VERTRAUEN · DPA

Auftragsverarbeitungs-
vertrag (DPA).

Als Itamite-Kunde sind Sie Verantwortlicher (Controller) und wir sind Auftragsverarbeiter (Processor) gemäß DSGVO Art. 28. Hier erläutern wir den Standard-Auftragsverarbeitungsvertrag von Itrion: Rollen, gegenseitige Pflichten, Kundenrechte, Unterauftragsverarbeiter und internationale Transfers. Sofort unterschriftsbereit, ohne vorherige Verhandlung.

Preise ansehen DPA anfordern

Warum Sie mit uns einen DPA haben

Wenn Sie Itamite nutzen, übermitteln Sie uns personenbezogene Daten: Namen, E-Mails, IP-Adressen, Mitarbeiterkennungen, IKT-Aktivitätsprotokolle, Audit-Logs, potenzielle Inhalte von Remote-Sitzungen. DSGVO Art. 28 verlangt einen verbindlichen Vertrag mit dem Verantwortlichen, der Folgendes festlegt: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der personenbezogenen Daten und Kategorien der betroffenen Personen, Pflichten und Rechte des Verantwortlichen.

Unser Standard-DPA ist von Itrion vorunterzeichnet und steht Ihnen beim Onboarding als Business- oder Professional-Kunde zur elektronischen Signatur zur Verfügung. Für Enterprise: DPA mit zusätzlichen verhandelbaren Klauseln (Vor-Ort-Audit-Klausel, außerordentliches Inspektionsrecht, branchenspezifische Klauseln für regulierte Sektoren, erweiterte Aufbewahrung, verpflichtendes BYOK). Bearbeitungsdauer der juristischen Prüfung Enterprise: 1-3 Wochen.

Für die Vereinigten Staaten, das Vereinigte Königreich und andere Länder ohne Angemessenheitsbeschluss: Wir fügen automatisch die EU-Standardvertragsklauseln (SCC) Module 2 Controller-to-Processor + Anhang mit Transfer-Details + Transfer Impact Assessment (TIA) auf Anfrage hinzu. Keine SCC-Aufpreise. UK Addendum für UK-Kunden verfügbar.

DPA-INHALT

Was der DPA abdeckt

Rollen und Verantwortlichkeiten

Sie = Verantwortlicher (Controller), Sie bestimmen Zwecke und Mittel. Itrion = Auftragsverarbeiter (Processor), verarbeitet Daten ausschließlich gemäß Ihren dokumentierten Weisungen. Itrion verwendet Ihre Daten zu keinen anderen Zwecken (kein KI-Training, kein Cross-Marketing, keine verkaufsfähigen anonymen Aggregate).

Datenarten und Kategorien

Verarbeitete personenbezogene Daten: Namen, E-Mails, IP-Adressen, eindeutige Mitarbeiterkennungen, technische Endpoint-Daten (OS-Version, installierte Software, Hashes kritischer Dateien), Audit-Logs (technische Aktionen mit Zeitstempel). Besondere Kategorien (Art. 9): nur wenn Ihre Organisation sie in Notizen/Kommentaren eingibt — Itamite fordert sie nicht an.

Unterauftragsverarbeiter

Öffentliche Liste unter /sub-processors. Benachrichtigung 30 Tage vor jeder Hinzufügung/Änderung/Entfernung. Itrion haftet für die Handlungen seiner Unterauftragsverarbeiter wie für eigene. Vertrag nach Art. 28 mit jedem von ihnen unterzeichnet.

Internationale Transfers

Standardmäßig: 100% EU (Madrid + Frankfurt + Roubaix). Wenn Sie optionale Unterauftragsverarbeiter außerhalb der EU aktivieren (BYOK mit AWS US, Datacenter US): SCC Module 2 + TIA + ergänzende technische Maßnahmen (Verschlüsselung at rest + in transit + BYOK). UK Addendum für UK-Kunden. NZ-Angemessenheitsbeschluss gilt für SMTP2GO.

Kundenrechte

Recht auf jährliche kostenfreie Dokumentenprüfung. Recht auf Vor-Ort-Audit für Enterprise (Kosten gemäß Vertrag). Recht auf Erhalt einer Kopie der Folgenabschätzungen und Zertifizierungen. Recht auf vorzeitige Kündigung ohne Strafe, wenn wir einen Unterauftragsverarbeiter hinzufügen, den Sie nicht akzeptieren.

Laufzeit und Beendigung

DPA gültig, solange Sie einen aktiven Tenant haben. Nach Beendigung: 90 Tage Karenzzeit für Datenherunterladung. Danach: sichere Löschung NIST 800-88 mit verifizierbarem Zertifikat. Audit-Logs aufbewahrt gemäß Tenant-Richtlinie (standardmäßig 12 Monate, bis zu 10 Jahre Enterprise).

Zusätzliche Enterprise-Klauseln

Für Enterprise-Kunden: Vor-Ort-Audit-Klausel mit 30-tägiger Vorankündigung und Kosten gemäß Vertrag. Außerordentliche Inspektionsklausel ohne Vorankündigung bei bestätigtem Sicherheitsvorfall. Erweiterte Aufbewahrungsklausel bis zu 10 Jahre für regulierte Sektoren (Bank, Gesundheitswesen, öffentliche Verwaltung). Verpflichtendes BYOK (Itrion hat keinen Zugriff auf Verschlüsselungsschlüssel). Eingeschränkte geografische Standortklausel (Datacenter in einem bestimmten Land). Exit-Plan-Klausel mit verlängerter Frist und prüfbarem Exportformat. Zusätzlich für regulierte Sektoren: HIPAA BAA, falls Sie US-PHI verarbeiten. DORA Art. 30 Klauseln, falls Sie eine Finanzentität nach DORA sind. ENS Hohe Kategorie Klauseln für spanische Behörden. CCN-STIC 105 Anhang für Behörden mit klassifizierten Daten.

Standard-DPA vorunterzeichnet, bereit für elektronische Signatur
SCC Module 2 + automatisches TIA für Transfers außerhalb der EU
UK Addendum für UK-Kunden, kostenfrei
HIPAA BAA verfügbar für US-Gesundheitseinrichtungen
DORA Art. 30 + ENS Hoch + CCN-STIC 105 Klauseln für regulierte Sektoren

FAQ

Fragen zum DPA

Muss ich den DPA unterschreiben?

Ja, gemäß DSGVO ist er für alle Kunden (Business, Professional, Enterprise) verpflichtend. Ohne unterzeichneten DPA können wir den Service nicht erbringen. Für Business und Professional: Standard-DPA elektronisch beim Onboarding signiert. Für Enterprise: verhandelbarer DPA mit zusätzlichen Klauseln.

Kann ich den Standard-DPA ändern?

Für Business/Professional: nein. Der Standard-DPA enthält die für die DSGVO notwendigen und ausreichenden Klauseln. Änderungen erfordern juristische Verhandlungen, die nur für Enterprise möglich sind. Für Enterprise: ja, zusätzliche verhandelbare Klauseln mit Ihrem Rechtsteam.

Ist Itrion Verantwortlicher oder Auftragsverarbeiter?

Für Daten IHRER Mitarbeiter/Endpoints: Itrion ist Auftragsverarbeiter (Sie sind der Verantwortliche). Für Daten IHRES Unternehmens als Itamite-Kunde (Abrechnungsdaten, Geschäftskontakte): Itrion ist gemeinsam Verantwortlicher mit Ihnen (Joint Controllers gemäß DSGVO Art. 26 in einigen Fällen). Der DPA deckt beide Rollen ab.

Was passiert mit den Daten nach Vertragsende?

90 Tage Karenzzeit nach Beendigung für den Download via API. Nach 90 Tagen: sichere Löschung NIST 800-88 Purge mit verifizierbarem Zertifikat. Audit-Logs aufbewahrt gemäß konfigurierter Tenant-Richtlinie (standardmäßig 12 Monate, bis zu 10 Jahre Enterprise). Backups aus allen Datacentern nach 90 Tagen Karenzzeit gelöscht.

Standard-DPA anfordern

Wir senden Ihnen den Itamite-Itrion DPA v2.1 innerhalb von 24h. Verfügbar in Deutsch, Spanisch und Englisch.