Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO zwischen dem Kunden (nachfolgend „Verantwortlicher" oder „Auftraggeber") und Wolf-Agents, Inhaber Eduard Wolf, Vorderhainberg 21, 94496 Ortenburg, Deutschland (nachfolgend „Auftragsverarbeiter" oder „Auftragnehmer"). Der AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (/legal/agb) und wird mit Annahme derselben gemäß Art. 28 Abs. 9 DSGVO wirksam.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der Wolf-Agents Security-Plattform (nachfolgend „Plattform") gemäß dem zwischen den Parteien geschlossenen Hauptvertrag (Allgemeine Geschäftsbedingungen, abrufbar unter wolf-agents.com/legal/agb).
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags. Der AVV endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten aus § 10 dieses AVV.
(3) Der Auftragnehmer verarbeitet personenbezogene Daten im Gebiet der Europäischen Union. Die Server-Infrastruktur befindet sich in Deutschland (Hetzner Online GmbH, Falkenstein/Gunzenhausen) und Frankreich (Scaleway SAS, Paris). Weitere EU-Verarbeitung erfolgt über BunnyWay d.o.o. (Slowenien) und netcup GmbH (Deutschland). Eine Verarbeitung außerhalb der EU findet nur im Rahmen der in § 7 genannten Sub-Auftragsverarbeiter statt.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung folgender Leistungen:
- Security-Scans und Analysen: Durchführung automatisierter Web-, E-Mail- und API-Security-Checks auf Domains und Systemen des Auftraggebers. Dabei werden DNS-Abfragen, HTTP-Header-Analysen, SSL/TLS-Prüfungen, SMTP-Verbindungstests und API-Sicherheitstests durchgeführt.
- Monitoring: Automatisierte Überwachung der vom Auftraggeber hinterlegten Domains auf Sicherheitsänderungen, einschließlich Web-Security-Monitoring, E-Mail-Security-Monitoring, DNS-Infrastructure-Monitoring, Blacklist/DNSBL-Monitoring, Attack-Surface-Monitoring (CT-Log-Discovery) und Uptime-Monitoring.
- Dashboard und Reporting: Bereitstellung einer webbasierten Oberfläche zur Einsicht in Scan-Ergebnisse, Monitoring-Daten, Security-Scores, Trend-Analysen und Vergleichswerte. Erstellung von PDF- und CSV-Exporten.
- Team- und Workspace-Verwaltung: Verwaltung von Organisationen, Workspaces, Einladungen, rollenbasierter Zugriffskontrolle und Multi-Tenancy-Funktionen.
- Benachrichtigungen: Versand von Alert-E-Mails bei sicherheitsrelevanten Änderungen, Digest-E-Mails und Systemnachrichten.
- Zahlungsabwicklung: Weiterleitung an den Zahlungsdienstleister Stripe zur Abrechnung kostenpflichtiger Abonnements.
(2) Die Art der Verarbeitung umfasst: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung (an Sub-Auftragsverarbeiter gemäß § 7), Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten.
§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen
(1) Arten der verarbeiteten personenbezogenen Daten:
- Bestandsdaten: Name, E-Mail-Adresse, Firmenname, USt-IdNr., Rechnungsadresse
- Authentifizierungsdaten: Passwort-Hash (bcrypt), Session-Token, Geräteinformationen
- Nutzungsdaten: IP-Adresse, Browser-Informationen, Zeitstempel, aufgerufene Seiten
- Scan-Daten: Domain-Namen, IP-Adressen gescannter Server, SSL-Zertifikatsinformationen, DNS-Records, HTTP-Header, Security-Scores
- Monitoring-Daten: Historische Scan-Ergebnisse, Uptime-Status, Blacklist-Status, CT-Log-Discoveries
- Kommunikationsdaten: E-Mail-Adressen für Alerts, Nachrichteninhalte bei Kontakt
- Zahlungsreferenzdaten: Stripe-Kunden-ID, Abonnement-ID (keine Zahlungsdaten wie Kreditkartennummern)
- Audit-Daten: Benutzer-ID, Aktion, Zeitstempel, betroffene Ressource
(2) Kategorien betroffener Personen:
- Mitarbeiter und Beauftragte des Auftraggebers, die die Plattform nutzen (Account-Inhaber, Team-Mitglieder, Workspace-Gäste)
- Ansprechpartner und Administratoren der vom Auftraggeber verwalteten Domains
- Technische Ansprechpartner, deren Daten in SSL-Zertifikaten oder DNS-Records der gescannten Domains enthalten sind (mittelbar betroffen, öffentlich zugängliche Daten)
§ 4 Pflichten und Rechte des Verantwortlichen
(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
(2) Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform (E-Mail genügt) zu bestätigen.
(3) Der Auftraggeber stellt sicher, dass er zur Verarbeitung der übermittelten personenbezogenen Daten berechtigt ist und die betroffenen Personen in angemessener Weise informiert hat.
(4) Der Auftraggeber stellt sicher, dass er ausschließlich Domains und Systeme scannen und überwachen lässt, deren Inhaber er ist oder für deren Analyse er eine ausdrückliche Berechtigung des Inhabers besitzt (vgl. § 6 Abs. 4 AGB).
(5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
§ 5 Weisungsgebundenheit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Die Weisungen des Auftraggebers sind in diesem AVV festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform (E-Mail an info@wolf-agents.com) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform bestätigen.
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
(4) Die Nutzung der Plattform durch den Auftraggeber (Hinzufügen von Domains, Starten von Scans, Konfigurieren von Monitoring, Einladen von Team-Mitgliedern, Erstellen von Workspaces) stellt jeweils eine dokumentierte Weisung im Sinne dieses AVV dar.
§ 6 Vertraulichkeit
(1) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Der Auftragnehmer gewährleistet, dass der Zugang zu personenbezogenen Daten im Rahmen der Auftragsverarbeitung nur solchen Personen gewährt wird, die diesen zur Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip).
(3) Die Vertraulichkeitspflicht besteht auch nach Beendigung dieses AVV fort.
§ 7 Sub-Auftragsverarbeiter
(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine schriftliche Genehmigung zum Einsatz der in Anhang 2 aufgeführten Sub-Auftragsverarbeiter.
(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern mit einer Vorlaufzeit von mindestens 30 Tagen. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben. Der Einspruch ist innerhalb von 14 Tagen nach Zugang der Information in Textform (E-Mail genügt) an den Auftragnehmer zu richten.
(3) Erhebt der Auftraggeber Einspruch gegen einen neuen Sub-Auftragsverarbeiter, werden die Parteien in gutem Glauben versuchen, eine für beide Seiten annehmbare Lösung zu finden. Kann keine Einigung erzielt werden, steht dem Auftraggeber ein Sonderkündigungsrecht für den Hauptvertrag zu.
(4) Der Auftragnehmer schließt mit jedem Sub-Auftragsverarbeiter einen Vertrag, der diesem im Wesentlichen die gleichen Datenschutzpflichten auferlegt wie die in diesem AVV festgelegten. Der Auftragnehmer stellt sicher, dass der Sub-Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.
(5) Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch die Sub-Auftragsverarbeiter.
(6) Die aktuelle Liste der Sub-Auftragsverarbeiter ist in Anhang 2 zu diesem AVV aufgeführt und zusätzlich dauerhaft unter wolf-agents.com/legal/subauftragsverarbeiter abrufbar.
§ 8 Technische und organisatorische Maßnahmen
(1) Der Auftragnehmer trifft vor Beginn der Verarbeitung die in Anhang 1 aufgeführten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer darf alternative adäquate Maßnahmen umsetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird.
(2) Der Auftragnehmer überwacht die Einhaltung der technischen und organisatorischen Maßnahmen regelmäßig und passt diese bei Bedarf an.
§ 9 Unterstützung des Verantwortlichen
(1) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung folgender Pflichten:
- Betroffenenrechte (Art. 15–22 DSGVO): Der Auftragnehmer unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Beantwortung von Anträgen betroffener Personen. Die Plattform bietet dem Auftraggeber Selbstbedienungsfunktionen für Datenexport (JSON), Datenberichtigung und Account-Löschung.
- Sicherheit der Verarbeitung (Art. 32 DSGVO): Durch Umsetzung der in Anhang 1 beschriebenen Maßnahmen.
- Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO): Der Auftragnehmer meldet dem Auftraggeber eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und Personen, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen.
- Datenschutz-Folgenabschätzung (Art. 35, 36 DSGVO): Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung, soweit dies erforderlich ist.
(2) Der Auftragnehmer kann für die Unterstützungsleistungen eine angemessene Vergütung verlangen, soweit diese über die vertraglichen Pflichten hinausgehen und einen erheblichen Aufwand verursachen. Die Vergütung wird vorab mit dem Auftraggeber abgestimmt.
§ 10 Löschung und Rückgabe nach Vertragsende
(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 90 Tagen, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
(2) Der Auftraggeber kann innerhalb der 90-Tage-Frist nach Vertragsende einen Export seiner Daten anfordern. Der Export erfolgt in einem maschinenlesbaren Format (JSON). Alternativ kann der Auftraggeber den Datenexport vor Vertragsende selbstständig über die Plattform durchführen (Dashboard > Einstellungen > Gefahrenzone > Meine Daten exportieren).
(3) Der Auftragnehmer bestätigt dem Auftraggeber auf Anfrage die vollständige Löschung der Daten in Textform.
(4) Von der Löschung ausgenommen sind:
- Anonymisierte Audit-Log-Einträge (Benutzer-ID auf NULL gesetzt), die aufgrund gesetzlicher Verpflichtungen (NIS2 / § 38 BSI-Gesetz) aufbewahrt werden müssen. Diese enthalten nach der Anonymisierung keine personenbezogenen Daten mehr.
- Rechnungsdaten, die aufgrund steuerrechtlicher Aufbewahrungspflichten (§ 147 AO, § 14b UStG) für 10 Jahre aufbewahrt werden müssen. Nach Ablauf der Aufbewahrungsfrist werden diese Daten gelöscht.
- Geschäftliche E-Mail-Korrespondenz, die steuerrechtlichen Aufbewahrungspflichten unterliegt.
§ 11 Kontrollrechte und Audit
(1) Der Auftraggeber hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden.
(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls eine Weisung nach seiner Auffassung gegen Datenschutzvorschriften verstößt.
(3) Der Auftraggeber kündigt Überprüfungen mit einer Frist von mindestens 14 Tagen an. Der Auftragnehmer kann verlangen, dass Überprüfungen während der üblichen Geschäftszeiten stattfinden und den laufenden Betrieb nicht unangemessen beeinträchtigen.
(4) Die Kosten einer Überprüfung trägt der Auftraggeber, es sei denn, die Überprüfung ergibt Verstöße des Auftragnehmers gegen diesen AVV.
(5) Der Auftragnehmer kann alternativ ein aktuelles Testat, eine aktuelle Zertifizierung oder einen Auditbericht eines unabhängigen Dritten als Nachweis der Einhaltung der Maßnahmen vorlegen.
§ 12 Haftung
(1) Die Haftung der Parteien richtet sich nach den Regelungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Haftungsbestimmungen des Hauptvertrags (§ 7 AGB).
(2) Der Auftragnehmer haftet gegenüber dem Auftraggeber für Schäden, die durch eine nicht der DSGVO oder diesem AVV entsprechende Verarbeitung verursacht werden.
§ 13 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil des Hauptvertrags (AGB). Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB). E-Mail genügt.
(3) Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Passau (vgl. § 10 Abs. 2 AGB).
(5) Die Vertragssprache ist Deutsch.
Anhang 1: Technische und organisatorische Maßnahmen (TOMs)
Gemäß Art. 32 DSGVO trifft der Auftragnehmer folgende konkrete Maßnahmen:
1. Zutrittskontrolle (physisch)
| Maßnahme | Umsetzung |
|---|---|
| Server-Standort | Hetzner Online GmbH, Rechenzentren Falkenstein/Gunzenhausen, Deutschland. ISO 27001-zertifiziert. Zutritt nur für autorisiertes Personal mit biometrischer Kontrolle, Videoüberwachung 24/7, Sicherheitsschleusen |
| Fallback-Server | netcup GmbH, Rechenzentrum Nürnberg, Deutschland. ISO 27001-zertifiziert |
| Offsite-Backup | Hetzner Storage Box BX11, Falkenstein, Deutschland |
| Kein eigenes Rechenzentrum | Der Auftragnehmer betreibt kein eigenes Rechenzentrum. Physische Zutrittskontrolle wird durch die Rechenzentrumsbetreiber sichergestellt |
2. Zugangskontrolle (logisch)
| Maßnahme | Umsetzung |
|---|---|
| SSH-Zugang | Ausschließlich Key-basierte Authentifizierung. Passwort-Login deaktiviert. Root-Login deaktiviert |
| Firewall | iptables/nftables mit Allowlist-Prinzip. Nur erforderliche Ports geöffnet (80, 443, SSH auf individuellem Port) |
| Datenbank-Zugang | PostgreSQL 16 mit Password-Auth, Zugang nur über localhost/PgBouncer (Port 6432). Kein externer DB-Zugang. Separate DB-User mit minimalen Berechtigungen (GRANT-basiert) |
| Redis-Zugang | Redis 7.x mit Password-Auth auf Port 6380 (kein Standard-Port). Zugang nur über localhost |
| Admin-Zugang | Kein öffentliches Admin-Panel. Server-Verwaltung ausschließlich über SSH |
3. Zugriffskontrolle (Berechtigungen)
| Maßnahme | Umsetzung |
|---|---|
| Rollenbasierte Zugriffskontrolle (RBAC) | Rollen auf Organisations-Ebene (org_admin, org_member) und Workspace-Ebene (workspace_admin, workspace_member, workspace_viewer) mit abgestuften Berechtigungen. Implementiert auf Datenbank- und API-Ebene |
| Multi-Tenancy | Strikte Datentrennung zwischen Organisationen und Workspaces auf Datenbank-Ebene. Jede Abfrage wird organisationsgefiltert |
| Need-to-know | Zugriff auf Kundendaten nur für den Auftragnehmer als Einzelunternehmer (kein weiteres Personal). Kein geteilter Zugang |
| Session-Management | 24h Session-Expiry, automatische Erneuerung nach 4h Aktivität. Sessions an IP und User-Agent gebunden |
4. Weitergabekontrolle (Transport)
| Maßnahme | Umsetzung |
|---|---|
| Transportverschlüsselung | TLS 1.3 für alle öffentlichen Verbindungen. HSTS mit includeSubDomains und preload. TLS 1.0/1.1 deaktiviert |
| Interne Kommunikation | Datenbank- und Redis-Verbindungen über localhost (kein Netzwerktransport) |
| E-Mail-Transport | TLS-verschlüsselter Versand über Scaleway TEM. E-Mail-Postfächer bei Tuta mit Ende-zu-Ende-Verschlüsselung |
| Backup-Transfer | Verschlüsselter Transfer zu Hetzner Storage Box über SFTP/rsync mit SSH |
| CDN | Bunny.net mit TLS-Terminierung an EU-Edge-Servern |
5. Eingabekontrolle (Nachvollziehbarkeit)
| Maßnahme | Umsetzung |
|---|---|
| Audit-Log | Protokollierung aller sicherheitsrelevanten Aktionen: Login, Passwortänderung, Domain-Änderungen, Account-Löschung, Team-/Workspace-Änderungen. Unveränderbar (append-only) |
| Strukturiertes Logging | Alle Server-Prozesse mit strukturiertem Logging (Zeitstempel, Aktion, Ergebnis). PII-Sanitizing vor dem Logging |
| Versionskontrolle | Gesamter Quellcode in Git (GitHub). Alle Änderungen nachvollziehbar |
| Deploy-History | GitHub Actions mit vollständiger Build- und Deploy-Historie |
6. Verfügbarkeitskontrolle
| Maßnahme | Umsetzung |
|---|---|
| Backup-Strategie | Täglich 03:00 UTC: PostgreSQL pg_dump + Redis BGSAVE. 14 Tage lokal, 30 Tage Offsite (Hetzner Storage Box, Falkenstein). Weekly Config-Backups (Sonntag 04:00, 60 Tage Offsite) |
| Backup-Validierung | Min-Size-Validierung aller Backups. Heartbeat-File. Failure-Alerting per E-Mail |
| Hochverfügbarkeit | PM2 Cluster-Modus (2 Instanzen) mit Zero-Downtime-Deployment (Rolling Restart). Scanner-Fallback (Hetzner + Netcup) |
| Health-Monitoring | /api/health Endpoint, Cron-Heartbeat alle 10 Minuten (Netcup → Hetzner), Alerting per E-Mail |
| DDoS-Schutz | Bunny.net CDN mit DDoS-Mitigation. Rate-Limiting auf Applikationsebene (Redis-basiert) |
| USV/Notstrom | Durch Rechenzentren sichergestellt (Hetzner: redundante Stromversorgung, Diesel-Generatoren) |
7. Trennungskontrolle
| Maßnahme | Umsetzung |
|---|---|
| Mandantentrennung | Multi-Tenancy mit strikter Organization- und Workspace-basierter Datentrennung in PostgreSQL. Jede Abfrage beinhaltet Organization-ID-Filter |
| Umgebungstrennung | Getrennte Produktions- und Entwicklungsumgebung. Keine Kundendaten in Entwicklungsumgebungen |
| Datenbank-Schemas | Logische Trennung durch Organization-IDs, Workspace-IDs, User-IDs und Domain-IDs mit Foreign-Key-Constraints |
| Zweckbindung | Scan-Daten, Monitoring-Daten, Account-Daten und Zahlungsdaten in getrennten Tabellen mit unterschiedlichen Aufbewahrungsfristen |
8. Verschlüsselung
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung at rest | PostgreSQL auf verschlüsseltem Dateisystem. Sensible Felder (E-Mail-Gate) zusätzlich AES-256-GCM verschlüsselt |
| Verschlüsselung in transit | TLS 1.3 für alle externen Verbindungen |
| Passwort-Hashing | bcrypt mit angemessenem Cost-Factor |
| Token/Secrets | Kryptographisch sichere Zufallswerte. HMAC-Validierung für Einladungs- und Verifizierungs-Token |
9. Belastbarkeit und Wiederherstellbarkeit
| Maßnahme | Umsetzung |
|---|---|
| Wiederherstellungszeit | Recovery Point Objective (RPO): 24 Stunden (tägliches Backup). Recovery Time Objective (RTO): < 4 Stunden |
| Disaster Recovery | Dokumentierter DR-Prozess. deploy.sh deployed alle Backup-Scripts bei DR. Offsite-Backups auf separatem Storage |
| Integritätsprüfung | Backup-Validierung mit Min-Size-Checks. BGSAVE Race-Condition-Fix für Redis |
10. Datenschutz-Management
| Maßnahme | Umsetzung |
|---|---|
| Datenschutzerklärung | Umfassende DSE unter wolf-agents.com/datenschutz (21+ Sektionen, Stand: April 2026) |
| Löschkonzept | Automatisierte Löschung abgelaufener Sessions, Verifizierungscodes, Einladungen und Caches. Account-Löschung über Dashboard. Monitoring-Daten: 90 Tage Rolling Retention |
| Incident Response | 24h Early-Warning, 72h Incident-Report (NIS2-konform). Benachrichtigung des Auftraggebers innerhalb von 24h |
| Runtime-Validierung | Zod-Schema-Validierung für API-Endpoint-Eingabedaten |
| Rate-Limiting | Redis-basiertes Rate-Limiting auf allen API-Endpoints. IP-basiert und Account-basiert |
Anhang 2: Sub-Auftragsverarbeiter
Folgende Sub-Auftragsverarbeiter sind vom Auftraggeber gemäß § 7 Abs. 1 genehmigt (Stand: 18. April 2026). Die vollständige Sub-Auftragsverarbeiter-Liste mit Detailangaben ist zusätzlich als eigenständige Seite abrufbar.
| Nr. | Anbieter | Zweck | Standort | Garantie |
|---|---|---|---|---|
| 1 | Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, DE | Server-Hosting (Website, wolf-scanner, PostgreSQL, Redis, Backups) | Falkenstein u. Gunzenhausen, Deutschland | AVV, ISO 27001 |
| 2 | netcup GmbH, Daimlerstr. 25, 76185 Karlsruhe, DE | SMTP-API (E-Mail Security Scanner), wolf-scanner Fallback, KV-API | Nürnberg, Deutschland | AVV |
| 3 | Scaleway SAS, 8 rue de la Ville l'Évêque, 75008 Paris, FR | Transaktions-E-Mail-Versand (TEM) | Paris, Frankreich (EU) | AVV |
| 4 | BunnyWay d.o.o. (Bunny.net), Cesta komandanta Staneta 4A, 1215 Medvode, SI | CDN, DNS | EU-Edge-Server, Slowenien (EU) | AVV |
| 5 | Tutao GmbH (Tuta), Deisterstr. 17a, 30449 Hannover, DE | E-Mail-Hosting (Postfächer) | Hannover, Deutschland | AVV, E2E-Verschlüsselung |
| 6 | ZeroBounce Ltd., 44 Broadway, London E15 1XH, UK | E-Mail-Validierung | EU-Endpoint (Frankfurt). UK = Drittland | AVV, EU-SCC, UK Adequacy Decision |
| 7 | Stripe Payments Europe Ltd. / Stripe, Inc. (LLC), Dublin D02 H210, IE / South San Francisco, CA, USA | Zahlungsabwicklung (Checkout, Subscriptions, Webhooks, Customer Portal) | Dublin, Irland (EU). Übermittlung USA möglich | AVV, EU-US DPF, SCCs als Backup |
| 8 | Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, CY | Domain-Registrierung | Zypern (EU) | AVV, EU-SCC |
Änderungsverfahren: Der Auftraggeber wird über Änderungen an dieser Liste per E-Mail mit einer Vorlaufzeit von mindestens 30 Tagen informiert. Es gilt das Einspruchsverfahren nach § 7 Abs. 2–3 dieses AVV (14 Tage Widerspruchsrecht in Textform).
→ Vollständige Sub-Processor-Liste mit Detailangaben
Version 1.0 — Stand: 18. April 2026