Auftragsverarbeitungsvereinbarung
gemäß Art. 28 DSGVO
Parteien
Verantwortlicher im Sinne dieser Vereinbarung ist der bei UptimeAlien registrierte Nutzer (natürliche oder juristische Person bzw. Organisation). Die Identifizierung erfolgt über die im Konto hinterlegten Stammdaten (Anzeigename, E-Mail-Adresse, ggf. Rechnungsdaten).
Auftragsverarbeiter: Heiko Stuhrmann, c/o Block Services, Stuttgarter Str. 106, 70736 Fellbach, Deutschland, E-Mail: heiko@uptimealien.de.
§ 1 Gegenstand und Dauer
- Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zur Erbringung des Dienstes UptimeAlien, insbesondere zur Speicherung von Monitoring-Konfigurationen und Prüfergebnissen, zur Entgegennahme und Speicherung eingesendeter Fehler-Ereignisse sowie zum Versand von Benachrichtigungen im Auftrag des Verantwortlichen.
- Die Vereinbarung beginnt mit der Registrierung des Verantwortlichen und gilt für die Dauer der Hauptleistungsbeziehung. Sie endet automatisch mit Löschung des Kontos.
- Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit der Auftragsverarbeiter nicht durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet ist. Weisungen werden in der Regel durch Aktionen im UptimeAlien-Kundenbereich erteilt und können durch schriftliche Ergänzungen (E-Mail genügt) konkretisiert werden.
§ 2 Art und Zweck der Verarbeitung
- Art der Verarbeitung: Erheben, Speichern, Strukturieren, Übermitteln, Auslesen, Verwenden, Einschränken, Löschen oder Vernichten personenbezogener Daten im Rahmen der Monitoring- und Benachrichtigungsfunktionen sowie der Nutzerverwaltung.
- Zweck: Bereitstellung des Dienstes UptimeAlien, d. h. Überwachung der vom Verantwortlichen konfigurierten Prüfziele, Speicherung von Prüfergebnissen und eingesendeten Fehler-Ereignissen sowie Versand von Benachrichtigungen über die konfigurierten Kanäle.
§ 3 Art der personenbezogenen Daten
Gegenstand der Verarbeitung können insbesondere folgende Datenkategorien sein:
- Stammdaten (Anzeigename, E-Mail-Adresse, Passwort-Hash)
- Monitoring-Konfiguration (Prüfziele wie URLs, Hostnamen, Ports)
- Prüf- und Vorfalldaten (Status, Antwortzeiten, Incident-Verlauf)
- Fehler-Ereignisse (Meldung, Stacktrace, Tags, Kontext) — können personenbezogene Daten enthalten, soweit vom Verantwortlichen übermittelt
- Benachrichtigungsinhalte sowie Empfänger-Daten (Notify-Kontakte, Kanal-Konfiguration wie E-Mail-Adressen oder Webhook-URLs)
- Geräte- und Token-Daten (FCM-Token für die Android-App)
- Nutzungsdaten (Zeitstempel, IP-Adresse, User-Agent in Logs)
- 2FA-Daten (TOTP-Secret), sofern aktiviert
§ 4 Kategorien der betroffenen Personen
- Mitarbeiter des Verantwortlichen, die den Dienst verwenden
- Empfänger von Benachrichtigungen (z. B. Notify-Kontakte), die vom Verantwortlichen veranlasst sind
- Personen, deren personenbezogene Daten in den vom Verantwortlichen übermittelten Fehler-Ereignissen enthalten sein können
§ 5 Pflichten des Auftragsverarbeiters
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen dieser Vereinbarung und nach dokumentierter Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet.
- Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten.
- Personenbezogene Daten werden ausschließlich innerhalb der EU/des EWR verarbeitet, mit Ausnahme der in Anhang 2 aufgeführten Unterauftragsverarbeiter, für die ein angemessenes Datenschutzniveau (Art. 46 DSGVO, EU-US Data Privacy Framework, Standardvertragsklauseln) gesichert ist.
§ 6 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft die in Anhang 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und sichert deren Einhaltung während der Vertragslaufzeit zu. Änderungen, die das Sicherheitsniveau nicht herabsetzen, sind zulässig.
§ 7 Berichtigung, Einschränkung und Löschung
- Der Auftragsverarbeiter darf personenbezogene Daten nur nach Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken.
- Anfragen betroffener Personen leitet der Auftragsverarbeiter unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht eigenständig.
§ 8 Unterauftragsverhältnisse
- Der Verantwortliche erteilt mit Registrierung die allgemeine schriftliche Genehmigung zur Einbeziehung der in Anhang 2 genannten Unterauftragsverarbeiter.
- Beabsichtigte Änderungen (neue oder Austausch von Unterauftragsverarbeitern) teilt der Auftragsverarbeiter mit angemessener Frist (mindestens 30 Tage) vorab über die im Konto hinterlegte E-Mail-Adresse oder durch Veröffentlichung einer neuen Fassung dieser AVV mit. Der Verantwortliche hat ein Widerspruchsrecht aus wichtigem Grund; bei berechtigtem Widerspruch sind beide Parteien zur außerordentlichen Kündigung berechtigt.
- Der Auftragsverarbeiter stellt durch vertragliche Regelungen sicher, dass die Pflichten dieser Vereinbarung den Unterauftragsverarbeitern auferlegt werden.
§ 9 Kontrollrechte des Verantwortlichen
- Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu kontrollieren, regelmäßig durch Anforderung einer Selbstauskunft oder Vorlage eines aktuellen Prüfberichts eines unabhängigen Sachverständigen.
- Vor-Ort-Kontrollen sind nur in begründeten Ausnahmefällen und nach Abstimmung mit angemessener Vorlaufzeit (mindestens 4 Wochen) zulässig; der damit verbundene Aufwand kann nach üblichen Sätzen berechnet werden.
§ 10 Mitteilung bei Verstößen
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme, unter Angabe der nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen. Die Meldung erfolgt an die im Konto hinterlegte E-Mail-Adresse.
§ 11 Weisungsbefugnis des Verantwortlichen
- Weisungen werden durch Aktionen im UptimeAlien-Kundenbereich sowie durch ergänzende schriftliche Weisungen (E-Mail genügt) erteilt.
- Hält der Auftragsverarbeiter eine Weisung für datenschutzwidrig, weist er den Verantwortlichen unverzüglich darauf hin und ist berechtigt, die Ausführung auszusetzen, bis die Weisung bestätigt oder geändert wird.
§ 12 Löschung und Rückgabe nach Auftragsende
- Nach Beendigung der Hauptleistungsbeziehung (Konto-Löschung) löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Die Standard-Löschfristen sind in der Datenschutzerklärung dokumentiert. Backups werden binnen 30 Tagen überschrieben.
- Der Verantwortliche kann seine Daten vor der Löschung selbständig über die Konto-Funktionen exportieren oder per E-Mail anfordern.
§ 13 Haftung
Es gilt Art. 82 DSGVO. Die Parteien haften gegenüber Betroffenen nach Maßgabe der dort getroffenen Bestimmungen. Im Innenverhältnis haftet jede Partei für die ihr zurechenbaren Verstöße; eine Haftung im Innenverhältnis ist auf grobe Fahrlässigkeit und Vorsatz beschränkt, soweit nicht zwingende gesetzliche Vorschriften entgegenstehen.
§ 14 Änderungen dieser Vereinbarung
- Der Auftragsverarbeiter ist berechtigt, diese AVV anzupassen, soweit dies aufgrund geänderter Rechtslage, neuer Subprozessoren oder veränderter Verarbeitungsabläufe erforderlich ist. Wesentliche Änderungen werden mit angemessener Frist (mindestens 30 Tage) vorab angekündigt.
- Widerspricht der Verantwortliche nicht innerhalb der Frist, gelten die Änderungen als angenommen. Bei berechtigtem Widerspruch sind beide Parteien zur Kündigung berechtigt.
- Die jeweils aktuelle Fassung dieser AVV ist unter /avv abrufbar.
§ 15 Sonstige Regelungen
- Wird das Eigentum oder die Verfügungsgewalt des Verantwortlichen über die Daten durch Maßnahmen Dritter (z. B. Pfändung, Beschlagnahme, Insolvenzverfahren) gefährdet, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich.
- Es gilt deutsches Recht. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.
- Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, bleibt die Gültigkeit der übrigen Bestimmungen unberührt.
Anhang 1: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
1. Vertraulichkeit
- Zutrittskontrolle: Betrieb auf eigener Server-Infrastruktur des Auftragsverarbeiters in Deutschland; physischer Zugang beschränkt.
- Zugangskontrolle: SSH-Zugang per Public-Key-Authentifizierung, kein Passwort-Login; Admin-Konten mit verpflichtender 2FA.
- Zugriffskontrolle: rollenbasierte Berechtigungen (Plattform- und Organisationsrollen), Mandantentrennung pro Organisation, API- und Ingest-Keys mit begrenztem Scope.
- Trennungskontrolle: strikte Mandantentrennung in der Datenbank über die Organisations-Zuordnung; getrennte Produktiv- und Entwicklungssysteme.
- Pseudonymisierung: Passwörter ausschließlich als Argon2id-Hash; Sitzungs-Tokens nur als Hash gespeichert.
2. Integrität
- Weitergabekontrolle: sämtliche Datenübertragung ausschließlich verschlüsselt via TLS 1.2+ (HTTPS, ausgehende Webhooks).
- Eingabekontrolle: Server- und Audit-Logs für sicherheitsrelevante Ereignisse mit IP-Adresse und Zeitstempel; Aufbewahrung max. 30 Tage.
3. Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: regelmäßige, verschlüsselte Datenbank-Backups im EU-Raum.
- Wiederherstellbarkeit: Restore-Verfahren wird regelmäßig getestet.
- Missbrauchsschutz: Rate-Limiting der öffentlichen Endpunkte.
4. Verfahren zur regelmäßigen Überprüfung
- Datenschutz-Management: Privacy-by-Design; regelmäßige Überprüfung der Verarbeitungstätigkeiten.
- Incident-Response: definierter Meldeweg bei Datenpannen (vgl. § 10).
- Auftragskontrolle: vertragliche Verpflichtung der Subprozessoren (siehe Anhang 2).
Anhang 2: Genehmigte Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter werden mit Zustimmung des Verantwortlichen eingesetzt:
| Anbieter | Sitz | Zweck | Übermittlungsmechanismus |
|---|---|---|---|
| Google LLC (Firebase Cloud Messaging) | USA | Zustellung von Android-Push-Benachrichtigungen | EU-US Data Privacy Framework + SCC |
| Polar Software, Inc. (nur bei bezahlten Plänen) | USA | Zahlungsabwicklung als Merchant of Record | EU-US Data Privacy Framework + SCC |
| Strato AG (SMTP-Versand) | Deutschland (EU) | Versand von Verifizierungs-, Einladungs- und Benachrichtigungs-E-Mails | EU / kein Drittlandtransfer |
Aktualisierungen dieser Liste werden gemäß § 8 dieser Vereinbarung mitgeteilt.
