Leistungsbeschreibung
Funktionsumfang, Module und Editionen der Aldric-Plattform
Version 1.0 — Stand: März 2026
Diese Leistungsbeschreibung (nachfolgend „Service Description") ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB § 2) zwischen der CONPORT Services GmbH, Alte Benninghofer Str. 24, 44263 Dortmund (nachfolgend „Anbieter") und dem Kunden und beschreibt den Funktionsumfang der SaaS-Plattform „Aldric".
§ 1 Plattformübersicht
Aldric ist eine modulare SaaS-Plattform für Compliance-Management. Sie ermöglicht Unternehmen, regulatorische Anforderungen wie DSGVO, ISO 27001, LkSG, NIS2 und TISAX in einer integrierten Lösung abzubilden. Jedes Modul ist eigenständig nutzbar und lässt sich bei Bedarf mit weiteren Modulen kombinieren.
Die Plattform wird als webbasierter Dienst (Software-as-a-Service) über das Internet bereitgestellt. Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union.
1.1 Kernfunktionen der Plattform
Folgende Basisfunktionen stehen allen Kunden unabhängig von den gebuchten Modulen zur Verfügung:
- Identität und Zugriffskontrolle: Benutzerregistrierung, Login, optionale Multi-Faktor-Authentifizierung, SSO/OIDC-Anbindung, rollenbasierte Zugriffskontrolle (RBAC) auf Modul-, Funktions- und Datensatzebene.
- Mandantenverwaltung: Organisationsstruktur mit Abteilungen, Teams und Standorten. Ein Benutzer kann mehreren Mandanten zugeordnet sein.
- Aufgaben und Workflows: Aufgabenverwaltung mit Status, Fristen, Prioritäten und Verantwortlichen. RACI-Rollen, Eskalationen und Freigabe-Workflows.
- PDF-Generator: Serverseitige PDF-Erzeugung mit Mandanten-Branding, Inhaltsverzeichnis und Sammelreports.
- Audit-Log: Vollständige Änderungsprotokolle auf Datensatz- und Feldebene. Append-Only-Speicherung, exportierbar für Prüfungen.
- Dateiverwaltung: Dokumente und Anhänge pro Datensatz mit Versionierung und Vorlagenverwaltung.
- Benachrichtigungen: E-Mail- und In-App-Benachrichtigungen mit individuellen Filtereinstellungen und Digest-Mails.
- Mehrsprachigkeit: Benutzeroberfläche und Fragebögen in mehreren Sprachen verfügbar (Deutsch, Englisch).
§ 2 Editionen
Aldric wird in zwei Editionen angeboten, die sich im Funktionsumfang und Einsatzzweck unterscheiden:
2.1 Company Edition
Die Company Edition richtet sich an Unternehmen, die Aldric für die eigene Organisation einsetzen. Der Mandant entspricht dem Unternehmen selbst.
- Alle Module verfügbar (einzeln buchbar)
- Seat-basierte Abrechnung
- SSO/OIDC-Integration
- Rollenbasierte Zugriffskontrolle
- API-Zugang
- Standard-Support
2.2 Provider Edition
Die Provider Edition richtet sich an Beratungsunternehmen, Dienstleister und Reseller, die Aldric für mehrere Mandanten (Kunden) bereitstellen.
Die Provider Edition umfasst alle Funktionen der Company Edition sowie zusätzlich:
- Multi-Mandanten-Verwaltung: Verwaltung mehrerer Kunden-Mandanten über ein zentrales Dashboard.
- White-Label-Optionen: Individuelle Anpassung von Logo, Farben und Domain für jeden Mandanten.
- Mandantenübergreifendes Dashboard: Konsolidierte Übersicht über alle verwalteten Mandanten.
- Reseller- und Partner-Modell: Sub-Mandanten-Onboarding, getrennte Abrechnung pro Mandant, Provisionsmodell.
- Berater-Portal: Zeitlich begrenzter Mandantenzugriff per Einladung, eigene Berater-Seats.
2.3 Editionsvergleich
| Funktion | Company | Provider |
|---|---|---|
| Alle Fachmodule | Ja | Ja |
| Seat-basierte Abrechnung | Ja | Ja |
| SSO / OIDC | Ja | Ja |
| RBAC | Ja | Ja |
| API-Zugang | Ja | Ja |
| Multi-Mandanten-Verwaltung | — | Ja |
| White-Label | — | Ja |
| Mandantenübergreifendes Dashboard | — | Ja |
| Reseller / Partner-Modell | — | Ja |
| Berater-Portal | — | Ja |
§ 3 Module
Aldric bietet Fachmodule in fünf Kategorien an. Jedes Modul ist eigenständig nutzbar und kann einzeln oder als Teil eines Pakets gebucht werden. Die Module integrieren sich nahtlos über die gemeinsame Plattform.
3.1 Datenschutz
| Modul | Beschreibung |
|---|---|
| Datenschutz-Folgenabschätzung (DSFA) | Wizard-gestützte Durchführung gemäß Art. 35 DSGVO mit Risiko-Scoring, Maßnahmenkatalog und PDF-Report. |
| Art. 30 Verarbeitungsverzeichnis | Erfassung und Verwaltung von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO mit Zwecken, Rechtsgrundlagen, Empfängern und TOM-Verknüpfung. |
| DSAR / Betroffenenrechte | Bearbeitung von Betroffenenanfragen mit Identitätsprüfung, Fristenverwaltung, Kommunikation und Abschlussreport. |
| Löschkonzepte und Aufbewahrung | Definition von Löschfristen und Aufbewahrungsregeln pro Datenart mit automatischen Triggern und PDF-Export. |
| Auftragsverarbeitung und SCC | Verwaltung von AV-Verträgen, TOM-Anhängen, Transfer Impact Assessments und Standardvertragsklauseln. |
| Einwilligungsmanagement | Verwaltung und Dokumentation von Einwilligungen, Widerrufsverwaltung und Nachweisführung. |
| Datenschutz-Dashboard | Zentrale Übersicht über den Datenschutz-Status mit KPIs, Fälligkeiten und Handlungsbedarf. |
3.2 Informationssicherheit und Governance
| Modul | Beschreibung |
|---|---|
| ISMS / ISO 27001 Controls | Statement of Applicability, Kontrollevaluierung, interne Audits und Maßnahmenverfolgung gemäß ISO 27001. |
| TOM-Management | Katalog technischer und organisatorischer Maßnahmen mit Wirksamkeitsprüfung und Verknüpfung zu DSFA, Art. 30 und Verträgen. |
| Business Continuity Management | Planung und Tests der Geschäftskontinuität, Notfallprozesse und Wiederanlaufpläne. |
| Incident und Breach Management | Meldung, Zeitleiste und Ursachenanalyse von Sicherheitsvorfällen mit Meldepflicht-Check und Behördenbericht. |
| Risikomanagement | Systematische Risikoidentifikation, -bewertung und -behandlung mit Risikomatrix und Maßnahmenverfolgung. |
| Richtlinien und Schulungen | Policy-Bibliothek, Lesebestätigungen, Schulungsnachweise und Quiz-Funktionalität. |
| Asset-Management | Inventar von IT-Assets, Datenbeständen und Verarbeitungssystemen mit Verknüpfung zu Risiken und Maßnahmen. |
| Audit-Management | Planung, Durchführung und Nachverfolgung interner und externer Audits mit Feststellungen und Maßnahmen. |
3.3 Lieferkette und Vertragsmanagement
| Modul | Beschreibung |
|---|---|
| Lieferantenrisiko und LkSG | Sorgfaltspflichten entlang der Lieferkette mit Fragebögen, Risk-Scores, Klassifizierung und Maßnahmenplänen gemäß LkSG. |
| Vertragsdatenbank | Zentrale Vertragsverwaltung mit Fristen, Erinnerungen, Zuständigkeiten und PDF-Export. Optionale eSign-Integration. |
| Vertragspartner-Verwaltung | Stammdatenverwaltung für Vertragspartner, Lieferanten und Dienstleister mit Compliance-Status und Risikobewertung. |
3.4 Operative Module
| Modul | Beschreibung |
|---|---|
| Hinweisgebersystem (HinSchG) | Anonymer Meldekanal gemäß Hinweisgeberschutzgesetz mit Fallverwaltung, Kommunikation und Fristen. |
| Dokumentenmanagementsystem (DMS) | Zentrale Dokumentenverwaltung mit Versionierung, Freigabe-Workflows und Volltextsuche. |
| Aufgaben- und Maßnahmentracking | Modulübergreifende Aufgabenverwaltung mit Fristen, Verantwortlichen und Eskalationsregeln. |
| Report-Builder | Konfigurierbarer Berichtsgenerator für modulübergreifende Auswertungen und Ad-hoc-Exporte. |
| Formular- und Wizard-Framework | Dynamische Fragebögen mit Validierung, bedingter Logik und Vorlagenbibliothek. |
| Benachrichtigungszentrale | Konfigurierbare Benachrichtigungsregeln, Digest-Mails und Eskalationsketten. |
3.5 Plattform-Kern (in allen Editionen enthalten)
| Funktion | Beschreibung |
|---|---|
| Benutzerverwaltung und RBAC | Registrierung, Login, MFA, Rollen- und Rechteverwaltung auf Modul-, Funktions- und Datensatzebene. |
| Mandantenverwaltung | Organisationsstruktur mit Abteilungen, Teams und Standorten. Multi-Mandanten-Zuordnung. |
| SSO / OIDC / SAML | Single Sign-On über gängige Identity Provider. SCIM-Provisionierung optional. |
| Lizenzverwaltung | Lizenzobjekte pro Mandant und Modul mit Plan, Seats, Laufzeit und Feature-Flags. |
| Audit-Log | Vollständige Änderungsprotokolle, signierte Ereignisse (optional), Append-Only-Speicherung. |
| PDF-Generator | Serverseitige PDF-Erzeugung mit Branding, Inhaltsverzeichnis und Sammelreports. |
| Dateiverwaltung | Dokumentenanhänge mit Versionierung und Vorlagenverwaltung. |
| API-Schnittstelle | RESTful API für Integration mit Drittsystemen. Rate-Limiting und API-Keys. |
§ 4 Seats und Abrechnungsmodell
4.1 Seat-Typen
| Seat-Typ | Beschreibung |
|---|---|
| Vollzugriff (Full Seat) | Uneingeschränkter Zugriff auf alle gebuchten Module. Bearbeiten, Erstellen und Exportieren. |
| Lesezugriff (Read-Only Seat) | Einsicht in Daten und Reports ohne Bearbeitungsrechte. Für Stakeholder, Auditoren und Management. |
| Berater-Seat | Zeitlich begrenzter Zugriff auf freigegebene Mandanten für externe Berater (nur Provider Edition). |
4.2 Abrechnungsmodell
- Abrechnung: Monatlich oder jährlich im Voraus (Jahresabrechnung mit Rabatt).
- Grundlage: Anzahl der gebuchten Seats und Module.
- Zahlungsweise: Kreditkarte, SEPA-Lastschrift oder Überweisung (ab Enterprise-Tier).
- Zahlungsabwicklung: Über Stripe Inc. (zertifizierter PCI-DSS Level 1 Payment Provider).
- Rechnungsstellung: Automatisierte Rechnungsstellung per E-Mail im PDF-Format.
4.3 Vertragslaufzeit
- Mindestlaufzeit: 12 Monate.
- Kündigungsfrist: 3 Monate zum Ende der Vertragslaufzeit.
- Automatische Verlängerung: Um jeweils 12 Monate, sofern nicht fristgerecht gekündigt.
- Free Trial: 14 Tage kostenlose Testphase mit vollem Funktionsumfang.
§ 5 Speicher und Limits
5.1 Speicherkontingente
| Ressource | Inklusivkontingent | Zusatzkontingent |
|---|---|---|
| Dateispeicher | 10 GB pro Mandant | Kostenpflichtig zubuchbar |
| Max. Dateigröße (Upload) | 100 MB pro Datei | — |
| API-Anfragen | 1.000 Anfragen/Minute | Höhere Limits auf Anfrage |
| PDF-Generierung | 500 PDFs/Tag pro Mandant | Höhere Limits auf Anfrage |
| E-Mail-Benachrichtigungen | 10.000/Monat pro Mandant | Höhere Limits auf Anfrage |
5.2 Fair-Use-Policy
Die Nutzung der Plattform unterliegt einer Fair-Use-Policy. Der Anbieter behält sich vor, bei systematischer Überschreitung der Limits den Kunden zu kontaktieren und gemeinsam eine Lösung zu vereinbaren (z. B. Upgrade auf höheres Kontingent).
Automatisierte Massenanfragen, die die Plattformstabilität beeinträchtigen, können temporär gedrosselt werden.
§ 6 Nicht inkludierte Leistungen (Add-Ons)
Folgende Leistungen sind nicht im Standard-Funktionsumfang enthalten und können separat beauftragt werden:
| Add-On | Beschreibung |
|---|---|
| Dedizierte Instanz | Eigene, isolierte Plattforminstanz mit dedizierten Ressourcen. |
| Custom Domain | Nutzung einer eigenen Domain für den Zugriff auf die Plattform. |
| Erweiterte Speicherkontingente | Zusätzlicher Dateispeicher über das Inklusivkontingent hinaus. |
| Premium-Support | Erweiterte Support-Zeiten, dedizierter Ansprechpartner, kürzere Reaktionszeiten. |
| Individuelle Integrationen | Kundenspezifische Anbindungen an Drittsysteme (ERP, HR, SIEM etc.). |
| Datenmigration | Unterstützung bei der Migration bestehender Daten aus anderen Systemen. |
| Schulungen | Individuelle Onboarding-Schulungen und Workshops (remote oder vor Ort). |
§ 7 Änderungen und Versionierung
7.1 Änderungsrecht
Der Anbieter entwickelt die Plattform kontinuierlich weiter. Änderungen am Funktionsumfang werden wie folgt gehandhabt:
- Erweiterungen: Neue Funktionen und Module werden ohne gesonderte Ankündigung bereitgestellt und in den Release Notes dokumentiert.
- Wesentliche Änderungen: Funktionale Änderungen, die bestehende Workflows beeinflussen, werden mindestens 30 Tage im Voraus angekündigt.
- Abkündigungen: Die Einstellung von Modulen oder wesentlichen Funktionen wird mindestens 6 Monate im Voraus angekündigt.
7.2 Versionierung
Diese Leistungsbeschreibung wird versioniert. Die jeweils aktuelle Version dieser Leistungsbeschreibung ist auf der Website des Anbieters abrufbar. Wesentliche Änderungen werden dem Kunden per E-Mail mitgeteilt.
7.3 Sonderkündigungsrecht
Wesentliche Verschlechterungen des Leistungsumfangs berechtigen den Kunden zur außerordentlichen Kündigung gemäß den Regelungen der AGB.
§ 8 Technische Voraussetzungen
8.1 Systemanforderungen
Für die Nutzung der Plattform werden benötigt:
- Browser: Aktuelle Version von Chrome, Firefox, Safari oder Edge.
- Internetverbindung: Stabile Breitbandverbindung (empfohlen: mind. 10 Mbit/s).
- Bildschirmauflösung: Mindestens 1280 × 720 Pixel (empfohlen: 1920 × 1080).
- JavaScript: Muss im Browser aktiviert sein.
- Cookies: Session-Cookies müssen zugelassen sein.
8.2 Verfügbarkeit und SLA
Die Verfügbarkeitsgarantie und Reaktionszeiten sind im Service Level Agreement (SLA) geregelt.
8.3 Datensicherung
Der Anbieter erstellt tägliche automatisierte Backups aller Kundendaten. Die Aufbewahrungsdauer der Backups beträgt 30 Tage. Backups werden verschlüsselt und georedundant innerhalb der EU gespeichert.
§ 9 Schlussbestimmungen
Diese Leistungsbeschreibung ist integraler Bestandteil der AGB. Bei Widersprüchen zwischen dieser Leistungsbeschreibung und den AGB haben die AGB Vorrang, es sei denn, diese Leistungsbeschreibung enthält ausdrücklich abweichende Regelungen zum Funktionsumfang.
Es gelten die Schlussbestimmungen der AGB, insbesondere hinsichtlich des anwendbaren Rechts (deutsches Recht) und des Gerichtsstands (Dortmund).
Stand: März 2026