Vertrag zur Auftragsverarbeitung (DPA) - DiffMon

Gültig ab: 2026-03-01

Diese DPA ist Bestandteil der Nutzungsbedingungen und gilt überall dort, wo der Auftragsverarbeiter im Zusammenhang mit dem Service personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Parteien

  1. Customer ("Verantwortlicher")
  2. Jaroslav Sůva, Reg.-Nr. (IČO): 71937501, Sitz: Ohnišťanská 84/2, 193 00 Praha, Tschechische Republik ("Auftragsverarbeiter")

1. Definitionen

"Personenbezogene Daten", "Verarbeitung", "Verantwortlicher", "Auftragsverarbeiter" und "Aufsichtsbehörde" haben die Bedeutung der DSGVO.

"Customer Content" bedeutet Monitoring-Konfigurationen, überwachte Ziele, Snapshots, Diffs und abgeleitete Metadaten.

2. Rollen

Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten innerhalb des Customer Content und der Kontoverwaltung.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch im Hinblick auf Übermittlungen, sofern nicht anwendbares Recht eine Verarbeitung verlangt. (DSGVO Art. 28 Abs. 3 lit. a))

3. Gegenstand, Dauer, Art und Zweck

Gegenstand: Bereitstellung von Website/API-Change-Monitoring, Speicherung von Snapshots und Diffs, Alert-Zustellung und operativem Support.

Dauer: Für die Laufzeit des Services zuzüglich der durch Plan und gesetzliche Pflichten definierten Aufbewahrungsfristen.

Art der Verarbeitung: Erhebung, Speicherung, Organisation, Abruf, Übermittlung (Benachrichtigungen), Löschung.

Zweck: Bereitstellung des Services, Gewährleistung der Sicherheit, Missbrauchsprävention, Zustellung von Benachrichtigungen und Kundensupport.

4. Kategorien von Daten und betroffenen Personen

Betroffene Personen: autorisierte Nutzer des Verantwortlichen sowie Personen, deren Daten in überwachten Inhalten erscheinen können, abhängig von den vom Verantwortlichen konfigurierten Zielen.

Kategorien personenbezogener Daten:

Besondere Kategorien (Art. 9): nicht beabsichtigt. Der Verantwortliche nutzt den Service nicht zur Verarbeitung besonderer Kategorien personenbezogener Daten, sofern dies nicht ausdrücklich schriftlich vereinbart wurde.

  • Kontodaten (E-Mail, Name sofern angegeben, Mitgliedschaft)
  • Technische Daten (IP-Adresse, Request-IDs, Logs)
  • Customer Content, der personenbezogene Daten enthalten kann (HTML/JSON-Snapshots, Diffs, URLs und Webhook-Endpunkte)

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter wird:

  • (a) personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
  • (b) sicherstellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
  • (c) geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Abschnitt 7 umsetzen.
  • (d) die Bedingungen für die Einbindung von Unterauftragsverarbeitern gemäß Abschnitt 12 einhalten.
  • (e) den Verantwortlichen bei Betroffenenanfragen, DPIAs und Konsultationen mit Aufsichtsbehörden unterstützen, soweit anwendbar.
  • (f) personenbezogene Daten bei Beendigung gemäß Abschnitt 10 löschen oder zurückgeben.
  • (g) Informationen bereitstellen, die zum Nachweis der Compliance erforderlich sind, und Audits gemäß Abschnitt 11 ermöglichen.

6. Pflichten des Verantwortlichen

Der Verantwortliche wird:

  • (a) eine Rechtsgrundlage für die Verarbeitung und das Monitoring der konfigurierten Ziele sicherstellen.
  • (b) dokumentierte Weisungen erteilen und sicherstellen, dass Konfigurationen keine Gesetze oder Rechte Dritter verletzen.
  • (c) den sicheren Zugang zu Konten aufrechterhalten und Workspace-Mitglieder angemessen verwalten.

7. Sicherheitsmaßnahmen (TOMs)

Der Auftragsverarbeiter setzt dem Risiko angemessene Maßnahmen um, insbesondere:

  • logische Tenant-Isolation (org/workspace-scoped access controls)
  • Verschlüsselung bei der Übertragung (TLS)
  • sicherer Umgang mit Secrets: API-Tokens werden als Hashes und nicht im Klartext gespeichert
  • sicherer Umgang mit Secrets: Webhook-Secrets werden je nach Mechanismus verschlüsselt und/oder gehasht gespeichert
  • SSRF- und Safe-Request-Schutz für ausgehende Requests (Monitor-Fetch und Webhook-Zustellung)
  • strikte Redaction von Authorization und anderen sensiblen Headern in Logs
  • Zugriffskontrollen für Produktionssysteme nach dem Least-Privilege-Prinzip
  • Backup- und Recovery-Verfahren einschließlich Zugriffsbeschränkungen, soweit von der Infrastruktur unterstützt
  • Incident-Response-Verfahren und Sicherheitsmonitoring

8. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter leistet angemessene Unterstützung, damit der Verantwortliche Anfragen zu Auskunft, Löschung, Berichtigung, Einschränkung oder Export personenbezogener Daten beantworten kann, soweit der Verantwortliche dies nicht über Self-Service im Service erledigen kann.

9. DPIAs und vorherige Konsultation

Der Auftragsverarbeiter stellt Informationen zur Verfügung, die vernünftigerweise erforderlich sind, damit der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen oder eine Aufsichtsbehörde konsultieren kann, beschränkt auf den Umfang des Services und vorbehaltlich Vertraulichkeit.

10. Löschung / Rückgabe

Bei Beendigung oder auf schriftliche Anweisung des Verantwortlichen wird der Auftragsverarbeiter personenbezogene Daten innerhalb einer angemessenen Frist löschen oder zurückgeben, vorbehaltlich:

  • planbasierter Aufbewahrung (Snapshots, Diffs, Payloads)
  • gesetzlicher Pflichten, zum Beispiel Abrechnungsunterlagen
  • Backups, die für einen begrenzten Zeitraum bestehen bleiben können und durch Zugriffskontrollen geschützt sind

11. Audits

Der Auftragsverarbeiter stellt Informationen bereit, die zum Nachweis der Einhaltung dieser DPA erforderlich sind. Audits dürfen höchstens [1] Mal pro Jahr mit angemessener Vorankündigung, während der Geschäftszeiten und unter Wahrung von Vertraulichkeit und Sicherheitsanforderungen durchgeführt werden.

12. Internationale Übermittlungen

Soweit Übermittlungen außerhalb der EU oder des EWR stattfinden, stützt sich der Auftragsverarbeiter auf geeignete Garantien wie Angemessenheitsbeschlüsse, das EU-US Data Privacy Framework, soweit anwendbar, und/oder Standardvertragsklauseln.

13. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die personenbezogene Daten des Verantwortlichen betrifft, und stellt verfügbare Informationen zur Unterstützung der Pflichten des Verantwortlichen bereit.

14. Vorrangregel

Im Falle eines Widerspruchs hat diese DPA hinsichtlich datenschutzrechtlicher Pflichten Vorrang vor den Nutzungsbedingungen.

ANLAGE A - DETAILS DER VERARBEITUNG

  • Service: DiffMon – Website/API Change Monitoring
  • Verarbeitungsvorgänge: fetch/collect → normalize → snapshot/diff → store → notify → audit/logging
  • Datenstandorte: EU (Frankfurt, Deutschland) – Anwendungshosting und primäre Datenbank. Objektspeicher und E-Mail-Zustellung können je nach Anbieterkonfiguration EU- oder US-Regionen nutzen.
  • Aufbewahrung: Free-Plan – 3 Tage (Snapshots, Diffs, Payloads). Hobby-Plan – 30 Tage. Pro-Plan – 180 Tage. Business/Enterprise – individuell. Nach Ablauf werden Payloads gelöscht; Metadaten können zur operativen Integrität erhalten bleiben. Audit-Logs werden langfristig aufbewahrt.

ANLAGE B - UNTERAUFTRAGSVERARBEITER

  • Render – Anwendungshosting und Hintergrund-Worker (EU Frankfurt)
  • PostgreSQL-Anbieter (z. B. Neon / Railway) – primäre Datenbank (EU)
  • Redis-Anbieter – Session-Management, Caching, Rate Limiting, Aufgabenwarteschlange (EU)
  • AWS S3 oder S3-kompatibler Speicher – Snapshot-Payload-Speicher (EU, konfigurierbar)
  • Resend / SendGrid – transaktionale E-Mail-Zustellung (US/EU)
  • Stripe – Abonnement-Abrechnung und Zahlungsverarbeitung (US/EU)
  • Google Analytics – Webanalyse (US, einwilligungsbasiert)

ANLAGE C - TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

  • Logische Tenant-Isolation: Datenzugriff ist auf Organisations-/Workspace-ID beschränkt
  • Verschlüsselung bei der Übertragung: TLS für alle Verbindungen (Anwendung, Datenbank, API, Webhooks)
  • API-Token-Sicherheit: Tokens werden als irreversible Hashes (SHA-256) gespeichert, niemals im Klartext
  • Webhook-Secret-Sicherheit: Signatur-Secrets werden verschlüsselt oder gehasht gespeichert
  • SSRF- und Safe-Request-Schutz: ausgehende Anfragen (Monitor-Fetch und Webhook-Zustellung) werden gegen interne/private IP-Bereiche validiert
  • Log-Redaction: Authorization-Header, Bearer-Tokens, API-Schlüssel und sensible Werte werden automatisch in Anwendungslogs redaktiert
  • Zugriffskontrollen: Produktionssysteme folgen dem Least-Privilege-Prinzip
  • Rate Limiting: API- und Authentifizierungs-Endpunkte sind gegen Missbrauch beschränkt
  • Session-Management: Sessions sind zeitlich begrenzt mit sicherem Token-Hashing
  • Backup und Recovery: Datenbank-Backups mit Zugriffsbeschränkungen gemäß Infrastrukturanbieter
  • Incident Response: Sicherheitsüberwachung und Verfahren zur Vorfallreaktion