Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Zwischen ITONE (Auftragsverarbeiter) und dem Kunden (Verantwortlicher)

Stand: Mai 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend 'AVV') ergänzt den zwischen den Parteien geschlossenen Nutzungsvertrag über die SaaS-Plattform Opspect (nachfolgend 'Hauptvertrag') und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

Art. 1 Vertragsparteien

Auftragsverarbeiter (AV):

ITONE | Inhaber: Sascha Gebhardt | Friedenstraße 23 | 52080 Aachen | info@itone.de

Verantwortlicher (V):

Der Kunde gemäß Hauptvertrag (Unternehmensname, Adresse, Kontaktdaten wie im Kundenkonto hinterlegt).

Art. 2 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand: Der AV verarbeitet im Auftrag des V personenbezogene Daten zur Bereitstellung der SaaS-Plattform Opspect (Asset-Management, Wartung, Inspektionen, ISMS-Unterstützung).

(2) Dauer: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Nach Beendigung des Hauptvertrags werden personenbezogene Daten gemäß Art. 8 dieses AVV gelöscht oder zurückgegeben.

Art. 3 Art und Zweck der Verarbeitung

Art der Verarbeitung: Speicherung, Abfrage, Übermittlung, Anzeige, Löschung.

Zweck: Bereitstellung und Betrieb der SaaS-Plattform Opspect, technischer Support.

Art. 4 Kategorien personenbezogener Daten

• Kontakt- und Stammdaten (Name, E-Mail, Telefon, Unternehmensname)
• Authentifizierungsdaten (E-Mail, gehashte Passwörter, MFA-Konfiguration)
• Zugriffsprotokolle (IP-Adressen, Zeitstempel, Browser-UA)
• Vom Kunden in die Plattform eingegebene Betriebs- und Inventardaten (soweit personenbezogen)
• Zahlungsbezogene Identifikationsdaten (keine vollständigen Zahlungsmittel, nur Metadaten)

Art. 5 Kategorien betroffener Personen

• Mitarbeiterinnen und Mitarbeiter des Verantwortlichen
• Administratoren und Nutzer des Kundenkontos
• Gegebenenfalls Lieferanten und Geschäftspartner des Verantwortlichen (soweit in die Plattform eingetragen)

Art. 6 Weisungsgebundenheit

(1) Der AV verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des V, einschließlich der in diesem AVV und im Hauptvertrag getroffenen Vereinbarungen.

(2) Ist der AV der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, unterrichtet er den V unverzüglich.

(3) Technische Anpassungen der Plattform (Updates, Bugfixes, Sicherheits-Patches), die keinen Einfluss auf den Datenschutz haben, sind keine weisungspflichtigen Handlungen.

Art. 7 Technische und organisatorische Maßnahmen (TOM)

Der AV ergreift folgende Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit:

• Verschlüsselung der Datenspeicherung (AES-256 at rest, Supabase Frankfurt / eu-central-1)

• Verschlüsselung der Datenübertragung (TLS 1.2/1.3)

• Rollenbasierte Zugriffskontrolle (RBAC) und Row Level Security (RLS) auf Datenbankebene

• Mehrfaktor-Authentifizierung für alle Administratorzugänge

• Mandantentrennung (multi-tenancy): strikte logische Datentrennung, kein Datenzugriff über Mandantengrenzen Integrität:

• Eingabevalidierung und Parameterprüfung auf API-Ebene

• Audit-Logging für sicherheitsrelevante Aktionen Verfügbarkeit:

• Redundante Infrastruktur (Vercel Edge Network, Supabase PostgreSQL mit PITR)

• Verschlüsselte Backups mit 30-tagiger Aufbewahrung in Frankfurt (eu-central-1)

• Incident-Response-Prozess Belastbarkeit und Wiederherstellung:

• Getestetes Backup-/Restore-Konzept

• Regelmäßige Sicherheitsüberprüfungen und Dependency-Updates

Art. 8 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags stellt der AV dem V für 30 Tage einen Datenexport (maschinenlesbares Format) zur Verfügung.

(2) Nach Ablauf dieser Frist werden alle personenbezogenen Daten des V unwiderruflich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(3) Backups werden nach Ablauf ihrer Aufbewahrungsfrist (30 Tage) automatisch gelöscht.

Art. 9 Unterauftragsverhältnisse

(1) Der AV setzt folgende Unterauftragsverarbeiter ein:

(2) Änderungen im Kreis der Unterauftragsverarbeiter werden dem V mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Der V kann innerhalb dieser Frist Widerspruch einlegen. Ohne Widerspruch gilt die Änderung als genehmigt. Bei berechtigtem Widerspruch ist der V berechtigt, den Hauptvertrag außerordentlich zu kündigen.

Art. 10 Meldepflichten

Der AV unterrichtet den V unverzüglich (spätestens innerhalb von 72 Stunden nach Bekanntwerden), wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die ihn als Auftragsverarbeiter betrifft.

Art. 11 Unterstützungspflichten

Der AV unterstützt den V soweit möglich:

• bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO
• bei der Beantwortung von Anfragen betroffener Personen (DSAR)
• bei der Durchführung von Datenschutz-Folgenabschätzungen

Art. 12 Haftung

Die Haftungsverteilung zwischen V und AV richtet sich nach Art. 82 DSGVO. Gegenüber dem V ist die Haftung des AV auf das jährliche Nettovertragsvolumen begrenzt, mindestens jedoch auf 2.500 EUR, sofern keine Vorsatz oder grobe Fahrlässigkeit vorliegt.

Art. 13 Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist Aachen.

Art. 14 Schlussbestimmungen

(1) Dieser AVV geht den Regelungen des Hauptvertrags vor, soweit datenschutzrechtliche Fragen betroffen sind.

(2) Änderungen dieses AVV bedürfen der Schriftform.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleiben die übrigen Bestimmungen wirksam.

Anlagen

• Anlage 1: Technische und organisatorische Maßnahmen (TOM) - Detailbeschreibung
• Anlage 2: Liste der Unterauftragsverarbeiter (entspricht Art. 9 dieses AVV)

ITONE | Sascha Gebhardt | Friedenstraße 23 | 52080 Aachen | Stand: Mai 2026