struct-i-vio

Auftragsverarbeitung

Auftragsverarbeitungsvertrag (AV-Vertrag)

gemäß Art. 28 DSGVO

Hinweis: Dieses Dokument ist eine Vorlage für den Auftragsverarbeitungsvertrag zwischen struct-i-vio und Ihrem Unternehmen. Bei Vertragsabschluss erhalten Sie eine individualisierte Version zur Unterzeichnung.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (struct-i-vio) im Auftrag des Verantwortlichen (Kunde).

(2) Die Verarbeitung erfolgt im Rahmen der Bereitstellung der SaaS-Plattform „struct-i-vio" für Projektmanagement, Zeiterfassung, Budgetverwaltung und Dokumentenmanagement.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst:

  • Speicherung und Bereitstellung von Projektdaten
  • Verwaltung von Benutzerkonten und Zugriffsrechten
  • Zeiterfassung und Ressourcenplanung
  • Dokumentenspeicherung und -verwaltung
  • Optionale Anbindung von Bankkonten über gehostete Web-Formulare eines spezialisierten Banking-Dienstleisters
  • Abruf, Normalisierung und Bereitstellung von Konto-, Umsatz- und Consent-Statusdaten für die vom Verantwortlichen aktivierte Banking-Integration
  • Befristete Vorhaltung gelöschter Unterlagen im Papierkorb mit Wiederherstellungsoption
  • Zusätzliche Dateisicherung in einem separaten EU-Backupspeicher zur Ausfallsicherheit und Wiederherstellung auf Anfrage
  • Zusätzliche verschlüsselte Datenbanksicherungen in einem separaten EU-Backupspeicher zur Notfallwiederherstellung
  • Erstellung von Reports und Auswertungen
  • Kommunikation innerhalb der Plattform

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Stammdaten: Name, E-Mail-Adresse, Telefonnummer
  • Organisationsdaten: Abteilung, Position, Rolle
  • Arbeitszeitdaten: Arbeitszeiten, Abwesenheiten, Urlaubszeiten
  • Projektdaten: Aufgabenzuweisungen, Fortschritt, Kommentare
  • Finanz- und Buchungsdaten: Budgets, Rechnungen, Kontobezeichnungen, IBAN/Kontonummern, Kontostände sowie importierte Transaktionsdaten
  • Banking- und Consent-Metadaten: technische Kennungen der Bankverbindung, Status- und Ablaufdaten von Zustimmungen, Web-Form-/Callback-/Sync-Protokolle sowie technische Fehler- und Statusdaten
  • Nutzungsdaten: Login-Zeiten, Aktivitätsprotokolle

§ 3a Besondere Hinweise zur optionalen Banking-Integration

(1) Soweit der Verantwortliche die optionale Banking-Integration aktiviert, setzt der Auftragsverarbeiter für die Anbindung von Bankkonten und die Verwaltung bankseitiger Zustimmungen den spezialisierten Banking- Dienstleister finAPI als Unterauftragnehmer ein.

(2) Die Anbindung von Bankkonten sowie die Erneuerung bankseitiger Zustimmungen erfolgen über von finAPI bereitgestellte gehostete Web-Formulare. Bankzugangs-, TAN- und sonstige SCA-Daten werden dabei grundsätzlich unmittelbar durch finAPI bzw. die jeweils angebundene Bank verarbeitet; der Auftragsverarbeiter speichert diese Bankzugangsdaten nicht als reguläre Produktdaten.

(3) Der Auftragsverarbeiter beschränkt die an finAPI übermittelten Daten auf die für die Banking-Funktion erforderlichen Angaben. Eine dauerhafte Übermittlung persönlicher E-Mail-Adressen einzelner Nutzer ist für die reguläre Nutzung nicht vorgesehen, soweit dies nicht ausnahmsweise technisch oder vertraglich zwingend erforderlich ist.

§ 4 Kategorien betroffener Personen

  • Mitarbeiter des Verantwortlichen
  • Externe Projektbeteiligte (soweit vom Kunden erfasst)
  • Ansprechpartner bei Geschäftspartnern des Kunden

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten nur nach dokumentierter Weisung des Verantwortlichen zu verarbeiten;
  • die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten;
  • alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen;
  • Unterauftragnehmer nur mit vorheriger Genehmigung einzusetzen;
  • den Verantwortlichen bei der Erfüllung seiner DSGVO-Pflichten zu unterstützen;
  • nach Wahl des Verantwortlichen alle Daten zu löschen oder zurückzugeben;
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung zu stellen.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter gewährleistet insbesondere:

Vertraulichkeit

  • Zutrittskontrolle zu Rechenzentren durch Supabase/AWS
  • Zugangskontrolle durch Authentifizierung und Passwortrichtlinien
  • Zugriffskontrolle durch rollenbasierte Berechtigungen (Row Level Security)
  • Trennungskontrolle durch Multi-Tenant-Architektur
  • Dateien werden in zugriffsgeschützten Speicherbereichen verarbeitet und nur nach Authentifizierung sowie Berechtigungsprüfung bereitgestellt
  • Zusätzliche Datei- und Datenbanksicherungen werden nur in separaten EU-Speicherbereichen (AWS S3, Stockholm, eu-north-1) vorgehalten; Zugriff besteht nur für eng begrenzte Wiederherstellungs- und Administrationsprozesse
  • Bei aktivierter Banking-Integration werden Bankzugangs-, TAN- und sonstige SCA-Daten grundsätzlich nur im gehosteten Web-Formular des spezialisierten Banking-Dienstleisters bzw. bei der angebundenen Bank eingegeben; struct-i-vio speichert diese Zugangsdaten nicht als reguläre Produktdaten

Integrität

  • Weitergabekontrolle durch TLS-Verschlüsselung
  • Eingabekontrolle durch Audit-Logs

Verfügbarkeit und Belastbarkeit

  • Regelmäßige Backups mit Point-in-Time Recovery
  • Separates Dateibackup für hochgeladene Dateien in AWS S3 innerhalb der EU (Stockholm, eu-north-1)
  • Separates verschlüsseltes Datenbank-Backup in AWS S3 innerhalb der EU (Stockholm, eu-north-1)
  • Wiederherstellungs- und Redundanzmechanismen des eingesetzten Infrastrukturanbieters
  • Notfallpläne und Wiederherstellungsverfahren

Löschung und Wiederherstellung

  • Reguläre Löschvorgänge für Arbeitsunterlagen führen im Regelfall zunächst in einen Papierkorb und nicht sofort zu einer endgültigen Entfernung
  • Während der Papierkorbfrist können berechtigte Personen Dateien wiederherstellen
  • Die endgültige Entfernung aus dem Produktivbetrieb erfolgt regelmäßig erst nach bis zu 30 Tagen, sofern keine Wiederherstellung erfolgt und keine gesetzlichen Pflichten entgegenstehen
  • Bei Beendigung der optionalen Banking-Integration werden die zugehörigen Verbindungs- und Kontometadaten im laufenden Betrieb entfernt; bei Wegfall der letzten finAPI-Bankverbindung wird auch der zugehörige finAPI-Nutzer beim Unterauftragnehmer gelöscht, soweit keine technische oder gesetzliche Ausnahme entgegensteht
  • Bereits übernommene Buchungs- und Transaktionsdaten können weiter vorgehalten werden, soweit sie Bestandteil laufender Geschäftsprozesse oder gesetzlicher Aufbewahrungspflichten sind
  • Zusätzliche Sicherungskopien von Dateien können bis zu 12 Monate in einem separaten EU-Backupspeicher vorgehalten werden und werden nur für Wiederherstellungsfälle oder auf dokumentierte Anfrage genutzt
  • Verschlüsselte Sicherungskopien der Anwendungsdatenbank können bis zu 12 Monate in einem separaten EU-Backupspeicher vorgehalten werden und werden nur für Wiederherstellungs- oder Notfallzwecke verwendet

Regelmäßige Überprüfung

  • Regelmäßige Sicherheitsaudits
  • Überwachung und Monitoring
  • Penetrationstests bei wesentlichen Änderungen

§ 7 Unterauftragnehmer (Subprocessors)

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragnehmer zu:

UnternehmenZweckStandortDatenschutzgarantie
Supabase Inc.Datenbank, Auth, StorageFrankfurt (EU)DPA, EU SCCs
Amazon Web Services EMEA SARL (AWS)Separate Datei- und Datenbanksicherungen, Disaster Recovery, Wiederherstellung auf AnfrageEU (Stockholm, eu-north-1)DPA
finAPI GmbHOptionale Banking-Integration, gehostete Web-Formulare, Consent-Management sowie Abruf von Konto- und TransaktionsdatenDeutschland; weitere Verarbeitungsorte nach AnbieterunterlagenVertragliche Einbindung als Unterauftragnehmer; maßgeblich sind die jeweils aktuellen Anbieterunterlagen
Vercel Inc.Hosting, CDNEU EdgeDPA, DPF
Stripe Technology Europe, LimitedZahlungsabwicklung und Abo-VerwaltungEU (Irland)DPA, DPF
OpenAI Ireland LtdKI-Assistenzfunktionen (optional, nur bei aktiver Nutzung)EU (Irland) / USA (EU SCCs)DPA (Data Processing Addendum), EU SCCs

Änderungen werden dem Verantwortlichen vorab mitgeteilt und in der jeweils aktuellen Fassung dieses AV-Vertrags bzw. seiner Anlagen dokumentiert. Bei Einwänden besteht ein Sonderkündigungsrecht.

§ 8 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) durch Bereitstellung entsprechender Exportfunktionen und technischer Möglichkeiten.

§ 8a Besondere Hinweise zu KI-Funktionen (OpenAI)

Sofern der Verantwortliche die optionalen KI-Funktionen aktiviert, werden Daten an OpenAI Ireland Ltd als weiteren Unterauftragnehmer übermittelt. Dabei gilt:

  • OpenAI verwendet keine API-Daten für das Training von KI-Modellen.
  • Übermittelte Daten werden von OpenAI für max. 30 Tage gespeichert.
  • Der Umfang der übermittelten Daten entspricht dem Sichtbereich des jeweiligen Nutzers (rollenbasiert, durch RLS begrenzt).
  • Der Verantwortliche kann die KI-Funktion für seinen Tenant deaktivieren.
  • Jeder Nutzer muss vor der erstmaligen Nutzung der KI-Funktionen eine individuelle Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO erteilen. Ohne diese Einwilligung werden keine Daten an OpenAI übermittelt.
  • Die Einwilligung wird revisionssicher protokolliert (Zeitpunkt, Datenschutzhinweis-Version, Nutzer-ID) und kann jederzeit widerrufen werden.

Das Data Processing Addendum zwischen structivio und OpenAI Ireland Ltd (Stand: 24. Januar 2024) ist Bestandteil dieses AV-Vertrags als Anlage.

§ 9 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich nach Kenntniserlangung über Datenschutzverletzungen informieren und bei der Erfüllung der Meldepflichten gegenüber den zuständigen Behörden (Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO) unterstützen.

§ 10 Löschung und Rückgabe

Nach Beendigung der Auftragsverarbeitung wird der Auftragsverarbeiter:

  • auf Weisung des Verantwortlichen alle Daten exportieren und bereitstellen;
  • personenbezogene Daten aus gelöschten Benutzerkonten unverzüglich anonymisieren oder löschen und Zugänge entfernen;
  • tenant- und vertragsbezogene Daten mindestens für 10 Jahre vorhalten;
  • regulär innerhalb der Anwendung gelöschte Unterlagen nur dann endgültig aus dem Produktivbetrieb entfernen, wenn die jeweilige Papierkorb- und Wiederherstellungsfrist abgelaufen ist oder eine abweichende dokumentierte Weisung bzw. gesetzliche Pflicht besteht;
  • bei Beendigung der optionalen Banking-Integration die zugehörigen Verbindungs- und Kontometadaten im laufenden Betrieb entfernen und bei Wegfall der letzten finAPI-Bankverbindung auch den zugehörigen finAPI-Nutzer beim Unterauftragnehmer löschen, soweit keine technische oder gesetzliche Ausnahme entgegensteht;
  • bereits übernommene Buchungs- und Transaktionsdaten nur insoweit weiter vorhalten, wie diese bereits Bestandteil von Projekt-, Abrechnungs-, Export- oder steuerrechtlich relevanten Prozessen sind oder gesetzlichen Aufbewahrungspflichten unterliegen;
  • Sicherungskopien hochgeladener Dateien können in einem getrennten EU-Backupspeicher noch bis zu 12 Monate ausschließlich für Wiederherstellungs- oder Notfallzwecke vorgehalten und anschließend automatisiert gelöscht oder überschrieben werden;
  • verschlüsselte Sicherungskopien der Anwendungsdatenbank können in einem getrennten EU-Backupspeicher noch bis zu 12 Monate ausschließlich für Wiederherstellungs- oder Notfallzwecke vorgehalten und anschließend automatisiert gelöscht oder überschrieben werden;
  • gesetzlich aufbewahrungspflichtige Finanz- und Abrechnungsdaten nach den einschlägigen handels- und steuerrechtlichen Vorschriften (insbesondere HGB/AO) vollständig verfügbar halten;
  • auf Anfrage eine schriftliche Löschbestätigung ausstellen.

§ 11 Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung der vereinbarten Maßnahmen zu überprüfen. Der Auftragsverarbeiter stellt auf Anfrage entsprechende Nachweise zur Verfügung (z.B. Zertifikate, Audit-Berichte).

Kontakt

Für Fragen zum AV-Vertrag oder zur Vertragsunterzeichnung:
E-Mail: tigran.varazhian@struct-i-vio.com

Stand: 11. April 2026