SecureOffice
Zur Startseite

Auftragsverarbeitungsvereinbarung (AVV) / Data Processing Agreement (DPA)

Stand: 05.02.2026. Vorlage/Entwurf zur Einbindung in den Hauptvertrag/AGB (B2B). Bitte final juristisch prüfen.

Hinweis
Diese Seite dient als „Ausstellung“ der AVV/DPA. Du kannst sie jederzeit speichern oder über die Druckfunktion deines Browsers als PDF ablegen.
Parteien
zwischen
Innovatory GmbH, Tempowerkring 6, 21079 Hamburg, Deutschland – nachfolgend „Auftragnehmer“ –
und
dem Kunden gemäß Hauptvertrag / AGB – nachfolgend „Auftraggeber“.
1. Gegenstand und Dauer der Verarbeitung
(1) Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Zusammenhang mit der Nutzung der Software-as-a-Service-Lösung SecureOffice.
(2) Die Verarbeitung erfolgt für die Dauer des Hauptvertrags über die Nutzung von SecureOffice.
2. Art und Zweck der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der:
  • Analyse von Sicherheitskonfigurationen in Microsoft 365 Tenants
  • Auswertung von Protokoll- und Konfigurationsdaten
  • Bereitstellung von Analyseergebnissen, Berichten und Empfehlungen im SecureOffice-Dashboard
(2) Die Verarbeitung erfolgt ausschließlich lesend (read-only) auf Basis der vom Auftraggeber erteilten Berechtigungen.
3. Art der Daten und Kategorien betroffener Personen
(1) Art der verarbeiteten Daten (je nach Nutzung):
  • Benutzer- und Kontodaten (z. B. Anzeigenamen, User-IDs, Rollen)
  • Protokoll- und Metadaten (z. B. Login-Events, Konfigurationsstatus, Sicherheitsereignisse)
  • Technische Metadaten (z. B. Tenant-IDs, Zeitstempel, IP-Adressen, soweit enthalten)
(2) Kategorien betroffener Personen:
  • Mitarbeiter des Auftraggebers
  • Administratoren und Benutzer des Microsoft 365 Tenants
  • Ggf. weitere vom Auftraggeber verwaltete Nutzerkonten
4. Weisungsrecht des Auftraggebers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht.
(2) Weisungen ergeben sich aus dem Hauptvertrag, dieser AVV sowie aus Einzelweisungen in Textform.
5. Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich insbesondere:
  • personenbezogene Daten nur im Rahmen dieser AVV zu verarbeiten
  • die Vertraulichkeit der Daten zu wahren
  • geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO umzusetzen
  • sein Personal auf Vertraulichkeit zu verpflichten
  • den Auftraggeber bei der Wahrnehmung von Betroffenenrechten (Art. 12–22 DSGVO) zu unterstützen
  • den Auftraggeber bei Pflichten nach Art. 32–36 DSGVO zu unterstützen
  • personenbezogene Daten nach Beendigung des Vertrags nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht
6. Technische und organisatorische Maßnahmen (TOMs)
(1) Der Auftragnehmer setzt angemessene Maßnahmen gemäß Art. 32 DSGVO um, insbesondere Maßnahmen zur:
  • Zugriffskontrolle (z. B. Rollen- und Berechtigungskonzepte)
  • Zutrittskontrolle (z. B. Rechenzentrums-Sicherheit beim Hosting-Anbieter)
  • Weitergabekontrolle (z. B. Verschlüsselung bei Übertragung)
  • Eingabekontrolle (z. B. Protokollierung von Zugriffen)
  • Verfügbarkeitskontrolle (z. B. Backups, Redundanzen)
  • Trennungskontrolle (z. B. Mandantentrennung)
(2) Die jeweils aktuellen TOMs können in einer Anlage oder in der Sicherheitsdokumentation des Auftragnehmers beschrieben werden.
7. Unterauftragsverarbeiter (Subprozessoren)
(1) Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:
  • Amazon Web Services (AWS), Region Europa (EU) – Hosting und Infrastruktur
  • Stripe – Zahlungsabwicklung
  • Resend – E-Mail-Versand (z. B. System- und Benachrichtigungs-E-Mails)
(2) Der Auftragnehmer stellt sicher, dass mit allen Unterauftragsverarbeitern Verträge gemäß Art. 28 DSGVO abgeschlossen wurden.
(3) Der Auftragnehmer ist berechtigt, weitere Unterauftragsverarbeiter einzusetzen, sofern der Auftraggeber hierüber informiert wird.
8. Datenübermittlung in Drittländer
(1) Sofern Unterauftragsverarbeiter oder technische Dienstleister außerhalb der EU/des EWR eingesetzt werden, stellt der Auftragnehmer sicher, dass die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden, insbesondere durch Abschluss der EU-Standardvertragsklauseln (SCC) oder gleichwertige Garantien.
9. Meldung von Datenschutzvorfällen
(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
(2) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.
10. Kontrollrechte des Auftraggebers
(1) Der Auftraggeber ist berechtigt, die Einhaltung dieser AVV nach angemessener Vorankündigung zu überprüfen oder durch einen Prüfer überprüfen zu lassen.
(2) Der Auftragnehmer unterstützt solche Prüfungen in angemessenem Umfang.
11. Haftung
Es gelten die Haftungsregelungen des Hauptvertrags / der AGB. Diese AVV begründet keine darüber hinausgehende Haftung.
12. Schlussbestimmungen
(1) Diese AVV ist Bestandteil des Hauptvertrags über die Nutzung von SecureOffice.
(2) Es gilt deutsches Recht.
(3) Sollte eine Bestimmung dieser AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
🇬🇧 Data Processing Agreement (DPA) – SecureOffice
between
Innovatory GmbH, Tempowerkring 6, 21079 Hamburg, Germany – hereinafter “Processor” –
and
the customer under the main agreement – hereinafter “Controller”.
1. Subject Matter and Duration of Processing
(1) This Agreement governs the processing of personal data by the Processor on behalf of the Controller in connection with the use of the software-as-a-service solution SecureOffice.
(2) Processing shall be carried out for the duration of the main agreement.
2. Nature and Purpose of Processing
(1) The Processor processes personal data solely for the purpose of:
  • analyzing security configurations in Microsoft 365 tenants
  • evaluating log and configuration data
  • providing analysis results, reports and recommendations in the SecureOffice dashboard
(2) Processing is performed on a read-only basis within the permissions granted by the Controller.
3. Types of Data and Categories of Data Subjects
(1) Types of data processed (depending on usage):
  • user and account data (e.g. display names, user IDs, roles)
  • log and metadata (e.g. login events, configuration status, security events)
  • technical metadata (e.g. tenant IDs, timestamps, IP addresses, where included)
(2) Categories of data subjects:
  • employees of the Controller
  • administrators and users of the Microsoft 365 tenant
  • other user accounts managed by the Controller
4. Instructions of the Controller
(1) The Processor shall process personal data only on documented instructions of the Controller, unless required to do otherwise by law.
(2) Instructions result from the main agreement, this DPA and individual instructions in text form.
5. Obligations of the Processor
The Processor shall in particular:
  • process personal data only within the scope of this DPA
  • ensure confidentiality
  • implement appropriate technical and organizational measures (TOMs) pursuant to Art. 32 GDPR
  • ensure that personnel are bound to confidentiality
  • assist the Controller in fulfilling data subject rights (Art. 12–22 GDPR)
  • assist the Controller in complying with obligations under Art. 32–36 GDPR
  • delete or return personal data after termination of the contract, unless statutory retention obligations apply
6. Technical and Organizational Measures (TOMs)
(1) The Processor implements appropriate measures pursuant to Art. 32 GDPR, in particular measures relating to:
  • access control
  • physical access control
  • disclosure control
  • input control
  • availability control
  • separation control
(2) The current TOMs may be described in an annex or in the Processor’s security documentation.
7. Sub-processors
(1) The Processor uses the following sub-processors:
  • Amazon Web Services (AWS), EU region – hosting and infrastructure
  • Stripe – payment processing
  • Resend – email delivery (e.g. system and notification emails)
(2) The Processor ensures that data processing agreements pursuant to Art. 28 GDPR are concluded with all sub-processors.
(3) The Processor may engage additional sub-processors provided that the Controller is informed accordingly.
8. Transfers to Third Countries
(1) Where sub-processors or technical service providers are located outside the EU/EEA, the Processor shall ensure compliance with Art. 44 et seq. GDPR, in particular by using EU Standard Contractual Clauses (SCCs) or equivalent safeguards.
9. Personal Data Breaches
(1) The Processor shall inform the Controller without undue delay after becoming aware of a personal data breach.
(2) The Processor shall assist the Controller in fulfilling its obligations under Art. 33 and 34 GDPR.
10. Audit Rights
(1) The Controller is entitled to verify compliance with this DPA upon reasonable prior notice or have such verification carried out by an auditor.
(2) The Processor shall support such audits to a reasonable extent.
11. Liability
The liability provisions of the main agreement / Terms and Conditions shall apply. This DPA does not establish any additional liability.
12. Final Provisions
(1) This DPA forms an integral part of the main agreement for the use of SecureOffice.
(2) German law shall apply.
(3) If any provision of this DPA is invalid, the validity of the remaining provisions shall remain unaffected.
Impressum·Datenschutzerklärung·AGB·Nutzungsbedingungen