Auftragsverarbeitungsvertrag (Vorlage)
Wer braucht das — und wer ist Auftragsverarbeiter?
Abschnitt betitelt „Wer braucht das — und wer ist Auftragsverarbeiter?“Orimora ist selbst-gehostete Software. Die Maintainer betreiben deine Instanz nicht und erhalten niemals deine Daten — sie sind also nicht dein Auftragsverarbeiter. Das hat konkrete Folgen für deine Unterlagen:
- Betreibst du Orimora nur für die eigene Organisation, bist du Verantwortlicher. Mit dir selbst schließt du in der Regel keinen AVV — schuldest deinen Nutzern aber eine Datenschutzinformation und musst deine Subprozessoren dokumentieren.
- Betreibst du Orimora im Auftrag von Kunden (z. B. als Hosting für sie), bist du der Auftragsverarbeiter und dein Kunde der Verantwortliche. Die folgende Vorlage ist der Vertrag, den du ihm anbietest.
Kurz: Dieser AVV besteht zwischen dir (dem Betreiber) und deinem Kunden, mit den externen Diensten deines Deployments als Subprozessoren.
Verwendung der Vorlage
Abschnitt betitelt „Verwendung der Vorlage“- Fülle jeden
[PLATZHALTER]aus. - Hänge Anlage II aus der aktuellen Subprozessor-Liste an — halte sie mit dem synchron, was du tatsächlich konfigurierst.
- Hänge Anlage III an (deine technischen & organisatorischen Maßnahmen). Die Vorgaben unten spiegeln Orimoras eingebaute Kontrollen; ergänze deine Infrastruktur-Maßnahmen.
- Versioniere den Vertrag in Git neben deiner Deployment-Konfiguration, damit Änderungen prüfbar bleiben.
Auftragsverarbeitungsvertrag
Abschnitt betitelt „Auftragsverarbeitungsvertrag“Dieser Auftragsverarbeitungsvertrag („AVV”) ist Teil der Vereinbarung zwischen [NAME DES VERANTWORTLICHEN] („Verantwortlicher”) und [NAME DES BETREIBERS / AUFTRAGSVERARBEITERS] („Auftragsverarbeiter”) über die Bereitstellung einer selbst-gehosteten Orimora-Wissensdatenbank (der „Dienst”). Er regelt die Verarbeitung personenbezogener Daten nach Art. 28 DSGVO.
1. Gegenstand und Dauer
Abschnitt betitelt „1. Gegenstand und Dauer“Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Bereitstellung und zum Betrieb des Dienstes. Die Verarbeitung dauert für die Laufzeit der zugrunde liegenden Vereinbarung sowie eine etwaige in §9 vereinbarte Abwicklungsfrist.
2. Art und Zweck der Verarbeitung
Abschnitt betitelt „2. Art und Zweck der Verarbeitung“Hosting, Speicherung, Abruf, Indexierung, Sicherung und Übermittlung von Wissensdatenbank-Inhalten und Kontodaten, damit die berechtigten Nutzer des Verantwortlichen an Dokumenten zusammenarbeiten können.
3. Arten personenbezogener Daten
Abschnitt betitelt „3. Arten personenbezogener Daten“- Kontodaten: Name, E-Mail-Adresse, Sprache, Authentifizierungsfaktoren (Passkeys, TOTP), Session-Metadaten, IP-Adresse.
- Inhaltsdaten: alle personenbezogenen Daten, die Nutzer in Dokumente, Kommentare, Anhänge und Tags einstellen.
- Log-/Audit-Daten: Akteur-Identität, Aktion, Zeitstempel, Correlation-ID, User-Agent, Ergebnis.
4. Kategorien betroffener Personen
Abschnitt betitelt „4. Kategorien betroffener Personen“Beschäftigte, Auftragnehmer und Mitglieder des Verantwortlichen sowie alle in deren Inhalten genannten Personen.
5. Pflichten des Auftragsverarbeiters
Abschnitt betitelt „5. Pflichten des Auftragsverarbeiters“Der Auftragsverarbeiter
- (a) verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen (einschließlich dieses AVV), es sei denn, das Recht verpflichtet ihn anders (dann Benachrichtigung, soweit rechtlich zulässig);
- (b) stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind;
- (c) setzt die technischen und organisatorischen Maßnahmen aus Anlage III um;
- (d) beachtet die Bedingungen aus §6 für die Beauftragung von Subprozessoren;
- (e) unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Beantwortung von Betroffenenanfragen (der Dienst bietet Self-Service-Datenexport und Kontolöschung sowie ein Admin-Audit-Log);
- (f) unterstützt den Verantwortlichen bei Sicherheit, Meldung von Verletzungen, DSFA und vorheriger Konsultation (Art. 32–36);
- (g) löscht oder gibt nach Wahl des Verantwortlichen alle personenbezogenen Daten am Ende des Auftrags zurück (§9);
- (h) stellt die zum Nachweis der Einhaltung erforderlichen Informationen bereit und ermöglicht Audits (§8).
6. Subprozessoren
Abschnitt betitelt „6. Subprozessoren“Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zur Beauftragung der in Anlage II gelisteten Subprozessoren (die aktuelle Subprozessor-Liste). Der Auftragsverarbeiter
- erlegt jedem Subprozessor Datenschutzpflichten auf, die diesem AVV mindestens gleichwertig sind;
- bleibt für die Leistung seiner Subprozessoren voll verantwortlich;
- informiert den Verantwortlichen rechtzeitig über beabsichtigte Änderungen (Hinzufügung/Ersetzung) und gibt ihm Gelegenheit zum Widerspruch.
7. Internationale Übermittlungen
Abschnitt betitelt „7. Internationale Übermittlungen“Der Auftragsverarbeiter übermittelt personenbezogene Daten nur unter einem gültigen Transfermechanismus (z. B. Angemessenheitsbeschluss oder Standardvertragsklauseln) außerhalb des EWR. Liegt ein Subprozessor in Anlage II außerhalb des EWR, ist der jeweilige Mechanismus dort vermerkt.
8. Audits
Abschnitt betitelt „8. Audits“Der Auftragsverarbeiter stellt auf angemessene Vorankündigung und höchstens einmal jährlich (sofern nicht eine Aufsichtsbehörde es verlangt oder ein Vorfall eintritt) die zum Nachweis nach Art. 28 erforderlichen Informationen bereit und ermöglicht Audits durch den Verantwortlichen oder einen beauftragten Prüfer, unter Wahrung der Vertraulichkeit.
9. Rückgabe oder Löschung
Abschnitt betitelt „9. Rückgabe oder Löschung“Bei Beendigung gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten (einschließlich Kopien) innerhalb von [N] Tagen zurück oder löscht sie unwiderruflich, sofern keine gesetzliche Aufbewahrungspflicht besteht. Verschlüsselte Backups werden mit ihrer normalen Rotation gelöscht; das aktuelle Rotationsintervall ist [BACKUP_RETENTION].
Einschränkung — extern exportierte Audit-Daten. Aktiviert der Verantwortliche den optionalen SIEM-/Audit-Export (HTTP-, Syslog- oder Datei-Sink), verlassen die exportierten Audit-Events den Speicher des Dienstes und werden zu Datensätzen in der Infrastruktur des Verantwortlichen. Diese externen Kopien sind append-only und liegen außerhalb des Zugriffs des Auftragsverarbeiters: Kontolöschung und Betroffenen-Löschung innerhalb des Dienstes wirken nicht auf sie. Löschung oder Aufbewahrung bereits in das SIEM des Verantwortlichen exportierter Audit-Daten obliegt dem Verantwortlichen und richtet sich nach dessen eigener Aufbewahrungs- und Löschrichtlinie.
10. Meldung von Verletzungen
Abschnitt betitelt „10. Meldung von Verletzungen“Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens innerhalb von [N z. B. 48] Stunden nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten, mit den nach Art. 33(3) erforderlichen Informationen, soweit verfügbar.
Anlage I — Parteien und Verarbeitungsdetails
Abschnitt betitelt „Anlage I — Parteien und Verarbeitungsdetails“| Feld | Wert |
|---|---|
| Verantwortlicher | [NAME, ANSCHRIFT] |
| Auftragsverarbeiter | [BETREIBER-NAME, ANSCHRIFT] |
| Kontakt / DSB Verantwortlicher | [NAME, E-MAIL] |
| Kontakt / DSB Auftragsverarbeiter | [NAME, E-MAIL] |
| Gegenstand | Siehe §1 |
| Dauer | Laufzeit der zugrunde liegenden Vereinbarung |
| Art & Zweck | Siehe §2 |
| Arten personenbezogener Daten | Siehe §3 |
| Kategorien Betroffener | Siehe §4 |
Anlage II — Subprozessoren
Abschnitt betitelt „Anlage II — Subprozessoren“Siehe die aktuelle Subprozessor-Liste, die die externen Dienste deines Deployments widerspiegelt. Übernimm die relevanten Zeilen beim Vertragsschluss hierher und halte sie versioniert.
Anlage III — Technische und organisatorische Maßnahmen
Abschnitt betitelt „Anlage III — Technische und organisatorische Maßnahmen“In Orimora eingebaut (gegen deine Version prüfen):
- Verschlüsselung in Transit: TLS für allen Browser- und API-Verkehr (vom Betreiber terminiert).
- Verschlüsselung at Rest: AES-256-GCM für gespeicherte Geheimnisse (IdP-Client-Secrets, SAML-Schlüssel, TOTP-Secrets, API-/LLM-/Publishing-Credentials);
age-verschlüsselte Off-Site-Backups. - Authentifizierung: passwortlos (Magic-Link / SSO), optional Passkeys und TOTP, team-erzwingbares MFA, Single-Session-pro-Nutzer mit Idle- und Absolut-Timeout.
- Zugriffskontrolle: capability-basiertes RBAC, Collection-Restriktionen, Step-up-Re-Verifizierung für sensible Aktionen.
- Nachvollziehbarkeit: append-only Audit-Log mit Akteur, Aktion, Correlation-ID, Ergebnis und konfigurierbarer Aufbewahrung.
- Token-Handling: API-/SCIM-/OAuth-Tokens und Backup-Codes nur als HMAC-SHA256-Hashes gespeichert; Rate-Limiting fail-closed auf Auth-Pfaden.
- Resilienz: automatisierte verschlüsselte Backups mit Restore-Verifikation und dokumentiertem Disaster-Recovery-Runbook.
Vom Betreiber beizusteuernde Maßnahmen (du füllst aus): physische/Host-Sicherheit, Netzsegmentierung, Personalprüfung, Patch-Kadenz, Monitoring/Alerting, deine TLS-Terminierung und Schlüsselverwahrung.