Auftragsverarbeitungsvertrag (AVV / DPA)
Arc OS — Vorlage gemäß GDPR Art. 28
Version: 1.0
Datum: 2026-05-28
Issue: #166
Status: Vorlage — Platzhalter vor Unterzeichnung ausfüllen
Verwendung: Ersetzen Sie alle
[PLACEHOLDERS]durch die tatsächlichen Werte. Beide Parteien unterzeichnen und datieren. Bewahren Sie eine unterzeichnete Kopie auf. Jährlich überprüfen oder wenn Arc OS seine Unterauftragsverarbeiter-Liste aktualisiert.
Vereinbarung
Dieser Auftragsverarbeitungsvertrag („DPA") wird geschlossen zwischen:
Verantwortlicher (Kunde):
Firmenname: [CUSTOMER LEGAL NAME]
Registernummer: [REG NUMBER]
Anschrift: [REGISTERED ADDRESS]
Kontakt (Datenschutz): [DPO EMAIL OR RESPONSIBLE PERSON]
(„Verantwortlicher")
Auftragsverarbeiter:
Arc OS, betrieben von [ARC OS LEGAL ENTITY — pending registration]
Anschrift: [REGISTERED ADDRESS — pending e-Residency / Diia.City]
Kontakt: [email protected]
(„Auftragsverarbeiter")
Die Parteien haben einen Master Service Agreement („MSA") / ein Abonnement von arc-os.co vom [DATE OF MSA] geschlossen („Hauptvertrag"), in dessen Rahmen der Auftragsverarbeiter Dienste zur Verwaltung von AI-Workforces erbringt („Dienste").
Dieser DPA ergänzt den Hauptvertrag und ist dessen Bestandteil. Im Falle eines Widerspruchs zwischen diesem DPA und dem Hauptvertrag hat dieser DPA in Bezug auf datenschutzrechtliche Angelegenheiten Vorrang.
1. Begriffsbestimmungen
| Begriff | Bedeutung |
|---|---|
| Personenbezogene Daten | Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, im Sinne von GDPR Art. 4(1) |
| Verarbeitung | Jeder Vorgang im Zusammenhang mit personenbezogenen Daten im Sinne von GDPR Art. 4(2) |
| Betroffene Person | Natürliche Person, deren personenbezogene Daten verarbeitet werden |
| Unterauftragsverarbeiter | Dritter, den der Auftragsverarbeiter zur Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen einsetzt |
| GDPR | EU-Datenschutz-Grundverordnung 2016/679 |
| Standardvertragsklauseln (SCCs) | Beschluss der Europäischen Kommission 2021/914/EU |
2. Gegenstand und Dauer
2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit den im Hauptvertrag beschriebenen Diensten.
2.2 Dieser DPA tritt mit dem Datum des Hauptvertrags in Kraft und bleibt in Kraft, bis der Hauptvertrag beendet oder der DPA durch eine von beiden Parteien unterzeichnete überarbeitete Fassung ersetzt wird.
3. Art, Zweck und Kategorien der Verarbeitung
3.1 Art der Verarbeitung:
Erhebung, Speicherung, Abfrage, Übermittlung und Löschung personenbezogener Daten im Zusammenhang mit dem Betrieb der Arc-OS-Plattform zur Verwaltung von AI-Workforces.
3.2 Zweck:
Bereitstellung von AI-Agenten-Orchestrierung, Projektmanagement und AI-Sessions mit persistentem Kontext für den Verantwortlichen, wie im Hauptvertrag beschrieben.
3.3 Kategorien personenbezogener Daten:
| Kategorie | Beispiele | Erforderlich? |
|---|---|---|
| Konto-Identifikatoren | E-Mail-Adresse, OAuth-ID (Google/GitHub) | ✅ Verpflichtend |
| Authentifizierungsdaten | Gehashtes Passwort (bcrypt), JWT-Tokens | ✅ Verpflichtend |
| Nutzungsdaten | AI-Token-Verbrauch, Session-Dauern | ✅ Verpflichtend |
| Aktivitätsprotokolle | Projekt-Events, Issue-Aktivität | ✅ Verpflichtend |
| Chat-Inhalte | AI-Konversationsnachrichten (at rest verschlüsselt) | ✅ Verpflichtend |
| Auth-Events | Login-Zeitstempel, IP-Adresse, User-Agent | ✅ Verpflichtend |
| Vom Verantwortlichen übermittelte Endnutzerdaten | Abhängig vom Anwendungsfall des Verantwortlichen | ⚠️ Verantwortung des Verantwortlichen |
3.4 Kategorien betroffener Personen:
Mitarbeiter, Auftragnehmer oder Nutzer des Verantwortlichen, denen der Verantwortliche Zugriff auf Arc OS gewährt.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
4.1 Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf Übermittlungen personenbezogener Daten an ein Drittland, sofern er nicht durch das Recht der Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, sofern das betreffende Recht eine solche Information nicht wegen eines wichtigen öffentlichen Interesses verbietet).
4.2 Zu gewährleisten, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
4.3 Alle gemäß GDPR Art. 32 erforderlichen Maßnahmen zu ergreifen (technische und organisatorische Sicherheit), einschließlich:
- AES-256-GCM-Verschlüsselung von Chat-Nachrichten at rest
- HMAC-SHA256-JWT-Authentifizierung mit 24-h-TTL
- Zero-Knowledge-E2EE via WebCrypto PBKDF2 für sensible Felder
- TLS 1.2+ für alle Daten während der Übertragung
- Zugriffskontrollen und Authentifizierungs-Gates auf allen API-Endpunkten
- Tägliche automatisierte Backups mit Integritätsprüfung
- Jährliche Sicherheitsüberprüfungen und Penetrationstests
4.4 Die Bedingungen für die Beauftragung von Unterauftragsverarbeitern einzuhalten (siehe Abschnitt 6).
4.5 Den Verantwortlichen bei der Erfüllung der GDPR-Pflichten in Bezug auf Sicherheit (Art. 32), Meldung von Verletzungen (Art. 33–34), Datenschutz-Folgenabschätzungen (Art. 35–36) und vorherige Konsultation (Art. 36) zu unterstützen, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
4.6 Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Dienste zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern nicht das Recht der Union oder eines Mitgliedstaats eine Speicherung vorschreibt.
4.7 Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung von GDPR Art. 28 zur Verfügung zu stellen sowie Audits und Inspektionen durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Drittprüfer zu ermöglichen und dazu beizutragen (mit angemessener Vorankündigung, höchstens einmal pro Jahr, auf Kosten des Verantwortlichen).
4.8 Den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen — soweit machbar innerhalb von 72 Stunden — an: [CONTROLLER DPO EMAIL].
5. Pflichten des Verantwortlichen
Der Verantwortliche verpflichtet sich:
5.1 Sicherzustellen, dass eine Rechtsgrundlage (GDPR Art. 6) für die Verarbeitung der an den Auftragsverarbeiter übermittelten personenbezogenen Daten besteht.
5.2 Dem Auftragsverarbeiter klare und vollständige Weisungen bezüglich der Verarbeitung personenbezogener Daten zu erteilen.
5.3 Sicherzustellen, dass betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informiert wurden (oder dass eine andere Rechtsgrundlage greift), bevor ihre Daten an Arc OS übermittelt werden.
5.4 Den Auftragsverarbeiter nicht anzuweisen, besondere Kategorien von Daten (GDPR Art. 9) — Gesundheitsdaten, biometrische Daten, rassische Herkunft usw. — ohne ausdrückliche vorherige Vereinbarung und angemessene Garantien zu verarbeiten.
6. Unterauftragsverarbeiter
6.1 Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, die in Anlage B aufgeführten Unterauftragsverarbeiter einzusetzen.
6.2 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen über beabsichtigte Änderungen an Unterauftragsverarbeitern (Hinzufügungen oder Ersetzungen) per E-Mail an [CONTROLLER DPO EMAIL] mit einer Vorankündigungsfrist von 14 Tagen und gibt dem Verantwortlichen damit die Möglichkeit, Einspruch zu erheben.
6.3 Der Auftragsverarbeiter erlegt allen Unterauftragsverarbeitern vertraglich gleichwertige Datenschutzpflichten auf, wie sie in diesem DPA festgelegt sind.
6.4 Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Erfüllung der Pflichten der Unterauftragsverarbeiter vollumfänglich haftbar.
7. Internationale Datenübermittlungen
7.1 Personenbezogene Daten werden auf Servern in der Europäischen Union verarbeitet (Contabo GmbH, München, Deutschland; Hetzner Online GmbH, Gunzenhausen, Deutschland).
7.2 Wo Unterauftragsverarbeiter Daten außerhalb des EWR verarbeiten, stellt der Auftragsverarbeiter geeignete Garantien sicher, einschließlich Standardvertragsklauseln (SCCs) gemäß Kommissionsbeschluss 2021/914/EU oder Angemessenheitsbeschlüssen nach GDPR Art. 45.
7.3 Der Verantwortliche genehmigt die in Anlage B beschriebenen internationalen Datenübermittlungen vorbehaltlich der dort aufgeführten Garantien.
8. Rechte der betroffenen Personen
8.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (GDPR Art. 15–22) — Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch — über:
GET /api/auth/export— GDPR Art. 20 Datenübertragbarkeit (begrenzt auf 3/24 h)DELETE /api/auth/account— GDPR Art. 17 Recht auf Löschung (kaskadiert über 15+ Tabellen)
8.2 Der Auftragsverarbeiter antwortet nicht direkt auf Anfragen betroffener Personen im Namen des Verantwortlichen ohne vorherige Genehmigung, außer zur Empfangsbestätigung und Weiterleitung an den Verantwortlichen.
9. Haftung und Freistellung
9.1 Jede Partei haftet für Schäden, die durch eine gegen die GDPR verstoßende Verarbeitung verursacht werden, in Übereinstimmung mit GDPR Art. 82.
9.2 Der Auftragsverarbeiter ist von der Haftung befreit, wenn er nachweist, dass er in keiner Weise für das schadensauslösende Ereignis verantwortlich ist.
9.3 Die Gesamthaftung des Auftragsverarbeiters aus diesem DPA ist auf die Beträge begrenzt, die der Verantwortliche im Rahmen des Hauptvertrags in den 12 Monaten vor dem anspruchsbegründenden Ereignis gezahlt hat.
10. Anwendbares Recht und Gerichtsstand
Dieser DPA unterliegt dem Recht von [GOVERNING LAW — e.g. EU / EE / DE]. Streitigkeiten werden in [JURISDICTION] beigelegt.
Unterschriften
| Verantwortlicher | Auftragsverarbeiter | |
|---|---|---|
| Name | [AUTHORISED SIGNATORY] |
[ARC OS REPRESENTATIVE] |
| Funktion | [TITLE] |
[TITLE] |
| Datum | [DATE] |
[DATE] |
| Unterschrift | _________________ | _________________ |
Anlage A — Zusammenfassung der Verarbeitungsdetails
| Feld | Wert |
|---|---|
| Gegenstand | Plattform zur Verwaltung von AI-Workforces |
| Dauer | Laufzeit des Hauptvertrags |
| Art | Erhebung, Speicherung, Abfrage, Löschung |
| Zweck | AI-Agenten-Orchestrierung, persistenter Projektkontext |
| Datentypen | Konto, Auth, Nutzung, Aktivität, Chat (verschlüsselt) |
| Betroffene Personen | Mitarbeiter / Endnutzer des Verantwortlichen |
Anlage B — Genehmigte Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Zweck | Standort | Garantie |
|---|---|---|---|
| Contabo GmbH | Primäres Server-Hosting (API, DB) | München, DE 🇩🇪 | EU-basiert, keine Übermittlung |
| Hetzner Online GmbH | Cloud-Container-Hosting (Starter Cloud) | Nürnberg, DE 🇩🇪 | EU-basiert, keine Übermittlung |
| Cloudflare, Inc. | CDN, DDoS-Schutz, DNS | US 🇺🇸 | SCCs (2021/914/EU) |
| Resend, Inc. | Transaktionale E-Mails (Auth, Einladungen) | US 🇺🇸 | SCCs |
| Anthropic, PBC | AI-Modell-Inferenz (Claude API — nur Trial-Credits) | US 🇺🇸 | SCCs + DPA mit Anthropic |
| Backblaze, Inc. | Externe DB-Backup-Speicherung | US 🇺🇸 | SCCs |
Hinweis: Der Kunde bringt seinen eigenen Anthropic-API-Key mit (Claude Pro). In diesem Fall ist Anthropic Unterauftragsverarbeiter des Kunden, nicht von Arc OS.
Anlage C — Technische und organisatorische Maßnahmen (TOMs)
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung at rest | AES-256-GCM für Chat-Nachrichten und Vault-Secrets |
| Verschlüsselung in transit | TLS 1.2+ via nginx erzwungen; HSTS aktiviert |
| E2EE | WebCrypto PBKDF2 (100k Iterationen) → AES-256-GCM-Master-Key in sessionStorage |
| Authentifizierung | HMAC-SHA256 JWT (24-h-TTL), bcrypt-Passwort-Hashing |
| Zugriffskontrolle | Projektbezogenes canAccessProject()-Gate auf jeder API-Route |
| API-Sicherheit | CSP-Header, X-Frame-Options: DENY, nosniff, Permissions-Policy |
| Internes Netzwerk | API-Server bindet nur an 127.0.0.1; nginx-Proxys |
| Backup | Tägliche automatisierte Backups; Integritätsprüfung (PRAGMA integrity_check); Off-Site-Upload |
| Breach-Erkennung | Auth-Event-Logging; fail2ban auf SSH; Anomalie-Alerting geplant (#223) |
| Datenlöschung | GDPR Art. 17 Kaskadenlöschung über 15+ Tabellen; Datenaufbewahrungs-Cron |
| Audit-Log | Unveränderliche Tabellen activity_log + platform_audit_log |
| Penetrationstests | Jährliches Review-Ziel; Phase-53-Sentinel-Sprint abgeschlossen 2026-05 |
| Zugriff auf Prod | Nur SSH-Key; keine Passwort-Authentifizierung; MFA auf GitHub |