Auftragsverarbeitungsvertrag

Datum des Inkrafttretens: 13. Februar 2026
Zuletzt aktualisiert: 13. Februar 2026
Version: 1.0

Dieser Auftragsverarbeitungsvertrag („AVV”) ist Bestandteil der Vereinbarung zwischen dem Kunden („Verantwortlicher”) und ISO Mate („Auftragsverarbeiter”) für die Bereitstellung der ISO Mate-Plattform. Dieser AVV legt die Bedingungen fest, unter denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit den Diensten verarbeitet.

1. Definitionen

  • Verantwortlicher: Der Kunde, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten durch die Nutzung der ISO Mate-Plattform bestimmt.
  • Auftragsverarbeiter: ISO Mate, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, um die Plattformdienste bereitzustellen.
  • Betroffene Person: Eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten über die Plattform verarbeitet werden.
  • Personenbezogene Daten: Alle Informationen, die sich auf eine betroffene Person beziehen und über die Plattform im Auftrag des Verantwortlichen verarbeitet werden.
  • Unterauftragsverarbeiter: Ein Dritter, der vom Auftragsverarbeiter beauftragt wird, bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen mitzuwirken.

2. Umfang und Zweck

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der ISO Mate-Plattformdienste für den Verantwortlichen. Dies umfasst das Hosten, Speichern und Verwalten von Daten, die der Verantwortliche und seine autorisierten Benutzer erstellen, hochladen oder anderweitig an die Plattform übermitteln. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für andere Zwecke als die Erbringung der vereinbarten Dienste, es sei denn, dies ist nach geltendem Recht erforderlich.

3. Kategorien personenbezogener Daten

Die folgenden Kategorien personenbezogener Daten können über die Plattform verarbeitet werden, abhängig davon, wie der Verantwortliche und seine Benutzer die Dienste nutzen:

  • Benutzerprofildaten: Name, E-Mail-Adresse, Telefonnummer, Zeitzone und Spracheinstellungen.
  • Konto- und Organisationsdaten: Organisationsname, Kontoeinstellungen, Rollenzuweisungen und Benutzergruppenmitgliedschaften.
  • Innerhalb der Plattform erstellte Inhalte: Issues, Aufgaben, Testfälle, Notizen, Diagramme, Chat-Nachrichten, E-Mails, Kalendertermine, benutzerdefinierte Objekteinträge, User Stories, Sprints, Releases, Compliance-Aufzeichnungen und alle anderen von Benutzern eingegebenen Daten.
  • Datei-Uploads: Dokumente, Bilder und andere Dateien, die von Benutzern auf die Plattform hochgeladen werden.
  • Aktivitätsprotokolle: Anmeldeversuche, Audit-Trail-Einträge, Einwilligungsaufzeichnungen und andere systemgenerierte Aktivitätsdaten.
  • Abrechnungsdaten: Stripe-Kundenkennungen, Abonnementstatus und zahlungsbezogene Metadaten. Vollständige Zahlungskartendaten werden ausschließlich von Stripe verarbeitet und gespeichert und niemals auf der Infrastruktur von ISO Mate gespeichert.
  • OAuth-Token: Authentifizierungs- und Aktualisierungstoken für Drittanbieter-Integrationen einschließlich Google (Gmail, Google Calendar, Google Meet) und Xero.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter wird:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, es sei denn, er ist nach geltendem Recht dazu verpflichtet.
  • Sicherstellen, dass zur Verarbeitung personenbezogener Daten befugte Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen.
  • Geeignete technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko der Verarbeitung angemessenes Sicherheitsniveau zu gewährleisten.
  • Den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen unterstützen, die ihre Rechte nach geltendem Datenschutzrecht ausüben.
  • Den Verantwortlichen bei der Einhaltung von Pflichten in Bezug auf die Sicherheit der Verarbeitung, die Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und die vorherige Konsultation von Aufsichtsbehörden unterstützen, soweit zutreffend.
  • Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Dienstleistungserbringung löschen oder an den Verantwortlichen zurückgeben und vorhandene Kopien löschen, es sei denn, geltendes Recht erfordert die Aufbewahrung.
  • Dem Verantwortlichen alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der in diesem AVV festgelegten Pflichten erforderlich sind.

5. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter zur Erbringung der Plattformdienste ein. Der Verantwortliche genehmigt den Einsatz dieser Unterauftragsverarbeiter:

  • Amazon Web Services (AWS): Infrastruktur-Hosting, Rechenleistung, Datenbank-, Speicher- und Content-Delivery-Dienste. Primäre Region: ap-southeast-2 (Sydney, Australien).
  • Stripe: Zahlungsabwicklung und Abonnementverwaltung. Stripe verarbeitet Abrechnungsdaten einschließlich Zahlungskartendaten auf seiner eigenen Infrastruktur.
  • Google: OAuth-Authentifizierung (Anmeldung mit Google), Gmail-Integration, Google Calendar-Synchronisierung und Google Meet-Integration.
  • Xero: Buchhaltungsintegration zur Erfassung von Stripe-Abonnements.
  • Mailgun: Transaktionale E-Mail-Zustellung für Systembenachrichtigungen, Passwortzurücksetzungen und andere plattformgenerierte E-Mails.

Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern informieren und dem Verantwortlichen die Möglichkeit geben, gegen solche Änderungen Einspruch zu erheben.

6. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt die folgenden Maßnahmen zum Schutz personenbezogener Daten um:

Verschlüsselung im Ruhezustand

Alle Datenbanken (Aurora Serverless v2, DocumentDB) und alle Speicherdienste (Amazon S3, Amazon EFS) werden im Ruhezustand mit von AWS verwalteten Verschlüsselungsschlüsseln verschlüsselt.

Verschlüsselung bei der Übertragung

Alle Daten, die zwischen Benutzern und der Plattform sowie zwischen internen Diensten übertragen werden, werden mit SSL/TLS verschlüsselt. SSL/TLS wird auf allen S3-Buckets und Dienstendpunkten erzwungen.

Zugriffskontrollen

Die Plattform setzt rollenbasierte Zugriffskontrolle (RBAC) mit granularen Berechtigungen durch. Die Authentifizierung wird über die tokenbasierte Authentifizierung von Laravel Sanctum verwaltet. Zwei-Faktor-Authentifizierung (TOTP mit Wiederherstellungscodes) ist für alle Benutzerkonten verfügbar.

Audit-Protokollierung

Benutzeraktionen, Anmeldeversuche und Einwilligungsänderungen werden in Audit-Protokollen aufgezeichnet. Diese Protokolle unterstützen die Rechenschaftspflicht und ermöglichen es dem Verantwortlichen, den Zugriff auf seine Daten zu überwachen.

Verwaltung von Geheimnissen

Alle Anmeldedaten, API-Schlüssel und sensiblen Konfigurationswerte werden in AWS Secrets Manager gespeichert. Keine Geheimnisse werden im Anwendungscode oder in Konfigurationsdateien gespeichert.

7. Datenübermittlungen

Die primäre Infrastruktur für die Plattform wird in der AWS-Region ap-southeast-2 (Sydney, Australien) gehostet. Personenbezogene Daten werden in dieser Region gespeichert und verarbeitet, es sei denn, ein Unterauftragsverarbeiter ist in einer anderen Rechtsordnung tätig. Die folgenden Unterauftragsverarbeiter können Daten außerhalb der primären Region verarbeiten:

  • Stripe: Verarbeitet Zahlungsdaten gemäß den Datenverarbeitungsbedingungen von Stripe und kann Daten international übermitteln.
  • Google: Verarbeitet Authentifizierungs- und Integrationsdaten gemäß den Datenverarbeitungsbedingungen von Google.
  • Xero: Verarbeitet Buchhaltungsintegrationsdaten gemäß den Datenverarbeitungsbedingungen von Xero.
  • Mailgun: Verarbeitet transaktionale E-Mail-Daten gemäß den Datenverarbeitungsbedingungen von Mailgun.

Wenn personenbezogene Daten außerhalb der primären Hosting-Region übermittelt werden, stellt der Auftragsverarbeiter sicher, dass angemessene Schutzmaßnahmen gemäß dem geltenden Datenschutzrecht getroffen werden.

8. Datenaufbewahrung

Der Auftragsverarbeiter bewahrt personenbezogene Daten gemäß den folgenden Aufbewahrungspraktiken auf:

  • Application Load Balancer (ALB) Zugriffsprotokolle: Werden 30 Tage aufbewahrt und dann automatisch gelöscht.
  • CI/CD-Pipeline-Artefakte: Werden 30 Tage aufbewahrt und dann automatisch gelöscht.
  • EFS-Dateispeicher: Dateien, auf die 30 Tage lang nicht zugegriffen wurde, werden über eine Lebenszyklusrichtlinie in den Speicher mit seltenem Zugriff überführt.
  • S3-Datei-Uploads: Versionierung ist aktiviert, um vor versehentlichem Löschen oder Überschreiben zu schützen. Frühere Versionen werden gemäß der Versionierungskonfiguration der Plattform aufbewahrt.
  • Audit-Protokolle: Werden unbefristet für Compliance- und Rechenschaftszwecke aufbewahrt.
  • Einwilligungsaufzeichnungen: Werden unbefristet aufbewahrt, um die Einhaltung der Datenschutzpflichten nachzuweisen.
  • Von Benutzern erstellte Inhalte: Werden für die Dauer des Abonnements des Verantwortlichen aufbewahrt und auf Anfrage oder bei Kontokündigung gelöscht, vorbehaltlich geltender gesetzlicher Aufbewahrungspflichten.

9. Rechte betroffener Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen, einschließlich:

  • Recht auf Auskunft: Betroffene Personen können eine Kopie ihrer auf der Plattform gespeicherten personenbezogenen Daten anfordern.
  • Recht auf Berichtigung: Betroffene Personen können die Korrektur unrichtiger oder unvollständiger personenbezogener Daten verlangen.
  • Recht auf Löschung: Betroffene Personen können die Löschung ihrer personenbezogenen Daten verlangen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Recht auf Datenübertragbarkeit: Betroffene Personen können ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format anfordern.
  • Recht auf Einschränkung der Verarbeitung: Betroffene Personen können unter bestimmten Umständen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen.

Der Verantwortliche ist für die Überprüfung der Identität betroffener Personen und die Feststellung der Gültigkeit von Anfragen verantwortlich. Der Auftragsverarbeiter wird den Verantwortlichen bei der Beantwortung solcher Anfragen angemessen unterstützen.

10. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird der Auftragsverarbeiter den Verantwortlichen unverzüglich nach Bekanntwerden der Verletzung benachrichtigen. Die Benachrichtigung umfasst:

  • Eine Beschreibung der Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und personenbezogenen Datensätze.
  • Den Namen und die Kontaktdaten der Ansprechperson des Auftragsverarbeiters für weitere Informationen.
  • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung.
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen.

Der Auftragsverarbeiter wird mit dem Verantwortlichen zusammenarbeiten und angemessene Schritte unternehmen, um bei der Untersuchung, Minderung und Behebung der Verletzung zu helfen.

11. Prüfungsrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesem AVV festgelegten Pflichten erforderlich sind. Der Auftragsverarbeiter ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden, vorbehaltlich angemessener Vorankündigung und Vertraulichkeitsverpflichtungen.

12. Laufzeit und Kündigung

Dieser AVV bleibt für die Dauer der Nutzung der ISO Mate-Plattform durch den Verantwortlichen in Kraft. Nach Beendigung der Dienste wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten löschen oder zurückgeben, es sei denn, geltendes Recht erfordert die weitere Aufbewahrung. Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.

13. Kontakt

Bei Fragen oder Anfragen zu diesem Auftragsverarbeitungsvertrag kontaktieren Sie uns bitte unter: privacy@isomate.io