Vertrag über die Verarbeitung personenbezogener Daten im Auftrag (Art. 28 DSGVO)
zwischen dir als Kundin bzw. Kunde von PlugInPlay (nachfolgend „Verantwortlicher") und PlugInPlay – Einzelunternehmen, Inhaber Luca Noel Textor, Sandweg 4, 35085 Ebsdorfergrund, Deutschland (nachfolgend „Auftragsverarbeiter" oder „wir").
Worum es geht – kurz erklärt
Wenn auf deinem Game-Server personenbezogene Daten anderer Personen verarbeitet werden – typischerweise Daten deiner Spielerinnen und Spieler wie Nutzernamen, IP-Adressen oder Chat-Nachrichten – bist du dafür datenschutzrechtlich der „Verantwortliche" im Sinne der DSGVO. Wir betreiben die Infrastruktur in deinem Auftrag und sind damit dein „Auftragsverarbeiter". Die DSGVO verlangt für dieses Verhältnis einen Vertrag (Art. 28 Abs. 3 DSGVO). Genau dieser Vertrag steht hier – und er gilt automatisch, ohne dass du etwas unterschreiben musst.
§ 1 Gegenstand und Geltungsbereich
(1) Dieser Vertrag regelt die Rechte und Pflichten der Parteien bei der Verarbeitung personenbezogener Daten, die wir im Rahmen unserer Hosting-Leistungen in deinem Auftrag verarbeiten (Art. 28 DSGVO).
(2) Er gilt für alle Leistungen, bei denen du auf den von uns bereitgestellten Ressourcen (Game-Server, Speicherplatz, Datenbanken, Backups, Subdomain-Routing) personenbezogene Daten Dritter verarbeitest, insbesondere Daten deiner Spielerinnen, Spieler und eingeladenen Mitnutzer.
(3) Automatische Einbeziehung: Dieser AVV wird mit Vertragsschluss automatisch Bestandteil jedes Vertrags über unsere Hosting-Leistungen; eine gesonderte Unterzeichnung ist nicht erforderlich. Art. 28 Abs. 9 DSGVO lässt den Abschluss in einem elektronischen Format ausdrücklich zu. Auf Anfrage an support@pluginplay.host stellen wir dir diesen AVV als PDF-Dokument bereit.
(4) Nutzt du deinen Server ausschließlich für persönliche oder familiäre Zwecke (z. B. ein privater Server nur für Freunde und Familie), findet die DSGVO auf deine Tätigkeit möglicherweise keine Anwendung (Art. 2 Abs. 2 lit. c DSGVO). Dieser AVV gilt in diesem Fall vorsorglich.
(5) Bei Widersprüchen zwischen diesem AVV und den AGB geht dieser AVV hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag vor. Der AVV ist unentgeltlicher Bestandteil der Leistung.
§ 2 Dauer
Die Laufzeit dieses Vertrags entspricht der Laufzeit des jeweiligen Hosting-Vertrags (Hauptvertrag); er endet mit dessen Beendigung. Die Pflichten aus § 10 (Löschung und Rückgabe) bestehen darüber hinaus fort.
§ 3 Art, Zweck und Umfang der Verarbeitung
(1) Art, Zweck und Umfang der Verarbeitung, die Kategorien personenbezogener Daten und die Kreise betroffener Personen ergeben sich aus Anlage 1.
(2) Die Verarbeitung findet in Rechenzentren innerhalb der Europäischen Union statt (derzeit Frankreich); § 8 bleibt unberührt.
§ 4 Weisungsrecht
(1) Wir verarbeiten die Auftragsdaten ausschließlich auf deine dokumentierte Weisung (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Weisungen erteilst du in der Regel unmittelbar über die Funktionen des Kundenpanels, z. B. durch Installieren, Starten und Stoppen des Servers, Datei- und Datenbankzugriff, Erstellen und Wiederherstellen von Backups, Verwalten von Mitspielern oder Löschen von Daten. Ergänzende Weisungen sind in Textform möglich (Support-Ticket oder E-Mail).
(2) Halten wir eine Weisung für datenschutzwidrig, informieren wir dich unverzüglich (Art. 28 Abs. 3 Satz 3 DSGVO). Wir dürfen die Umsetzung aussetzen, bis du die Weisung bestätigst oder änderst.
(3) Eine Verarbeitung der Auftragsdaten zu eigenen Zwecken findet nicht statt. Sind wir durch das Recht der Union oder der Bundesrepublik Deutschland zu einer weitergehenden Verarbeitung verpflichtet, teilen wir dir dies vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
§ 5 Unsere Pflichten
(1) Vertraulichkeit: Alle Personen, die bei uns Zugang zu Auftragsdaten haben, sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b, Art. 29 DSGVO). Zugriff auf die Produktionssysteme haben ausschließlich der Inhaber sowie, soweit eingesetzt, einzelne schriftlich zur Vertraulichkeit verpflichtete Beauftragte.
(2) Sicherheit: Wir treffen die technischen und organisatorischen Maßnahmen nach Anlage 2 (Art. 32 DSGVO). Wir dürfen sie an den Stand der Technik anpassen, solange das vereinbarte Schutzniveau nicht unterschritten wird.
(3) Unterstützung: Unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen unterstützen wir dich bei der Einhaltung deiner Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(4) Ein Datenschutzbeauftragter ist bei uns nicht bestellt, da keine gesetzliche Pflicht besteht (Art. 37 DSGVO, § 38 BDSG). Datenschutz-Kontakt: support@pluginplay.host.
§ 6 Meldung von Datenschutzverletzungen
Wird uns eine Verletzung des Schutzes personenbezogener Daten bekannt, die die Auftragsdaten betrifft, melden wir sie dir unverzüglich (Art. 33 Abs. 2 DSGVO). Die Meldung enthält, soweit bereits verfügbar, die Angaben nach Art. 33 Abs. 3 DSGVO. Wir ergreifen unverzüglich angemessene Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen und unterstützen dich bei deinen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).
§ 7 Unterauftragsverarbeiter
(1) Du erteilst uns die allgemeine Genehmigung (Art. 28 Abs. 2 DSGVO), die in Anlage 3 aufgeführten Unterauftragsverarbeiter einzusetzen.
(2) Über beabsichtigte Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) informieren wir dich mindestens 14 Tage vor Wirksamwerden per E-Mail oder über eine Ankündigung im Kundenpanel. Du kannst der Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen. Ist uns die Fortführung der Leistung ohne den neuen Unterauftragsverarbeiter nicht zumutbar, steht beiden Parteien ein Sonderkündigungsrecht zu; bereits bezahlte, noch nicht erbrachte Leistungen erstatten wir in diesem Fall anteilig.
(3) Mit jedem Unterauftragsverarbeiter schließen wir einen Vertrag, der ihm im Wesentlichen dieselben Datenschutzpflichten auferlegt, die uns aus diesem AVV treffen (Art. 28 Abs. 4 DSGVO).
(4) Keine Unterauftragsverhältnisse im Sinne dieses Vertrags sind Nebenleistungen ohne inhaltlichen Zugriff auf die Auftragsdaten, z. B. Telekommunikations- und Netzleistungen, Post- und Transportdienste oder Hardware-Wartung.
§ 8 Verarbeitung in Drittländern
Die Verarbeitung der Auftragsdaten erfolgt in der EU (Anlage 1). Eine Übermittlung in Drittländer findet nur statt, wenn sie in Anlage 3 ausgewiesen ist und die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Installierst du selbst Mods, Plugins oder Dienste, die von deinem Server aus Verbindungen zu Drittanbietern aufbauen, liegt diese Verarbeitung außerhalb unseres Auftrags und in deiner alleinigen Verantwortung.
§ 9 Unterstützung bei Betroffenenrechten
(1) Wir unterstützen dich mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen (Art. 12 bis 23 DSGVO) zu beantworten (Art. 28 Abs. 3 Satz 2 lit. e DSGVO). Die wichtigsten Werkzeuge stehen dir dafür unmittelbar im Kundenpanel zur Verfügung: vollständiger Datei- und Datenbankzugriff, Export- und Backup-Funktionen sowie Lösch-Funktionen.
(2) Wendet sich eine betroffene Person unmittelbar an uns, leiten wir die Anfrage unverzüglich an dich weiter und beantworten sie nicht selbst, soweit wir nicht gesetzlich dazu verpflichtet sind.
§ 10 Löschung und Rückgabe nach Auftragsende
(1) Während der Vertragslaufzeit kannst du deine Daten jederzeit selbst exportieren (Datei- und Backup-Download). Auf Verlangen stellen wir dir deine Inhalte nach Maßgabe von § 7 Abs. 5 der AGB in einem gängigen, maschinenlesbaren Format bereit.
(2) Nach Beendigung des Hauptvertrags bleiben die Server-Daten für die Dauer des Reaktivierungszeitraums (derzeit 14 Tage) gespeichert; danach löschen wir den Server und sämtliche zugehörigen Daten endgültig. Kopien in unserem internen Sicherungssystem werden im Rahmen der automatischen Backup-Rotation spätestens nach weiteren rund 90 Tagen gelöscht bzw. überschrieben und bis dahin nicht aktiv verarbeitet.
(3) Auf Anfrage bestätigen wir dir die Löschung in Textform. Gesetzliche Aufbewahrungspflichten (z. B. für Rechnungsdaten) bleiben unberührt; solche Daten werden für andere Zwecke gesperrt.
§ 11 Nachweise und Kontrollen
(1) Wir stellen dir alle erforderlichen Informationen zum Nachweis der Einhaltung unserer Pflichten aus Art. 28 DSGVO zur Verfügung (Art. 28 Abs. 3 Satz 2 lit. h DSGVO), insbesondere diesen AVV, die Maßnahmenbeschreibung in Anlage 2 sowie vorhandene Zertifikate und Testate unserer Unterauftragsverarbeiter (z. B. die ISO/IEC-27001-Zertifizierung des Rechenzentrumsbetreibers).
(2) Überprüfungen (Audits) einschließlich Inspektionen ermöglichen wir nach vorheriger Abstimmung zu üblichen Geschäftszeiten, in der Regel höchstens einmal jährlich sowie anlassbezogen bei konkreten Anhaltspunkten. Der Zutritt zu Rechenzentren der Unterauftragsverarbeiter richtet sich nach deren Zutritts- und Sicherheitsregeln. Deine eigenen Kosten eines Audits trägst du selbst; unseren Aufwand dürfen wir angemessen berechnen, sofern das Audit keinen von uns zu vertretenden Anlass hat.
§ 12 Haftung und Schlussbestimmungen
(1) Für die Haftung gilt Art. 82 DSGVO; ergänzend gilt § 11 der AGB.
(2) Änderungen dieses AVV erfolgen entsprechend § 14 der AGB. Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 – Gegenstand der Verarbeitung
| Punkt | Beschreibung |
|---|---|
| Gegenstand | Bereitstellung und Betrieb von Game-Servern einschließlich Speicherplatz, Datenbanken, Backups und Subdomain-Routing |
| Art der Verarbeitung | Speichern, Aufbewahren, Übermitteln (Netzwerkbetrieb), Sichern, Wiederherstellen, Löschen (Hosting, Art. 4 Nr. 2 DSGVO) |
| Zweck | Betrieb des von dir konfigurierten Spielservers und der zugehörigen Dienste |
| Kategorien von Daten | Spieler-Kennungen (Nutzernamen, Spieler- und Account-IDs, UUIDs), IP-Adressen und Verbindungsdaten, Chat- und Kommunikationsinhalte (soweit vom Spiel protokolliert), Spielstände und In-Game-Aktivitäten, Whitelist- und Ban-Listen, Log-Dateien des Spielservers sowie sonstige von dir oder deinen Spielern eingebrachte Inhalte |
| Besondere Kategorien (Art. 9 DSGVO) | Nicht vorgesehen. Ob Spieler solche Daten von sich aus preisgeben (z. B. im Chat), liegt außerhalb unserer Kontrolle und in deiner Verantwortung als Verantwortlicher |
| Betroffene Personen | Deine Spielerinnen und Spieler, eingeladene Mitnutzer („Mitspieler"), Community-Mitglieder sowie sonstige Personen, deren Daten du auf dem Server verarbeitest |
| Ort der Verarbeitung | Rechenzentrum in Frankreich (EU); administrative Verwaltung aus Deutschland |
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Zutrittskontrolle (physisch): Betrieb in einem professionellen Rechenzentrum von OVH in Frankreich mit Zutrittskontrolle, Videoüberwachung und 24/7-Sicherheitsdienst; der Betreiber ist nach ISO/IEC 27001 zertifiziert. Wir selbst haben keinen physischen Zugriff auf die Hardware; Eingriffe erfolgen ausschließlich durch das Rechenzentrumspersonal.
- Zugangskontrolle (Systeme): Administrativer Zugang ausschließlich über SSH mit Public-Key-Verfahren (Passwort-Login deaktiviert); Zugänge auf das erforderliche Minimum beschränkt; Host-Firewall; zeitnahe Sicherheitsupdates.
- Zugriffskontrolle und Trennung: Jeder Kundenserver läuft in einem eigenen, isolierten Container mit getrenntem Dateisystem und eigenen Ports; Zugriff im Kundenpanel nur auf eigene Server; rollenbasierte Rechte für eingeladene Mitnutzer; getrennte Datenbanken je Server.
- Übertragungskontrolle: TLS-Verschlüsselung für Website, Kundenpanel und Schnittstellen; Dateizugriff über SFTP.
- Eingabekontrolle: Protokollierung administrativer Aktionen im Kundenpanel (Aufbewahrung bis 90 Tage).
- Verfügbarkeitskontrolle: Tägliche, verschlüsselte Backups mit getesteter Wiederherstellung; Monitoring mit öffentlicher Status-Seite; redundante Strom- und Netzanbindung des Rechenzentrums.
- Auftragskontrolle: Weisungen über definierte Panel-Funktionen; sorgfältige Auswahl und vertragliche Bindung der Unterauftragsverarbeiter.
- Löschkonzept: Endgültige Löschung der Server-Daten 14 Tage nach Vertragsende (AGB § 7 Abs. 5); interne Sicherungskopien rotieren automatisch und werden spätestens nach rund 90 Tagen gelöscht bzw. überschrieben.
- Überprüfung: Regelmäßige Überprüfung und Weiterentwicklung der Maßnahmen (Least-Privilege-Prinzip, Systemhärtung, Update-Prozesse).
Anlage 3 – Genehmigte Unterauftragsverarbeiter
| Unternehmen | Anschrift | Leistung | Verarbeitungsort |
|---|---|---|---|
| OVH SAS | 2, rue Kellermann, 59100 Roubaix, Frankreich | Rechenzentrum und dedizierte Server-Infrastruktur | Frankreich (EU) |
Weitere Unterauftragsverarbeiter mit Zugriff auf Auftragsdaten setzen wir derzeit nicht ein. Dienstleister, die ausschließlich unsere eigenen Geschäftsprozesse betreffen (z. B. der Versand von Rechnungs-E-Mails), sind keine Unterauftragsverarbeiter im Sinne dieses Vertrags; du findest sie in der Datenschutzerklärung.
Stand: Juli 2026 · Version 1.0.