Diese Seite listet alle Drittanbieter auf, die wir im Rahmen unserer Managed-Services gemäß Art. 28 Abs. 4 DSGVO als Unterauftragsverarbeiter einsetzen können. Welche Einträge im konkreten Mandat einschlägig sind, ergibt sich aus den vom Auftraggeber gebuchten Services.
Die folgenden Drittanbieter werden bei den genannten Services als Unterauftragsverarbeiter eingesetzt. Für jeden Sub-Prozessor besteht ein Vertrag nach Art. 28 Abs. 4 DSGVO. Bei Drittlandtransfers werden Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 verwendet, ergänzt um ein Transfer Impact Assessment (TIA) nach EDSA-Empfehlungen 01/2020.
| Eingesetzt bei | Sämtliche Hosting-, Managed-Service-, Cloud- und Colocation-Leistungen — die Server- und Storage-Infrastruktur der HostSpezial GmbH steht physisch im Rechenzentrum der SÜC Coburg |
| Tätigkeit | Bereitstellung von Stellplatz (Rack/Cage), redundanter Stromversorgung (USV, Notstromdiesel), Klimatisierung, Brandschutz, Zutrittssicherung und physischer Gebäudesicherheit |
| Verarbeitete Daten | Keine logische Datenverarbeitung — ausschließlich physischer Zugriff auf die Hardware im Rahmen der Stellplatzleistung. Kein Zugriff auf Anwendungen, Datenbanken oder Konten |
| Datenresidenz | Deutschland (Bayern, Coburg) |
| Drittlandtransfer | Nein |
| Rechtsgrundlage | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; Colocation-Vertrag |
| Zertifizierungen RZ | Auf Anfrage; Anbieter ist kommunales Versorgungsunternehmen mit etablierten Sicherheitsstandards |
| Eingesetzt bei | Zweiter Rechenzentrums-Standort für Backup, Replikation und Disaster Recovery der HostSpezial-Infrastruktur (Twin-Site-Konzept gemeinsam mit SÜC Coburg) |
| Tätigkeit | Bereitstellung von Stellplatz (Rack), redundanter Stromversorgung (USV, Notstrom), Klimatisierung, Brandschutz, Zutrittssicherung und physischer Gebäudesicherheit |
| Verarbeitete Daten | Keine logische Datenverarbeitung — ausschließlich physischer Zugriff auf die Hardware im Rahmen der Stellplatzleistung. Kein Zugriff auf Anwendungen, Datenbanken oder Konten |
| Datenresidenz | Deutschland (Bayern, Neustadt bei Coburg) |
| Drittlandtransfer | Nein |
| Rechtsgrundlage | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; Colocation-Vertrag |
| Zertifizierungen RZ | Auf Anfrage; Anbieter ist kommunales Versorgungsunternehmen mit etablierten Sicherheitsstandards |
| Eingesetzt bei | Externes, zusätzliches Monitoring der HostSpezial-Infrastruktur und ggf. kundenseitiger Systeme — bewusst standortunabhängig vom primären RZ (Coburg) betrieben, um Ausfallszenarien des primären Standorts erkennen zu können |
| Tätigkeit | Bereitstellung der Server-Infrastruktur für das externe Monitoring-System (Uptime-Checks, Verfügbarkeits-/Performance-Metriken, Alerting-Backend) |
| Verarbeitete Daten | Hostnamen, IP-Adressen, Performance-Metriken, Logdaten der überwachten Systeme, Alert-Historie |
| Datenresidenz | Deutschland (Bayern, Gunzenhausen — Hetzner-Rechenzentrumspark) |
| Drittlandtransfer | Nein |
| Rechtsgrundlage | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (Hetzner-AVV in jeweils aktueller Fassung) |
| Zertifizierungen | ISO/IEC 27001 zertifiziert, DIN EN 50600 |
| Eingesetzt bei | Internet-Anbindung der Geschäftsräume / Verwaltung der HostSpezial GmbH (Lichtenfels) |
| Tätigkeit | Bereitstellung der Internet-Konnektivität für Büro- und Verwaltungstätigkeit (Transit/Carrier), reine Datenpaket-Vermittlung gemäß Telekommunikationsgesetz (TKG) |
| Verarbeitete Daten | Keine zweckgebundene Verarbeitung von Inhaltsdaten — reine Weiterleitung von Datenpaketen. Verarbeitung von Verkehrsdaten ausschließlich nach TKG-Vorgaben |
| Datenresidenz | Deutschland (Bonn / bundesweit) |
| Drittlandtransfer | Nein |
| Rechtsgrundlage | Telekommunikations-Dienstleistungsvertrag nach TKG; AVV nach Art. 28 DSGVO sofern erforderlich (reine Transit-Tätigkeit fällt nach DSK-Position regelmäßig nicht unter Art. 28 DSGVO) |
| Aufnahme aus Transparenzgründen | Ja — Aufführung erfolgt zur lückenlosen Offenlegung der Wertschöpfungskette |
| Eingesetzt bei | Internet-Anbindung der Geschäftsräume / Verwaltung der HostSpezial GmbH (Lichtenfels) — als zweiter Carrier zur Ausfallsicherheit |
| Tätigkeit | Bereitstellung redundanter Internet-Konnektivität für Büro- und Verwaltungstätigkeit (Transit/Carrier), reine Datenpaket-Vermittlung gemäß Telekommunikationsgesetz (TKG) |
| Verarbeitete Daten | Keine zweckgebundene Verarbeitung von Inhaltsdaten — reine Weiterleitung von Datenpaketen. Verarbeitung von Verkehrsdaten ausschließlich nach TKG-Vorgaben |
| Datenresidenz | Deutschland (Düsseldorf / bundesweit) |
| Drittlandtransfer | Nein |
| Rechtsgrundlage | Telekommunikations-Dienstleistungsvertrag nach TKG; AVV nach Art. 28 DSGVO sofern erforderlich (reine Transit-Tätigkeit fällt nach DSK-Position regelmäßig nicht unter Art. 28 DSGVO) |
| Aufnahme aus Transparenzgründen | Ja — Aufführung erfolgt zur lückenlosen Offenlegung der Wertschöpfungskette |
| Eingesetzt bei | Domain-Registrierung und DNS-Hosting für Kunden-Domains (sofern HostSpezial mit der Domain-Verwaltung beauftragt ist) |
| Tätigkeit | Verwaltung der Domain-Stammdaten (Owner-/Tech-/Admin-Contact), Pflege der DNS-Zonen, Bereitstellung autoritativer Nameserver |
| Verarbeitete Daten | Domain-Inhaberdaten (gem. Registry-Vorgaben, ggf. öffentliches WHOIS), technische DNS-Records, Anfrage-Metadaten der Resolver |
| Datenresidenz | Deutschland (Vallendar, Rheinland-Pfalz) |
| Drittlandtransfer | Nein |
| Rechtsgrundlage | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; ergänzend Registry-Vorgaben (DENIC bei .de-Domains) |
| Eingesetzt bei | Domain-Registrierung und DNS-Hosting für Kunden-Domains (sofern HostSpezial mit der Domain-Verwaltung beauftragt ist; eingesetzt parallel/alternativ zu CPS-Datensysteme je nach TLD und Mandanten-Setup) |
| Tätigkeit | Verwaltung der Domain-Stammdaten (Owner-/Tech-/Admin-Contact), Pflege der DNS-Zonen, Bereitstellung autoritativer Nameserver |
| Verarbeitete Daten | Domain-Inhaberdaten (gem. Registry-Vorgaben, ggf. öffentliches WHOIS), technische DNS-Records, Anfrage-Metadaten der Resolver |
| Datenresidenz | Deutschland (Aachen, Nordrhein-Westfalen) |
| Drittlandtransfer | Nein |
| Rechtsgrundlage | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; ergänzend Registry-Vorgaben (DENIC bei .de-Domains, ICANN bei gTLDs) |
| Eingesetzt bei | Upstream-Internet-Anbindung des primären Rechenzentrums-Standorts bei der SÜC Coburg |
| Tätigkeit | Bereitstellung der Internet-Konnektivität (Transit/Carrier), reine Datenpaket-Vermittlung gemäß Telekommunikationsgesetz (TKG) |
| Verarbeitete Daten | Keine zweckgebundene Verarbeitung von Inhaltsdaten — reine Weiterleitung von Datenpaketen. Verarbeitung von Verkehrsdaten ausschließlich nach TKG-Vorgaben |
| Datenresidenz | Deutschland (Coburg) |
| Drittlandtransfer | Nein |
| Rechtsgrundlage | Telekommunikations-Dienstleistungsvertrag nach TKG; AVV nach Art. 28 DSGVO sofern erforderlich (reine Transit-Tätigkeit fällt nach DSK-Position regelmäßig nicht unter Art. 28 DSGVO) |
| Aufnahme aus Transparenzgründen | Ja — Aufführung erfolgt zur lückenlosen Offenlegung der Wertschöpfungskette, auch wenn die Sub-AV-Eigenschaft im engeren Sinne strittig ist |
| Eingesetzt bei | Microsoft 365 Management, Exchange Online, Teams, SharePoint, Entra ID, Azure-Hosting (nur bei vereinbartem Microsoft-Service – HSP-CLOUD-003) |
| Verarbeitete Daten | Stammdaten, Postfachinhalte, Kalender, Dateien, Login-Daten, Telemetrie |
| Datenresidenz | EU Data Boundary (Rechenzentren in der EU); Zugriff aus US-Konzern möglich |
| Drittlandtransfer | Ggf. USA – abgesichert durch EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795) UND Standardvertragsklauseln (Modul 3) |
| TIA durchgeführt | Ja, nach EDSA-Empfehlung 01/2020; auf Anfrage einsehbar |
| Zertifizierungen | ISO/IEC 27001, ISO/IEC 27018, SOC 2, BSI C5 |
| DPA | Microsoft Products and Services Data Protection Addendum (DPA) in jeweils aktueller Fassung |
Gemäß § 5 Abs. 2 unseres Auftragsverarbeitungsvertrags informieren wir bestehende Auftraggeber mindestens 30 Tage vor Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters in Textform per E-Mail an die im Vertrag hinterlegte Datenschutz-Kontaktadresse.
Widerspruchsrecht: Sie können innerhalb von 14 Tagen nach Zugang der Information aus wichtigem Grund Einspruch erheben. Bei berechtigtem Einspruch suchen wir gemeinsam eine Lösung; kommt keine Einigung zustande, sind beide Parteien zur außerordentlichen Kündigung der betroffenen Leistung berechtigt.
Diese Übersichtsseite wird laufend aktuell gehalten und ist Bestandteil der Anlage 2 zu unserem Auftragsverarbeitungsvertrag (HSP-AVV-2026 v2.0).
Kontakt für Datenschutzfragen: datenschutz@hostspezial.de · +49 9571 873149
Vollständige Historie aller Änderungen seit Einführung dieser Übersichtsseite. Vor jeder Änderung wurden bzw. werden bestehende Auftraggeber gemäß § 5 Abs. 2 AVV informiert.