC-Aggregate-Reports (Sender-IP, Authentifizierungs-Ergebnis, Header-From)
(2) Besondere Kategorien personenbezogener Daten im
Sinne des Art. 9 DSGVO werden nur verarbeitet, sofern sie der
Verantwortlichen im Rahmen ihres regulären Mail- oder Datei-
Verkehrs unbeabsichtigt anvertraut werden; eine zielgerichtete
Verarbeitung solcher Kategorien findet seitens der
Auftragsverarbeiterin nicht statt.
(3) Kategorien betroffener Personen sind insbesondere:
- Beschäftigte der Verantwortlichen
- Kommunikationspartner und Endkunden der Verantwortlichen
- Lieferanten und Dienstleister der Verantwortlichen
- Interessenten und Bewerber
§ 5 Pflichten der Auftragsverarbeiterin nach Art. 28 DSGVO
Die Auftragsverarbeiterin sichert insbesondere zu:
-
Weisungsgebundene Verarbeitung — ausschliesslich
nach dokumentierter Weisung der Verantwortlichen, sofern nicht
gesetzliche Verpflichtungen entgegenstehen. Sie weist im Vorfeld auf
solche Verpflichtungen hin, sofern dies rechtlich zulässig ist.
-
Verschwiegenheit — alle mit der Verarbeitung
befassten Personen sind nach § 53 BDSG ausdrücklich auf das
Datengeheimnis verpflichtet. Die Verpflichtung wirkt über das Ende
der Tätigkeit hinaus fort. Nachweise werden auf Anforderung
vorgelegt.
-
Technisch-organisatorische Massnahmen nach
Art. 32 DSGVO — siehe § 8 und Anlage 1.
-
Unterstützung der Verantwortlichen bei Anträgen
Betroffener (Art. 12–22 DSGVO), bei Datenschutz-
Folgenabschätzungen (Art. 35), bei Konsultationen mit der
Aufsichtsbehörde (Art. 36) und bei der Erfüllung von
Mitteilungspflichten nach Art. 33–34.
-
Löschung oder Rückgabe aller Daten nach Wahl der
Verantwortlichen spätestens 30 Tage nach Beendigung des
Hauptvertrags — siehe § 13. Aufbewahrungspflichten nach
HGB/AO bleiben unberührt.
-
Nachweise über die Einhaltung der Pflichten aus
diesem AVV werden in geeigneter Form (Zertifikate, Audit-Reports,
Verfahrensdokumentation nach GoBD, Backup-Pruefberichte) auf
Anforderung bereitgestellt.
-
Bestellung eines Datenschutzbeauftragten —
die Auftragsverarbeiterin prüft kontinuierlich die Pflicht nach
Art. 37 DSGVO. Aktuell wird die Funktion durch den
Geschäftsführer wahrgenommen; bei Überschreiten der
gesetzlichen Schwellen erfolgt eine externe Bestellung.
§ 6 Unterauftragsverarbeiter (Subprozessoren)
(1) Die Verantwortliche erteilt der
Auftragsverarbeiterin eine allgemeine schriftliche Genehmigung
i. S. d. Art. 28 Abs. 2 DSGVO zur Hinzuziehung
weiterer Auftragsverarbeiter. Aktuell genutzte Unterauftragsverarbeiter
sind in Anlage 2 abschliessend aufgeführt.
(2) Beabsichtigte Wechsel oder Hinzunahmen werden der
Verantwortlichen mindestens 30 Tage vor Wirksamkeit
in Textform angezeigt. Die Verantwortliche kann der Änderung aus
wichtigem datenschutzrechtlichen Grund innerhalb von 14 Tagen nach
Zugang der Anzeige widersprechen. Erfolgt kein Widerspruch, gilt die
Genehmigung als erteilt.
(3) Im Fall eines wirksamen Widerspruchs verhandeln
die Parteien einvernehmlich über eine Alternative. Kommt keine
Einigung zustande, hat die Verantwortliche ein
Sonderkündigungsrecht hinsichtlich des Hauptvertrags.
(4) Die Auftragsverarbeiterin verpflichtet jeden
Unterauftragsverarbeiter vertraglich mindestens auf das in diesem AVV
vereinbarte Schutzniveau (Art. 28 Abs. 4 DSGVO). Sie haftet
gegenüber der Verantwortlichen für die Einhaltung dieser
Verpflichtungen wie für eigenes Handeln.
(5) Eine Weiter-Auslagerung durch einen
Unterauftragsverarbeiter bedarf der ausdrücklichen schriftlichen
Zustimmung der Auftragsverarbeiterin und ist nur unter den
Bedingungen dieses § 6 zulässig.
§ 7 Datenpannen und Meldepflichten
(1) Die Auftragsverarbeiterin meldet jede Verletzung
des Schutzes personenbezogener Daten i. S. d. Art. 4
Nr. 12 DSGVO der Verantwortlichen
unverzüglich, spätestens jedoch binnen 24 Stunden
nach Kenntnis — per E-Mail an die im Hauptvertrag hinterlegte
Kontaktadresse und parallel per Telefon, sofern eine
72-Stunden-Frist nach Art. 33 DSGVO konkret bedroht ist.
(2) Die Meldung enthält mindestens:
- Beschreibung des Vorfalls (Art, Kategorien betroffener Daten und Personen, ungefähre Anzahl)
- Wahrscheinliche Folgen und potenziell betroffene Verarbeitungsvorgänge
- Getroffene oder geplante Massnahmen zur Eindämmung und zur Folgenminderung
- Kontaktstelle der Auftragsverarbeiterin für Rückfragen
(3) Meldungen an Aufsichtsbehörden nach
Art. 33 DSGVO sowie Benachrichtigungen Betroffener nach
Art. 34 erfolgen ausschliesslich durch die Verantwortliche.
Die Auftragsverarbeiterin unterstützt sie hierbei angemessen.
§ 8 Technisch-organisatorische Massnahmen (TOMs)
(1) Die Auftragsverarbeiterin trifft die in
Anlage 1 aufgeführten technischen und organisatorischen
Massnahmen i. S. d. Art. 32 DSGVO. Die Massnahmen
berücksichtigen den Stand der Technik, die Implementierungskosten
sowie Art, Umfang, Umstände, Zwecke der Verarbeitung und die
Eintrittswahrscheinlichkeit/Schwere der Risiken.
(2) Die Auftragsverarbeiterin überprüft, bewertet
und evaluiert die Wirksamkeit der TOMs mindestens
jährlich sowie anlassbezogen (Sicherheitsvorfälle,
wesentliche Architekturänderungen, neue Subprozessoren).
(3) Wesentliche Änderungen der TOMs werden der
Verantwortlichen in Textform bekannt gegeben; das vereinbarte
Schutzniveau darf dadurch nicht unterschritten werden.
§ 9 Rechte der betroffenen Personen
(1) Die Auftragsverarbeiterin unterstützt die
Verantwortliche durch geeignete TOMs bei der Erfüllung der Rechte
Betroffener (Auskunft, Berichtigung, Löschung, Einschränkung,
Datenübertragbarkeit, Widerspruch).
(2) Wendet sich eine betroffene Person unmittelbar an
die Auftragsverarbeiterin, leitet sie das Ersuchen unverzüglich an
die Verantwortliche weiter und beantwortet es nicht selbständig.
(3) Auskunfts-, Lösch- und Berichtigungsersuchen
setzt die Auftragsverarbeiterin nur auf Weisung der Verantwortlichen
um.
§ 10 Kontrollrechte und Audits
(1) Die Verantwortliche überzeugt sich vor Beginn
der Verarbeitung und sodann regelmässig in angemessener Weise von
der Einhaltung der TOMs und der Vereinbarungen dieses AVV.
(2) Auf erste Anforderung stellt die
Auftragsverarbeiterin folgende Nachweise zur Verfügung:
- Verfahrensdokumentation nach GoBD (Version 1.1, freigegeben April 2026)
- Aktuelle TOM-Liste gemäss Anlage 1
- Aktuelle Subprozessoren-Liste gemäss Anlage 2
- Backup-Verifikations-Berichte und Restore-Test-Protokolle
- Patch-Management-Audit-Trail (CVE-Scans, Apply-Logs)
(3) Vor-Ort-Prüfungen am Sitz der
Auftragsverarbeiterin sind nach Terminabsprache mit einer
Vorankündigungsfrist von mindestens 14 Werktagen möglich,
höchstens einmal pro Kalenderjahr ohne wichtigen Grund. Die
Verantwortliche darf sich durch unabhängige Dritte
vertreten lassen, sofern diese ihrerseits zur Verschwiegenheit
verpflichtet sind und keine Wettbewerber der Auftragsverarbeiterin
darstellen.
(4) Für den durch eine Vor-Ort-Prüfung entstehenden
Aufwand kann die Auftragsverarbeiterin eine angemessene Vergütung
auf Basis ihres aktuellen Stundensatzes verlangen, sofern die Prüfung
ohne konkrete Veranlassung erfolgt.
§ 11 Drittlandsverarbeitung
(1) Sofern Unterauftragsverarbeiter mit Sitz oder
Datenverarbeitungsorten ausserhalb der EU/des EWR eingesetzt werden
(siehe Anlage 2), erfolgt dies nur unter den Voraussetzungen
der Art. 44 ff. DSGVO. Hierzu zählen insbesondere:
- EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) inkl. dokumentiertem Transfer-Impact-Assessment (TIA)
- Ergänzende Massnahmen wie Verschlüsselung-at-rest und in-transit, Pseudonymisierung oder Zugriffsrestriktionen, wo erforderlich
- Angemessenheitsbeschluss der Europäischen Kommission, soweit für das Zielland verfügbar
(2) Aktuell sind die Kerndienste so konfiguriert, dass
Kundendaten innerhalb der EU verarbeitet werden.
Bekannt sind:
- Microsoft 365 mit aktivierter EU Data Boundary (Customer Content + System-Logs in EU/EFTA)
- Hetzner Cloud Standort Falkenstein (Deutschland)
- Cloudflare EU-Region (DE) für Tunnel, Access, R2
- Hornetsecurity Rechenzentrum Deutschland (Hannover)
- easybill / BuchhaltungsButler Rechenzentren Deutschland
(3) Sofern ein Drittland-Transfer im Einzelfall
unvermeidbar wird (z. B. Telemetriedaten von US-Tochterunternehmen
europäischer Anbieter), informiert die Auftragsverarbeiterin die
Verantwortliche vorab und legt das zugrundeliegende TIA offen.
§ 12 Haftung
(1) Die Haftung der Parteien richtet sich nach den
Regelungen des Hauptvertrags, soweit nachstehend nichts anderes
bestimmt ist. Art. 82 DSGVO bleibt unberührt.
(2) Im Innenverhältnis haften die Parteien
einander für Schäden aus Verstössen gegen diesen AVV oder die
DSGVO entsprechend ihres jeweiligen Verschuldensanteils.
§ 13 Beendigung — Löschung und Rückgabe
(1) Nach Beendigung des Hauptvertrags oder früher
auf Weisung der Verantwortlichen hat die Auftragsverarbeiterin alle
Daten der Verantwortlichen sowie etwaig erstellte Kopien zurückzugeben
oder — nach Wahl der Verantwortlichen — datenschutzgerecht zu
löschen.
(2) Die Löschung erfolgt spätestens 30 Tage nach
Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungs-
pflichten entgegenstehen (HGB, AO, GoBD). Im Falle solcher Pflichten
werden die Daten technisch und organisatorisch isoliert weitergehalten.
(3) Die Löschung wird der Verantwortlichen auf
Anforderung in Textform mit Datumsangabe bestätigt. Backup-Bestaende
unterliegen der dokumentierten Rotation und werden mit Ablauf der
Object-Lock-Periode (siehe Anlage 1) automatisch überschrieben.
§ 14 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses AVV bedürfen
der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung
dieses Formerfordernisses.
(2) Bei Widersprüchen zwischen diesem AVV und dem
Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie
datenschutzrechtliche Sachverhalte regeln.
(3) Es gilt das Recht der Bundesrepublik Deutschland
unter Ausschluss des UN-Kaufrechts und des materiellen
internationalen Privatrechts.
(4) Sollten einzelne Bestimmungen unwirksam sein,
bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die
Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die
der wirtschaftlichen und datenschutzrechtlichen Zielsetzung der
unwirksamen Bestimmung am nächsten kommt.
Anlage 1 — Technisch-organisatorische Massnahmen (TOMs, Stand 2026)
Verantwortliche Stelle: High5Manufaktur GmbH,
Am Buchenhain 2, 76359 Marxzell.
Bezugsrahmen: Art. 32 DSGVO, BSI-Grundschutz-Kompendium (Stand 2025),
ISO/IEC 27001-Kontrollziele (Edition 2022, deutsche Ausgabe 2024).
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Bueroraeume in Marxzell physisch verschliessbar; ausschliesslich der Geschaeftsfuehrer und die Minijob-Beschaeftigte besitzen Schluessel. Server stehen nicht im Buero (siehe „Hosting“ unten).
- Hosting-Sicherheit: Hetzner Cloud, Standort Falkenstein (DE), ISO/IEC 27001-zertifiziertes Rechenzentrum; Kunden-Workloads in einer dedizierten Cloud-VM (CCX33, Ubuntu 24.04 LTS).
- Edge-Sicherheit: Cloudflare DE-Region als WAF, Bot-Mitigation und Tunnel-Endpoint vor Hetzner-VM; alle internen Subdomains hinter Cloudflare Access mit Authentik-OIDC.
- Zugangskontrolle:
- Multi-Faktor-Authentifizierung (TOTP) verpflichtend für alle Operator-Logins und alle Microsoft-365-Benutzerkonten.
- Identitaetsmanagement: Microsoft Entra ID (M365 Business Premium) + Authentik OIDC für die H5M-Plattform.
- Passwoerter: zentrale Verwaltung über Keeper, Mindestlaenge 14 Zeichen, Generator-Pflicht, kein Sharing.
- SSH-Zugang zur Plattform-VM ausschliesslich über Cloudflare Tunnel (ssh.h5m.rocks), Public-SSH-Port am Hetzner-Server geschlossen.
- Zugriffskontrolle (Need-to-know):
- Rollenmodell im Dashboard mit minimalen Standardrechten; sensible Endpunkte (Sqladmin, Ops-Endpoints) zusaetzlich hinter Cloudflare Access.
- Backup-Restore und Notfall-Endpunkte sind Bearer-Token-geschützt (INTERNAL_API_TOKEN, im Keeper).
- Endgeräte-Sicherheit:
- Windows-Notebooks und PCs werden über Microsoft Intune verwaltet und mit BitLocker-Festplattenverschlüsselung ausgeliefert.
- Endpoint-Schutz: Microsoft Defender for Business (in M365 Business Premium enthalten), ergänzt durch SolarWinds N-able für Patch-Monitoring.
- iOS-Geräte (iPhone/iPad): Intune-Compliance-Profile mit Pin/Biometrie-Pflicht, Remote-Wipe-Fähigkeit.
- Datenträger-Entsorgung: Aktenvernichter DIN 66399 Stufe P-4 für Papier; Datentraeger werden nach BSI TL-03423 mehrfach überschrieben oder physisch zerstört.
- Verschwiegenheit: Verpflichtung nach § 53 BDSG für alle Beschäftigten dokumentiert (zentrale Ablage im Keeper-Tresor „HR-Pflichten“).
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Verschlüsselung in Transit: TLS 1.2 oder höher für alle externen und internen HTTP-Verbindungen, durchgesetzt am Cloudflare-Edge und in den Anwendungen.
- Verschlüsselung at Rest:
- PostgreSQL-Daten: dm-crypt/LUKS auf der Hetzner-VM.
- Backups: age X25519-Verschlüsselung clientseitig vor Upload (asymmetrisch — der Private-Key liegt ausschliesslich im Keeper).
- M365: BitLocker auf Endgeräten, M365 Service-Encryption fuer Mailboxen und SharePoint Online.
- Audit-Logging:
- Jeder schreibende Zugriff auf das Dashboard wird mit User, Action, Timestamp + IP in der Tabelle
activity (oder äquivalent) festgehalten.
- Migrationen sind forward-only durch Pre-commit-Hook + Pre-Migration-Backup-Hard-Gate (Lessons-learned aus dem 2026-05-25 Incident).
- Backup-Läufe inkl. Hash, Verifikation und Object-Lock-Status sind im
backup_run-Audit-Trail nachvollziehbar.
- Eingabe- und Änderungskontrolle: Pflicht-Reviews für Migrationen (Pre-commit-Hook blockt destruktive DB-Ops + GitLeaks scannt Secrets), 4-Augen-Prinzip für Production-Deploys via Coolify.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Backups:
- Tägliche Postgres-Vollsicherungen 01:30 UTC + Pre-Migration-Backups als Hard-Gate.
- Ziel: Cloudflare R2 Bucket h5m-platform-backups-locked mit Object Lock COMPLIANCE-Mode — 30 Tage Retention, lösch- und änderungsgeschützt auch für privilegierte Tokens.
- Restore-Test täglich automatisiert (Sandbox-Decrypt + COUNT-Vergleich), Voll-Restore-Übung monatlich manuell.
- Mail-Backup: Hornetsecurity 365 Total Backup für Exchange, OneDrive, SharePoint, Teams; getrennte Region (Hornetsecurity-Rechenzentrum DE, Hannover) zur Plattform-Infrastruktur.
- Hochverfügbarkeit: Cloudflare-Edge als DDoS-Schutzschicht, Watchdog überwacht Plattform-Endpoints alle 5 Minuten, Mail-Alert + Recovery-Trigger bei Ausfall.
- Disaster-Recovery: Schriftliche RTO ~3 h dokumentiert im Disaster-Recovery-Runbook (versioniert im Repo + Druckexemplar im Tresor). Vierteljaehrliches Runbook-Review.
4. Auftragskontrolle (Art. 32 Abs. 1 lit. b DSGVO i. V. m. Art. 28)
- Schriftliche AV-Vertraege mit allen in Anlage 2 aufgeführten Unterauftragsverarbeitern, jeweils mit § 6-konformen Kontrollrechten.
- Zentrales Tracking der Subprozessor-Verträge im H5M-Hub (Modul Verträge) mit Ablauf- und Prüfdatum.
5. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
- Restore-Pfad: R2 → lokaler Sandbox-Container → age-Decrypt → psql-Restore.
- Bei Mail-Datenverlust: Hornetsecurity-Restore granular auf Item-Level (E-Mail, Datei, Kalender).
- Endpoint-Wiederherstellung: Intune-Auto-Pilot fuer Windows-Neuinstallation mit BitLocker-Recovery-Keys aus Entra ID.
6. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
- Jährlicher TOM-Review (geplant: Februar) mit Aktualisierung der Subprozessor-Liste.
- Vierteljaehrliche Disaster-Recovery-Übung; Ergebnisse dokumentiert im Hub.
- Monatlicher Patch-Bot-Lauf: pip-audit gegen Plattform-Dependencies, Docker-Image-Scans, Host-OS-apt-list, Auto-Apply CRITICAL Security-Patches mit Backup-Gate.
- Verfahrensdokumentation nach GoBD v1.1 (April 2026) deckt die kaufmännischen Prozesse zusätzlich revisionssicher ab.
7. Pseudonymisierung und Datenminimierung (Art. 32 Abs. 1 lit. a, Art. 5 DSGVO)
- Logfiles werden mit IP-Pseudonymisierung (letztes Oktett gekürzt) gespeichert, soweit IPs nicht für Sicherheitszwecke (Forensik) benötigt werden.
- Löschwunsch-Workflow setzt die Kundennummer auf einen Pseudonym-Code (z. B. DELETED-2026-001) und entfernt Klartext-PII.
- Retention pro Datenart definiert (siehe Verfahrensdokumentation Kapitel 8).
Anlage 2 — Unterauftragsverarbeiter (Subprozessoren, Stand 2026)
Aufgeführt sind alle Unterauftragsverarbeiter, die im Rahmen der
Leistungen der High5Manufaktur GmbH personenbezogene Daten der
Verantwortlichen tatsächlich verarbeiten. Reine Distributoren oder
Hardware-Händler ohne Datenzugriff sind nicht aufgeführt.
2.1 Plattform-Infrastruktur
-
Hetzner Online GmbH, Industriestr. 25,
91710 Gunzenhausen, DE — Hosting der Plattform-VM (Standort
Falkenstein DE), ISO/IEC 27001 + 27018. EU/EWR.
-
Cloudflare Germany GmbH (Cloudflare, Inc.),
Rosental 7, 80331 München, DE — Edge, DNS, Tunnel, Access,
R2 Object Storage (Region EU). Standardvertragsklauseln 2021/914
mit Cloudflare, Inc. (US) für etwaige Telemetrie. TIA dokumentiert.
-
Anthropic, PBC, 548 Market St #19590, San
Francisco, CA 94104, USA — KI-Modell-Inferenz (Claude) für
Hub-AI-Funktionen nur sofern aktiv durch die Verantwortliche
genutzt; sonst kein Datenzugriff. EU-SCC + Zero-Data-Retention-Mode
für API-Aufrufe.
2.2 Microsoft 365 Managed Services
-
Microsoft Ireland Operations Ltd., One Microsoft
Place, South County Business Park, Leopardstown, Dublin 18,
Irland — Microsoft 365 (Exchange, OneDrive, SharePoint, Teams,
Defender, Intune, Entra ID) mit aktivierter EU Data
Boundary. EU/EWR.
-
Hornetsecurity GmbH, Am Listholzen 78,
30177 Hannover, DE — E-Mail-Sicherheit, GoBD-konforme
Mail-Archivierung, 365 Total Backup. Rechenzentrum Deutschland.
ISO/IEC 27001. EU/EWR.
-
N-able International Ltd. (vormals SolarWinds
MSP), c/o Westpark Business Campus, Shannon, Co. Clare, Irland
— RMM (Remote-Monitoring + Patch-Management). Hosting in
EU-Region. EU/EWR.
2.3 Kaufmännische Datenverarbeitung
-
easybill GmbH, Düsselstr. 21,
41564 Kaarst, DE — Angebots- und Rechnungserstellung im
Auftrag, ZUGFeRD-konforme E-Rechnung. EU/EWR.
-
BuchhaltungsButler GmbH, Ehrenbergstr. 16a,
10245 Berlin, DE — Belegverarbeitung, Bankabgleich (finAPI),
UStVA-Erstellung, revisionssichere Archivierung. ISO/IEC 27001 +
27018. EU/EWR.
2.4 Werkzeuge mit potenziellem Datenkontakt
-
Keeper Security, Inc. (EU-Tochter: Keeper Security
Germany GmbH) — Passwort-Tresor für die Auftragsverarbeiterin
selbst (keine Kundendaten); aufgenommen aus Transparenzgründen.
Zero-Knowledge-Architektur. EU-Region.
Änderungen dieser Liste werden gemäss § 6 Abs. 2 mit
einer Vorankündigungsfrist von 30 Tagen in Textform angezeigt. Der
jeweils aktuelle Stand ist unter
https://app.h5m.rocks/legal/avv
einsehbar.
Version 2026-05-26-modern — gültig ab 26.05.2026.