Version 1.0, Stand: 12.12.2025
Gegenstand dieser Vereinbarung sind die Rechte und Pflichten beider Vertragsparteien im Rahmen der Erbringung von Dienstleistungen gemäß der vereinbarten Leistungsbeschreibung sowie den Allgemeinen Geschäftsbedingungen (nachfolgend Hauptvertrag genannt), soweit eine Verarbeitung personenbezogener Daten durch Markus Haug Digital Services (nachfolgend Auftragnehmer) als Auftragsverarbeiter im Auftrag des Kunden als Verantwortlichem (nachfolgend Auftraggeber) gemäß Art. 28 DSGVO stattfindet. Diese Vereinbarung erfasst sämtliche Tätigkeiten des Auftragnehmers zur Auftragserfüllung, die eine Auftragsverarbeitung im datenschutzrechtlichen Sinne darstellen. Dies gilt unabhängig davon, ob der Hauptvertrag ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung Bezug nimmt.
Die Dauer der Verarbeitung richtet sich nach der tatsächlichen Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragnehmer.
Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des Auftrags.
Zwecke der Verarbeitung umfassen alle zur Erbringung der vertraglich vereinbarten Leistungen (siehe hierzu auch Anhang 1 Leistungsbeschreibung) erforderlichen Zwecke, insbesondere im Bereich des Hostings von Websites und Webanwendungen, der Bereitstellung von Datenbankdiensten sowie weiterer cloudbasierter Infrastrukturdienstleistungen.
Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. Siehe hierzu auch die Leistungsbeschreibung in Anhang 1.
Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. Siehe hierzu auch die Leistungsbeschreibung in Anhang 1.
Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.
Die Weisungen werden zunächst durch den Hauptvertrag definiert und können vom Auftraggeber anschließend in schriftlicher Form oder in einem elektronischen Format (Textform) durch entsprechende Einzelweisungen modifiziert werden. Mündlich erteilte Weisungen bedürfen der unverzüglichen schriftlichen oder textförmigen Bestätigung. Sollten Änderungen der Weisungen vorgeschlagen werden, informiert der Auftragnehmer den Auftraggeber über die damit verbundenen Auswirkungen auf die vereinbarten Leistungen, insbesondere hinsichtlich der Leistungserbringung, vereinbarter Termine und der Vergütung. Kann der Auftragnehmer die Umsetzung einer Weisung nicht zumutbar erfüllen, ist er berechtigt, die Datenverarbeitung einzustellen und den Vertrag außerordentlich zu kündigen. Mit der Einstellung der Leistung durch den Auftragnehmer entfällt die Entgeltpflicht des Auftraggebers. Eine Unzumutbarkeit ist insbesondere dann gegeben, wenn die Dienstleistungen in einer gemeinsamen Infrastruktur erbracht werden, die von mehreren Kunden des Auftragnehmers genutzt wird, und eine individuelle Anpassung der Verarbeitung für einzelne Auftraggeber technisch nicht möglich oder wirtschaftlich nicht zumutbar ist.
Die vertraglich vereinbarte Datenverarbeitung erfolgt grundsätzlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Europäischen Wirtschaftsraums. Sollte zur Leistungserbringung eine Datenübertragung in Drittstaaten erforderlich sein, gewährleistet der Auftragnehmer, dass die datenschutzrechtlichen Anforderungen nach Art. 44 ff. DSGVO eingehalten werden.
Der Auftragnehmer ist verpflichtet, personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers zu verarbeiten. Die initialen Weisungen ergeben sich aus dem Vertrag. Eine Weisungsbindung besteht nicht, wenn eine gesetzliche Verpflichtung im Sinne des Art. 28 Abs. 3 a) DSGVO vorliegt (Verpflichtung nach dem Recht der Europäischen Union oder eines Mitgliedstaates). Dies gilt auch für Datenübertragungen in Drittländer oder an internationale Organisationen. Besteht eine gesetzliche Verpflichtung zur Verarbeitung, die einer Weisung des Auftraggebers entgegensteht, informiert der Auftragnehmer den Auftraggeber vor Durchführung der Verarbeitung über die rechtliche Anforderung, es sei denn, das betreffende Recht untersagt eine solche Information aus Gründen des öffentlichen Interesses. Der Auftragnehmer teilt dem Auftraggeber unverzüglich mit, wenn er eine Weisung als rechtswidrig erachtet. In diesem Fall kann der Auftragnehmer die Umsetzung der Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber aussetzen. Der Auftraggeber hat die Weisungen zu dokumentieren und für die gesamte Dauer des Auftragsverhältnisses aufzubewahren.
Soweit dies im Rahmen der Art der Verarbeitung möglich ist, unterstützt der Auftragnehmer den Auftraggeber mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung der Rechte betroffener Personen gemäß Kapitel III der DSGVO. Für diese Unterstützungsleistungen kann der Auftragnehmer eine angemessene Vergütung verlangen, sofern die Unterstützung nicht aufgrund eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer notwendig wurde. Vor Erbringung der Leistung informiert der Auftragnehmer den Auftraggeber über die anfallenden Kosten.
Unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen unterstützt der Auftragnehmer den Auftraggeber bei der Erfüllung seiner Pflichten nach den Artikeln 32 bis 36 DSGVO. Für diese Unterstützungsleistungen kann der Auftragnehmer eine angemessene Vergütung in Rechnung stellen, es sei denn, die Unterstützung wurde durch einen Gesetzes- oder Vertragsverstoß des Auftragnehmers notwendig. Der Auftragnehmer informiert den Auftraggeber im Voraus über die zu erwartenden Kosten.
Der Auftragnehmer stellt sicher, dass allen mit der Verarbeitung der Daten des Auftraggebers betrauten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der erteilten Weisungen zu verarbeiten. Zusätzlich gewährleistet der Auftragnehmer, dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen. Dies gilt gleichermaßen für das Sozialgeheimnis, das Fernmeldegeheimnis nach § 3 TTDSG sowie – unter Kenntnis der Strafbarkeit – für die Wahrung von Geheimnissen der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits- und Verschwiegenheitspflichten bestehen auch nach Beendigung des Auftragsverhältnisses fort.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, sobald ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer ergreift unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minimierung möglicher nachteiliger Auswirkungen für die betroffenen Personen.
Der Auftragnehmer stellt sicher, dass ein Datenschutzbeauftragter bestellt ist, der seine Aufgaben gemäß Art. 38 und 39 DSGVO wahrnimmt. Die Kontaktdaten des Datenschutzbeauftragten werden auf der Website des Auftragnehmers veröffentlicht.
Nach Beendigung der Verarbeitungsleistungen hat der Auftraggeber die Wahl, ob der Auftragnehmer alle personenbezogenen Daten löscht oder sie an den Auftraggeber zurückgibt, sofern nicht nach Unionsrecht oder dem anwendbaren Recht eines Mitgliedstaates eine Aufbewahrungspflicht besteht. Wird von diesem Wahlrecht kein Gebrauch gemacht, gilt die Löschung als vereinbart. Bei Wahl der Rückgabe kann der Auftragnehmer eine angemessene Vergütung für die Datenrückgabe verlangen. Der Auftragnehmer informiert den Auftraggeber im Voraus über die anfallenden Kosten.
Werden Schadensersatzansprüche nach Art. 82 DSGVO durch betroffene Personen geltend gemacht, unterstützt der Auftragnehmer den Auftraggeber im Rahmen seiner Möglichkeiten bei der Abwehr dieser Ansprüche. Der Auftragnehmer kann für diese Unterstützung eine angemessene Vergütung verlangen, es sei denn, die Schadensersatzansprüche beruhen auf einem Gesetzes- oder Vertragsverstoß des Auftragnehmers.
Der Auftraggeber ist verpflichtet, den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Auftragsdurchführung Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.
Im Falle der Vertragsbeendigung verpflichtet sich der Auftraggeber, alle von ihm in den Diensten gespeicherten personenbezogenen Daten vor Beendigung des Vertragsverhältnisses zu löschen.
Auf Anfrage des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner für Datenschutzangelegenheiten.
Der Auftragnehmer informiert den Auftraggeber unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Der Auftragnehmer beantwortet solche Anträge nicht selbstständig, es sei denn, er wurde hierzu ausdrücklich vom Auftraggeber ermächtigt. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragnehmer den Auftraggeber bei der Erfüllung seiner Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu bearbeiten. Bei der Erfüllung seiner Unterstützungspflichten befolgt der Auftragnehmer die Weisungen des Auftraggebers. Der Auftragnehmer übernimmt keine Haftung, wenn ein Antrag einer betroffenen Person durch den Auftraggeber nicht, nicht ordnungsgemäß oder nicht fristgerecht beantwortet wird.
Der Auftragnehmer ergreift in seinem Verantwortungsbereich angemessene technische und organisatorische Maßnahmen, um sicherzustellen, dass die Datenverarbeitung den Anforderungen der DSGVO entspricht und die Rechte und Freiheiten betroffener Personen geschützt sind. Der Auftraggeber ergreift in seinem Verantwortungsbereich gemäß Art. 32 DSGVO entsprechende technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft sicherzustellen.
Der Auftragnehmer informiert den Auftraggeber auf Anfrage über die aktuellen technischen und organisatorischen Maßnahmen, die zur Sicherstellung der datenschutzrechtlichen Anforderungen ergriffen werden. Diese Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.
Der Auftragnehmer führt regelmäßige Überprüfungen der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO durch.
Der Auftragnehmer passt die ergriffenen Maßnahmen kontinuierlich an den Stand der Technik und die aktuelle Risikolage an. Änderungen der technischen und organisatorischen Maßnahmen bleiben dem Auftragnehmer vorbehalten, sofern das nach Art. 32 DSGVO erforderliche Schutzniveau nicht unterschritten wird.
Der Auftragnehmer stellt dem Auftraggeber alle zur Nachweisführung über die Einhaltung der in Art. 28 DSGVO festgelegten Pflichten erforderlichen Informationen zur Verfügung und ermöglicht im Einzelfall Überprüfungen einschließlich Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer. Der Auftragnehmer kann vom Auftraggeber und dessen beauftragten Prüfern eine Verschwiegenheitserklärung verlangen, die jedoch den Auftraggeber nicht daran hindern darf, selbst gegenüber der zuständigen Aufsichtsbehörde Nachweise zu erbringen. Unmittelbare Wettbewerber des Auftraggebers oder Personen, die für solche Wettbewerber tätig sind, kann der Auftragnehmer als Prüfer ablehnen.
Als Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten genügt dem Auftraggeber in der Regel eine entsprechende Zertifizierung oder ein vergleichbarer Nachweis über die Einhaltung von Sicherheitsstandards. Aktuelle Nachweise stellt der Auftragnehmer auf Anfrage zur Verfügung.
Soweit der Auftraggeber auf Grundlage tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass die vorgenannten Nachweise ausreichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Diese Kontrollen können zu den üblichen Geschäftszeiten und ohne übermäßige Beeinträchtigung des Betriebsablaufs durchgeführt werden, in der Regel nach vorheriger Anmeldung (es sei denn, eine unangemeldete Kontrolle erscheint erforderlich, weil andernfalls der Kontrollzweck gefährdet wäre). Das Inspektionsrecht des Auftraggebers dient der Überprüfung der Einhaltung der dem Auftragsverarbeiter obliegenden Pflichten gemäß DSGVO und dieser Vereinbarung. Der Auftragnehmer wirkt aktiv an der Durchführung der Kontrolle mit.
Für Informationsleistungen und Unterstützungshandlungen im Rahmen von Kontrollen kann der Auftragnehmer eine angemessene Vergütung verlangen, es sei denn, die Kontrolle wurde durch einen Gesetzes- oder Vertragsverstoß des Auftragnehmers notwendig. Der Auftragnehmer informiert den Auftraggeber im Voraus über die zu erwartenden Kosten.
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Erfüllung der vertraglichen Verpflichtungen einzusetzen.
Die derzeit eingesetzten weiteren Auftragsverarbeiter sind in Anhang 2 dieser Vereinbarung aufgeführt. Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.
Der Auftragnehmer informiert den Auftraggeber, wenn er beabsichtigt, weitere Auftragsverarbeiter hinzuzuziehen oder zu ersetzen. Der Auftraggeber kann gegen solche Änderungen Einspruch erheben.
Der Einspruch gegen eine beabsichtigte Änderung kann nur aus sachlichen Gründen innerhalb von 14 Tagen nach Zugang der Information über die Änderung beim Auftragnehmer erhoben werden. Im Falle eines Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Leistungserbringung ohne die beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist – die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen Frist (mindestens 14 Tage) nach Zugang des Einspruchs einstellen. Mit der Einstellung der Leistung durch den Auftragnehmer entfällt die Entgeltpflicht des Auftraggebers.
Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Verpflichtungen aus dieser Vereinbarung auf den weiteren Auftragsverarbeiter zu übertragen. Der Auftragnehmer stellt insbesondere durch regelmäßige Überprüfungen sicher, dass die weiteren Auftragsverarbeiter die erforderlichen technischen und organisatorischen Maßnahmen einhalten.
Im Falle der Geltendmachung von Schadensersatzansprüchen durch betroffene Personen nach Art. 82 DSGVO verpflichten sich beide Vertragsparteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarten Haftungsregelungen gelten auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung sowie im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art. 82 DSGVO, es sei denn, es wurde ausdrücklich etwas anderes vereinbart.
Diese Vereinbarung tritt mit dem Abschluss durch den Auftraggeber in Kraft. Sie endet mit Beendigung des letzten Vertragsverhältnisses zwischen den Parteien. Sollte eine Auftragsverarbeitung noch nach Beendigung dieser Vereinbarung stattfinden, gelten die Regelungen dieser Vereinbarung bis zum tatsächlichen Ende der Verarbeitung.
Der Auftragnehmer kann diese Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Insbesondere behält sich der Auftragnehmer ausdrücklich vor, die Vereinbarung einseitig zu ändern, sofern sich wesentliche rechtliche Änderungen ergeben, die diese Vereinbarung betreffen. Der Auftragnehmer wird den Auftraggeber über die Bedeutung der geplanten Änderung gesondert informieren und dem Auftraggeber eine angemessene Frist zur Erklärung eines Widerspruchs einräumen. In der Änderungsankündigung weist der Auftragnehmer den Auftraggeber darauf hin, dass die Änderung wirksam wird, wenn nicht binnen der gesetzten Frist widersprochen wird. Im Falle eines Widerspruchs durch den Auftraggeber steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu.
Der Auftraggeber erkennt diese Vereinbarung als Teil der AGB https://www.mhds.studio/terms über die/das von ihm gebuchte/n Produkt/e an. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht.
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit dieser Vereinbarung ist der Sitz des Auftragnehmers. Dies gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland.
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber in Kenntnis setzen, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.
Leistungsbeschreibung: Bei Bestellung einer Domain übernehmen wir die Registrierung Ihrer Domain bei der zuständigen Registry sowie die technische Konnektierung. Die Aufrechterhaltung der Domain-Registrierung ist Bestandteil unserer Leistung.
Art der personenbezogenen Daten: Domain-Informationen, Stammdaten (Name, Adresse, E-Mail-Adresse, Telefonnummer)
Kategorien betroffener Personen: Mitarbeiter des Auftraggebers, Besucher der Website
Leistungsbeschreibung: Bei Bestellung eines Hosting-Pakets stellen wir Ihnen Webspace für Websites und Webanwendungen zur Verfügung. Zu unseren Leistungen gehören die Registrierung und Konnektierung der Domain sowie die Bereitstellung des Webspaces. Je nach gewähltem Hosting-Plan umfassen die Leistungen ein SSL-Zertifikat für verschlüsselte Datenübertragung sowie technisches Monitoring der Infrastruktur. Die konkreten Leistungen richten sich nach dem jeweils gebuchten Hosting-Plan.
Art der personenbezogenen Daten: Inhaltsdaten der Website oder Webanwendung, Domain-Informationen, Daten der Website-Besucher (z.B. IP-Adressen, Zugriffszeiten, verwendete Browser)
Kategorien betroffener Personen: Mitarbeiter des Auftraggebers, Besucher der Website oder Webanwendung
Leistungsbeschreibung: Wir bieten Hosting-Dienstleistungen für Datenbanken an, die von Websites oder Webanwendungen genutzt werden. Die Datenbanken werden in unserer Infrastruktur gehostet und sind über die entsprechenden Schnittstellen für die Anwendungen des Auftraggebers erreichbar. Die konkreten Leistungen und Spezifikationen richten sich nach dem jeweils gebuchten Datenbank-Hosting-Plan.
Art der personenbezogenen Daten: Alle in den Datenbanken gespeicherten Daten, die der Auftraggeber in den Datenbanken ablegt, einschließlich personenbezogener Daten, die durch die Websites oder Webanwendungen des Auftraggebers verarbeitet werden
Kategorien betroffener Personen: Mitarbeiter des Auftraggebers, Nutzer der Websites oder Webanwendungen des Auftraggebers, Kunden des Auftraggebers (sofern deren Daten in den Datenbanken gespeichert werden)
Die nachfolgende Tabelle enthält eine Übersicht der derzeit eingesetzten weiteren Auftragsverarbeiter:
| Subunternehmer | Adresse | Kurzbeschreibung der Leistung | geeignete Garantien im Falle Drittlandübermittlung |
|---|---|---|---|
| STRATO GmbH | Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland | Domain-Registrierung und -Verwaltung | Keine Drittlandübermittlung (EU/EWR) |
| Namecheap, Inc. | 4600 East Washington Street, Suite 305, Phoenix, AZ 85034, USA | Domain-Registrierung und -Verwaltung | Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Vercel Inc. | 650 California St, San Francisco, CA 94108 | Hosting von Websites und Webanwendungen, Edge-Computing | Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Google Cloud Platform (Google Ireland Limited) | Gordon House, Barrow Street, Dublin 4, Irland | Cloud-Infrastruktur, Hosting, Compute-Dienste | Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO; Verarbeitung primär in EU/EWR-Regionen |
| Amazon Web Services (AWS Europe) | 38 Avenue John F. Kennedy, L-1855 Luxembourg | Cloud-Infrastruktur, Compute-Dienste, Speicher | Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO; Verarbeitung primär in EU/EWR-Regionen |
| Supabase, Inc. | 65 Chulia Street #38-02/03, OCBC Centre, Singapore 049513 | Datenbank-Hosting, Authentifizierung, Serverless-Funktionen, Backend-as-a-Service | Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO |
Hinweis: Die Verarbeitung personenbezogener Daten erfolgt nach Möglichkeit in Rechenzentren innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Soweit eine Datenübertragung in Drittstaaten erfolgt, werden die datenschutzrechtlichen Anforderungen durch die genannten Garantien sichergestellt.