Link11 Self-Serve Data Processing Agreement (DPA)

Stand: 28 Juni 2025

zwischen
Kunde (der „Verantwortliche“)
und
Link11 GmbH, Lindleystr. 12, 60314 Frankfurt am Main, Deutschland (der „Auftragsverarbeiter“)

Dieses DPA wird Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) der self-serve Dienste und findet Anwendung auf jede Verarbeitung personenbezogener Daten, sobald ein Kunde Link11 Self-Serve Dienste bestellt oder nutzt.

1. Begriffsbestimmungen

Die in diesem DPA verwendeten Begriffe entsprechen den Definitionen der Datenschutz-Grundverordnung (DSGVO), insbesondere gemäß Art. 4 DSGVO.

2. Gegenstand, Dauer, Art und Zweck der Verarbeitung

2.1 Gegenstand

Verarbeitung personenbezogener Daten im Auftrag des Kunden im Rahmen der Nutzung von Link11 Self-Serve Diensten.

2.2 Dauer

Für die Dauer des Hauptvertrages sowie eventuelle gesetzliche Aufbewahrungsfristen.

2.3 Art und Zweck

  • Erbringung von Sicherheits-, Netzwerk- und Performance-Diensten

  • Speicherung und Analyse von Netzwerk- und Zugriffsdaten

  • Abwicklung von Support und Vertragsmanagement

  • Abrechnung und Serviceverbesserung

3. Kategorien betroffener Personen

  • Besucher von Webseiten und APIs des Kunden

  • Mitarbeitende und Administratoren des Kunden

  • Endkunden des Kunden (je nach Anwendungsfall)

4. Kategorien personenbezogener Daten

  • IP-Adressen, Header-Daten, User-Agent, Cookies

  • Logdaten, Zugriffsdaten, Zeitstempel

  • Supportinhalte und E-Mail-Kommunikation

  • Benutzerkontodaten, Zahlungskennungen

5. Pflichten des Kunden (Verantwortlicher)

Der Kunde stellt sicher:

  • dass die Verarbeitung rechtmäßig erfolgt

  • dass Betroffene informiert wurden

  • dass Weisungen schriftlich und eindeutig erteilt werden

6. Pflichten von Link11 (Auftragsverarbeiter)

Link11 verpflichtet sich:

  • ausschließlich auf dokumentierte Weisung des Kunden zu handeln

  • Mitarbeitende zur Vertraulichkeit zu verpflichten

  • Datenschutzverletzungen unverzüglich zu melden

  • nach Vertragsende Daten zu löschen oder zurückzugeben

  • alle Daten ausschließlich zu Zwecken der Vertragserfüllung zu verarbeiten

  • bei der Wahrnehmung von Betroffenenrechten zu unterstützen

7. Subunternehmer (Subprozessoren)

Link11 setzt die folgenden Subunternehmer ein:

Subunternehmer: Google Ireland Ltd.
Sitz: Irland/EU
Dienstleistung: Cloud & Monitoring Services
Drittlandübermittlung: Nein
Garantien:

Link11 kann von Zeit zu Zeit neue Subunternehmer (Subprozessoren) benennen oder bestehende ändern. Solche Änderungen werden mindestens 30 Tage vor Inkrafttreten auf dieser Seite veröffentlicht. Sollte der Kunde der Änderung aus berechtigten datenschutzrechtlichen Gründen innerhalb dieser Frist widersprechen, und kann Link11 die Services daraufhin nicht mehr wie vereinbart bereitstellen, endet der betroffene Dienst automatisch zum Zeitpunkt der geplanten Änderung.

8. Internationale Datenübermittlungen

Erfolgen Übermittlungen außerhalb der EU/des EWR, gewährleistet Link11 ein angemessenes Datenschutzniveau durch:

  • Abschluss der EU-Standardvertragsklauseln

  • zusätzliche Sicherheitsmaßnahmen (z. B. Verschlüsselung, Zugangsbeschränkungen)

9. Technische und organisatorische Maßnahmen (TOMs)

Link11 gewährleistet ein dem Risiko angemessenes Schutzniveau. Die Maßnahmen umfassen insbesondere:

9.1 Zugangskontrolle (physisch & logisch)

  • Zutrittskontrolle in Rechenzentren (z. B. biometrisch, RFID)

  • VPN- und MFA-geschützte Administratorzugriffe

  • Zugriffsbeschränkung nach „Need-to-know“-Prinzip

  • Rollen- und Rechtekonzepte für Mitarbeitende

9.2 Verschlüsselung & Schutz bei Übertragung

  • TLS 1.2/1.3-Verschlüsselung aller externen Verbindungen

  • Datenverschlüsselung im Ruhezustand (at rest) bei kritischen Komponenten

  • DNSSEC, HTTP Strict Transport Security (HSTS)

9.3 Verfügbarkeitskontrolle

  • Redundante Systeme mit Load Balancing

  • Globale POP-Verteilung zur Lastverteilung und DDoS-Abwehr

  • Regelmäßige Backups, geo-redundant gespeichert

  • Notfallkonzept & Disaster Recovery Pläne

9.4 Eingabekontrolle & Protokollierung

  • Zentralisiertes Logging (SIEM) für sicherheitsrelevante Events

  • Protokollierung von Zugriffen, Änderungen und Support-Aktivitäten

  • Revisionssichere Audit-Trails

9.5 Auftragskontrolle

  • Vertragliche Regelungen mit allen Subprozessoren

  • Due-Diligence-Prüfungen bei neuen Dienstleistern

  • Laufende Überwachung technischer Sicherheitsstandards

9.6 Datenschutzfreundliche Voreinstellungen & Minimierung

  • Datenminimierung bei Protokollierung

  • Anonymisierung & Pseudonymisierung wo möglich

  • Deaktivierung unnötiger Trackingmechanismen

9.7 Schulungen & Sensibilisierung

  • Regelmäßige Schulungen aller Mitarbeitenden zu Datenschutz & IT-Sicherheit

  • Sensibilisierung für Social Engineering & Phishing-Risiken

10. Unterstützung bei Betroffenenrechten

Link11 unterstützt den Kunden bei:

  • Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsanfragen

  • Datenportabilität

  • Kommunikation mit Aufsichtsbehörden

11. Kontrollrechte

Kunden haben das Recht, Link11 auf die Einhaltung dieses DPA hin zu überprüfen:

  • max. 1x jährlich, mit Vorankündigung (mind. 4 Wochen)

  • Durchführung vor Ort oder via Fragebogen

  • Kosten trägt der Kunde, es sei denn, ein Datenschutzverstoß liegt vor

12. Löschung oder Rückgabe von Daten

Nach Vertragsende erfolgt:

  • Rückgabe oder Löschung aller gespeicherten personenbezogenen Daten

  • Protokoll- und Logdaten werden spätestens 90 Tage nach Vertragsende gelöscht (sofern keine gesetzliche Aufbewahrungspflicht besteht)

13. Haftung

Die Haftung richtet sich nach dem Hauptvertrag. Weitergehende Ansprüche, insbesondere im Falle grober Fahrlässigkeit oder Vorsatz, bleiben unberührt.

14. Schlussbestimmungen

  • Es gilt deutsches Recht.

  • Gerichtsstand ist Frankfurt am Main.

  • Änderungen bedürfen der Schriftform.

  • Bei Widersprüchen zwischen AGB und DPA geht der DPA im datenschutzrechtlichen Kontext vor.

X