Auftragsverarbeitungsvertrag

Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO

Version 1.0 — Stand: Maerz 2026

zwischen dem Kunden der Aldric-Plattform (nachfolgend „Verantwortlicher" oder „Auftraggeber") und

CONPORT Services GmbH
Alte Benninghofer Str. 24
44263 Dortmund
Geschaeftsfuehrer: Benjamin Schowe
AG Dortmund HRB 34231
(nachfolgend „Auftragsverarbeiter" oder „Auftragnehmer")

— gemeinsam die „Parteien"

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ist Bestandteil der Allgemeinen Geschaeftsbedingungen (AGB) und wird geschlossen, soweit der Auftragnehmer im Rahmen der Bereitstellung der SaaS-Plattform „Aldric" personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform „Aldric" gemaess der Leistungsbeschreibung. Die Verarbeitung umfasst die Speicherung, Organisation, Bereitstellung und Loeschung von Daten, die der Verantwortliche ueber die Plattform erfasst.

1.2 Dauer

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (AGB § 3). Nach Beendigung des Vertrages werden die Daten gemaess § 8 dieses AVV behandelt.

§ 2 Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Taetigkeiten:

  • Erhebung, Erfassung und Speicherung von Daten ueber die Plattform-Oberflaeche und APIs
  • Organisation und Strukturierung in mandantenspezifischen Datenbanken
  • Bereitstellung und Abruf durch autorisierte Benutzer des Verantwortlichen
  • Uebermittlung im Rahmen von Exporten (PDF, CSV, JSON) auf Anweisung des Verantwortlichen
  • Loeschung und Vernichtung gemaess den Loeschkonzepten der Plattform oder auf Anweisung
  • Sicherung durch automatisierte Backups

2.2 Zweck der Verarbeitung

Zweck der Verarbeitung ist die Bereitstellung der vertraglich vereinbarten Compliance-Management-Funktionen, insbesondere:

  • Fuehrung des Verzeichnisses von Verarbeitungstaetigkeiten (Art. 30 DSGVO)
  • Durchfuehrung von Datenschutz-Folgenabschaetzungen (Art. 35 DSGVO)
  • Verwaltung von Betroffenenanfragen (Art. 15-22 DSGVO)
  • Dokumentation technischer und organisatorischer Massnahmen
  • Verwaltung von Vertraegen, Richtlinien und Schulungen
  • Risikobewertungen und Audit-Management
  • Whistleblower-Meldungen (HinSchG)

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Kategorien personenbezogener Daten

Die konkret verarbeiteten Datenkategorien haengen von der Nutzung der Plattform durch den Verantwortlichen ab. Typischerweise werden folgende Kategorien verarbeitet:

  • Stammdaten: Name, Vorname, Titel, Position, Abteilung
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer, Geschaeftsanschrift
  • Vertragsdaten: Vertragsgegenstand, Laufzeiten, Zustaendigkeiten
  • Nutzungsdaten: Anmeldezeitpunkte, Zugriffshistorie, Audit-Trail
  • Kommunikationsdaten: Kommentare, Notizen, E-Mail-Korrespondenz im System
  • Risikobewertungsdaten: Risikoeinschaetzungen, Massnahmen, Verantwortlichkeiten
  • Meldedaten: Whistleblower-Meldungen (ggf. anonymisiert), Sachverhalte, Bearbeitungsstand

Hinweis: Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sollen ueber die Plattform grundsaetzlich nicht verarbeitet werden. Soweit der Verantwortliche dennoch solche Daten erfasst, ist er fuer die Rechtmaessigkeit der Verarbeitung allein verantwortlich.

3.2 Kategorien betroffener Personen

  • Mitarbeiter und Beauftragte des Verantwortlichen (Benutzer der Plattform)
  • Ansprechpartner bei Vertragspartnern und Dienstleistern des Verantwortlichen
  • Betroffene Personen, deren Daten in Verarbeitungstaetigkeiten dokumentiert werden
  • Hinweisgeber und von Meldungen betroffene Personen (Whistleblowing-Modul)
  • Schulungsteilnehmer

§ 4 Pflichten des Auftragsverarbeiters

4.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen koennen schriftlich, in Textform oder ueber die Konfiguration der Plattform erteilt werden.

Der Auftragnehmer informiert den Verantwortlichen unverzueglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstoesst (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Ausfuehrung einer solchen Weisung bis zur Bestaetigung oder Aenderung durch den Verantwortlichen auszusetzen.

4.2 Vertraulichkeit

Der Auftragnehmer gewaehrleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

4.3 Sicherheit der Verarbeitung

Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewaehrleisten. Die aktuellen Massnahmen sind in Anlage 1 (TOM) beschrieben.

4.4 Unterstuetzungspflichten

Der Auftragnehmer unterstuetzt den Verantwortlichen unter Beruecksichtigung der Art der Verarbeitung:

  • Bei der Beantwortung von Antraegen betroffener Personen (Art. 15-22 DSGVO) — die Plattform bietet hierzu ein DSAR-Modul
  • Bei der Einhaltung der Pflichten aus Art. 32-36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschaetzungen)
  • Bei Datenschutz-Folgenabschaetzungen (Art. 35 DSGVO) — die Plattform bietet hierzu ein DSFA-Modul

§ 5 Unterauftragsverarbeitung

5.1 Genehmigte Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen (Art. 28 Abs. 2 DSGVO). Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter sind in Anlage 2 aufgefuehrt.

5.2 Informationspflicht bei Aenderungen

Der Auftragnehmer informiert den Verantwortlichen ueber jede beabsichtigte Aenderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus. Der Verantwortliche kann gegen die Aenderung innerhalb von 14 Tagen nach Mitteilung Einspruch erheben. Erhebt der Verantwortliche begruendeten Einspruch, bemuehen sich die Parteien um eine einvernehmliche Loesung. Gelingt dies nicht, hat der Verantwortliche ein Sonderkuendigungsrecht zum Zeitpunkt der geplanten Aenderung.

5.3 Vertragliche Absicherung

Der Auftragnehmer stellt sicher, dass jedem Unterauftragsverarbeiter die gleichen Datenschutzpflichten auferlegt werden wie in diesem AVV (Art. 28 Abs. 4 DSGVO). Der Auftragnehmer haftet gegenueber dem Verantwortlichen fuer die Einhaltung der Pflichten durch den Unterauftragsverarbeiter.

§ 6 Rechte der betroffenen Personen

Der Auftragnehmer unterstuetzt den Verantwortlichen bei der Erfuellung seiner Pflichten gegenueber betroffenen Personen. Wendet sich eine betroffene Person mit Antraegen gemaess Art. 15-22 DSGVO direkt an den Auftragnehmer, leitet dieser die Anfrage unverzueglich an den Verantwortlichen weiter.

Die Plattform bietet technische Unterstuetzung durch:

  • DSAR-Modul: Verwaltung von Betroffenenanfragen mit Fristenueberwachung
  • Exportfunktionen: Datenauskunft in maschinenlesbarem Format (JSON, CSV)
  • Loeschfunktionen: Gezielte Loeschung einzelner Datensaetze
  • Audit-Trail: Lueckenlose Dokumentation aller Verarbeitungsvorgaenge

§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzueglich, spaetestens jedoch innerhalb von 24 Stunden nach Bekanntwerden (Art. 33 Abs. 2 DSGVO).

Die Meldung enthaelt mindestens:

  • Beschreibung der Art der Verletzung, einschliesslich der Kategorien und der ungefaehren Zahl der betroffenen Personen und Datensaetze
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Beschreibung der ergriffenen oder vorgeschlagenen Massnahmen zur Behebung und Abmilderung

Die Meldung erfolgt an die vom Verantwortlichen hinterlegte Kontaktadresse. Der Auftragnehmer dokumentiert alle Verletzungen einschliesslich aller damit zusammenhaengenden Fakten, Auswirkungen und ergriffenen Abhilfemassnahmen.

§ 8 Rueckgabe und Loeschung von Daten

Nach Beendigung des Hauptvertrages stellt der Auftragnehmer dem Verantwortlichen saemtliche verarbeiteten personenbezogenen Daten in einem gaengigen, maschinenlesbaren Format zur Verfuegung (Datenexport).

Der Verantwortliche hat nach Vertragsende 30 Tage Zeit, seine Daten ueber die Exportfunktionen der Plattform herunterzuladen (AGB § 13). Nach Ablauf dieser Frist loescht der Auftragnehmer saemtliche personenbezogenen Daten des Verantwortlichen unwiderruflich, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.

Die Loeschung wird dem Verantwortlichen auf Anfrage schriftlich bestaetigt. Backups werden innerhalb von 90 Tagen nach Vertragsende durch den regulaeren Backup-Rotationszyklus ueberschrieben.

§ 9 Nachweispflichten und Kontrollen

9.1 Nachweise

Der Auftragnehmer stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfuegung und ermoeglicht Ueberpruefungen — einschliesslich Inspektionen — durch den Verantwortlichen oder einen von diesem beauftragten Pruefer (Art. 28 Abs. 3 lit. h DSGVO).

9.2 Vor-Ort-Audits

Der Verantwortliche kann nach vorheriger Anmeldung mit einer Frist von mindestens 20 Arbeitstagen Vor-Ort-Audits durchfuehren oder durch einen unabhaengigen Pruefer durchfuehren lassen. Der Auftragnehmer unterstuetzt diese Audits im angemessenen Umfang. Die Kosten des Audits traegt der Verantwortliche.

9.3 Zertifizierungen

Der Auftragnehmer kann den Nachweis der Einhaltung auch durch Vorlage aktueller Zertifizierungen (z.B. ISO 27001) oder Auditberichte unabhaengiger Dritter erbringen.

§ 10 Datenuebermittlung in Drittlaender

Die Verarbeitung personenbezogener Daten erfolgt grundsaetzlich ausschliesslich innerhalb der Europaeischen Union bzw. des Europaeischen Wirtschaftsraums (EU/EWR).

Eine Uebermittlung in Drittlaender erfolgt nur, soweit:

  • ein Angemessenheitsbeschluss der Europaeischen Kommission vorliegt (Art. 45 DSGVO), oder
  • geeignete Garantien gemaess Art. 46 DSGVO bestehen (insbesondere Standardvertragsklauseln), oder
  • der Verantwortliche die Uebermittlung ausdruecklich angewiesen hat

Aktueller Stand: Stripe, Inc. (USA) verarbeitet Zahlungsdaten auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023) sowie zusaetzlicher Standardvertragsklauseln.

Anlage 1: Technische und organisatorische Massnahmen (TOM)

Der Auftragnehmer trifft folgende technische und organisatorische Massnahmen gemaess Art. 32 DSGVO zum Schutz personenbezogener Daten:

A1.1 Zutrittskontrolle

  • Rechenzentrum des Hosting-Anbieters mit physischer Zugangskontrolle (Zutrittsschleuse, Videoueberwachung, 24/7-Security)
  • ISO 27001-zertifiziertes Rechenzentrum innerhalb der EU

A1.2 Zugangskontrolle

  • Authentifizierung ueber Keycloak (OpenID Connect/JWT)
  • Unterstuetzung von Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA)
  • Passwort-Richtlinien: Mindestlaenge, Komplexitaetsanforderungen, Ablauffristen konfigurierbar
  • Automatische Sitzungs-Timeouts
  • Brute-Force-Schutz mit Rate-Limiting

A1.3 Zugriffskontrolle

  • Row-Level Security (RLS): Strenge Mandantentrennung auf Datenbankebene — jeder Mandant sieht ausschliesslich seine eigenen Daten
  • Rollenbasierte Zugriffskontrolle (RBAC): Feingranulare Berechtigungen auf Modul-, Funktions- und Datensatzebene
  • Prinzip der minimalen Berechtigung (Least Privilege)
  • Administratorzugriffe nur ueber gesicherte, protokollierte Verbindungen

A1.4 Trennungskontrolle

  • Multi-Tenant-Architektur mit strikter Datentrennung ueber tenant_id auf allen Tabellen
  • Row-Level Security (RLS) auf Datenbankebene erzwingt Mandantentrennung unabhaengig von der Anwendungslogik
  • Separate Entwicklungs-, Test- und Produktionsumgebungen

A1.5 Pseudonymisierung und Verschluesselung

  • Transportverschluesselung: TLS 1.2+ fuer alle Verbindungen
  • Verschluesselung ruhender Daten: AES-256 auf Storage-Ebene
  • Datenbankverbindungen ueber verschluesselte Kanaele
  • Passwort-Hashing mit bcrypt/Argon2

A1.6 Integritaet

  • Audit-Trail: Lueckenlose, revisionssichere Protokollierung aller sicherheitsrelevanten Aktionen
  • Hash-Chains: Verkettete Hashes fuer Manipulationserkennung im Audit-Log
  • Input-Validierung auf allen API-Endpunkten (class-validator)
  • Prepared Statements und Parameterisierung gegen SQL-Injection

A1.7 Verfuegbarkeit und Belastbarkeit

  • Automatisierte taegliche Backups mit verschluesselter Speicherung
  • Backup-Aufbewahrung: 30 Tage (taeglich), 12 Monate (monatlich)
  • Disaster-Recovery-Plan mit definierten RTO/RPO
  • Monitoring und Alerting fuer alle kritischen Systemkomponenten
  • Verfuegbarkeitsziel: 99,5 % p.a. (gemaess SLA)

A1.8 Wiederherstellbarkeit

  • Regelmaessige Tests der Backup-Wiederherstellung
  • Dokumentierte Wiederherstellungsprozeduren
  • Point-in-Time Recovery fuer Datenbankdaten

A1.9 Verfahren zur regelmaessigen Ueberpruefung

  • Regelmaessige Ueberpruefung der TOM auf Wirksamkeit
  • Schwachstellenanalysen und Sicherheitsupdates
  • Dokumentiertes Incident-Response-Verfahren
  • Schulung und Sensibilisierung aller Mitarbeiter

Anlage 2: Genehmigte Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter sind zum Zeitpunkt des Vertragsschlusses genehmigt:

Unterauftragsverarbeiter Zweck Sitz / Datenverarbeitung Garantien
Stripe, Inc. Zahlungsabwicklung (Abonnements, Rechnungen) USA / EU EU-US Data Privacy Framework, Standardvertragsklauseln
Plausible Insights OU Website-Analyse (anonymisiert, keine personenbezogenen Daten) Estland / EU (Hetzner, DE) EU-Sitz, keine personenbezogenen Daten
[Hosting-Anbieter — wird nachgetragen] Server-Infrastruktur und Datenspeicherung [Wird nachgetragen] / EU [Wird nachgetragen]
[E-Mail-Dienstleister — wird nachgetragen] Transaktionale E-Mails (Benachrichtigungen, Passwortzuruecksetzung) [Wird nachgetragen] [Wird nachgetragen]

Hinweis: Die aktuelle Liste der Unterauftragsverarbeiter wird auf Anfrage bereitgestellt und bei Aenderungen gemaess § 5.2 dieses AVV mitgeteilt. Hosting-Anbieter und E-Mail-Dienstleister werden vor Produktionsstart nachgetragen.

Anlage 3: Weisungsberechtigte und Empfangsberechtigte

Weisungsberechtigte des Verantwortlichen:

Die im Kundenkonto als Administratoren hinterlegten Personen sind berechtigt, Weisungen im Sinne dieses AVV zu erteilen. Weisungen koennen ueber die Plattform-Konfiguration, per E-Mail an datenschutz@conport.services oder in Textform erteilt werden.

Empfangsberechtigte des Auftragsverarbeiters:

CONPORT Services GmbH
Datenschutz
E-Mail: datenschutz@conport.services

Dieser Auftragsverarbeitungsvertrag tritt mit Abschluss des Hauptvertrages in Kraft und endet automatisch mit dessen Beendigung, unbeschadet der fortgeltenden Pflichten aus § 8 (Loeschung) und § 4.2 (Vertraulichkeit).