Auftragsdatenverarbeitung (DSGVO Art. 28)

Vertragsmuster für Business-Kunden — auf Anfrage als unterschriebenes PDF.

Stand: 2026-05-08

Diese Seite dokumentiert die wesentlichen Punkte des Auftragsverarbeitungsvertrags (AVV) gemäß Artikel 28 DSGVO, den OMNIKA mit Business-Kunden abschließt. Das vollständige PDF ist auf Anfrage über legal@omnika.team erhältlich. Solo- und Team-Kunden gilt diese Seite als Grundlage; ein separater AVV ist im Solo-/Team-Plan nicht erforderlich, da die Datenverarbeitung über die AGB + Datenschutzerklärung geregelt ist.

1. Auftragnehmer und Verantwortlicher

Auftragnehmer (Auftragsverarbeiter): OMNIKA UG (in Gründung), vertreten durch Sebastian Laborenz, Berlin, Deutschland.

Verantwortlicher: der jeweilige Workspace- Owner. Im Business-Plan ist dies typischerweise eine juristische Person (Steuerberater-Kanzlei, Agentur, KMU).

2. Gegenstand der Auftragsverarbeitung

OMNIKA verarbeitet im Auftrag des Verantwortlichen folgende Datenkategorien:

  • Konto-Stammdaten der Mitglieder (Name, E-Mail oder anonyme 8-stellige ID)
  • Kommunikations-Inhalte (Chat-Nachrichten, Datei-Uploads, Voice-Notizen). DMs, Gruppen- und Mandanten-Channels sind ende-zu-ende-verschlüsselt; OMNIKA kann den Inhalt nicht lesen.
  • Kalender-Daten (sofern Google-Calendar-Integration aktiv ist)
  • Vault-Inhalte (Markdown-Notizen, Anhänge)
  • Audit-Log (Wer-Tat-Was-Wann, 365 Tage Retention)

3. Dauer

Der AVV hat dieselbe Laufzeit wie der zugrundeliegende Hauptvertrag (Business-Subscription). Mit Beendigung der Subscription endet auch der AVV.

4. Technische und organisatorische Maßnahmen (TOMs)

  • Hosting: Hetzner Online GmbH, Falkenstein, Deutschland. ISO-27001-zertifiziert.
  • Verschlüsselung im Transit: TLS 1.3 mit HSTS-Header. Keine Mixed-Content-Pfade.
  • Verschlüsselung at-rest: SQLite-Datenbank auf Disk. DM/Gruppen/Mandanten-Channels zusätzlich E2EE via X25519 + Double-Ratchet + XChaCha20-Poly1305.
  • Passwort-Storage: Argon2id (128 MiB / 8 Iterationen). Industry-State-of-the-Art 2025.
  • Zugriffskontrolle: Better-Auth mit Cookie-basierter Session, 30 Tage Lebensdauer, Session- Revocation pro Device möglich.
  • Backups: tägliche SQLite-Snapshots, 7 Tage Retention, gleicher Hetzner-Standort.
  • Audit-Log: alle Schreibzugriffe mit Actor-ID + Aktion + Ziel + Zeitstempel werden protokolliert.
  • Personal: nur OMNIKA-Mitarbeiter mit Verpflichtung auf Datengeheimnis nach § 53 BDSG haben Server-Zugriff.

5. Sub-Auftragsverarbeiter

Folgende Sub-Auftragsverarbeiter sind eingebunden:

  • Hetzner Online GmbH (Falkenstein, DE) — Server-Hosting
  • Anthropic PBC (San Francisco, US) — KI- Antworten via Claude. Standard Contractual Clauses + EU- Routing aktiv.
  • Google LLC (Mountain View, US) — Gemini- Embeddings. SCC + EU-Routing.
  • Resend Inc. (San Francisco, US) — Trans- actional E-Mails. SCC + EU-Hosting (Frankfurt).

Eine vollständige aktuelle Liste mit DPA-PDFs der Sub- Auftragsverarbeiter ist auf Anfrage erhältlich.

6. Pflichten des Auftragsverarbeiters

  • Datenverarbeitung nur auf dokumentierte Weisung des Verantwortlichen
  • Verpflichtung der Mitarbeiter auf Vertraulichkeit
  • Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenen-Anfragen (Auskunft, Löschung, Datenübertragbarkeit)
  • Meldung von Datenschutzverletzungen innerhalb von 72 Stunden
  • Löschung oder Rückgabe der Daten nach Vertragsende

7. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung der TOMs und der Auftragsverarbeitungsvereinbarung beim Auftragsverarbeiter zu kontrollieren. Vor-Ort-Audits sind nach Voranmeldung mit 14 Tagen Vorlauf möglich; Auditkosten trägt der Verantwortliche sofern nicht ein Verstoß festgestellt wird.

8. Haftung

OMNIKA haftet gegenüber dem Verantwortlichen entsprechend der gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.