Harbinger ExplorerHarbinger Explorer

Auftragsverarbeitungsvertrag (AVV)

DSGVO Art. 28 — zwischen Harbinger Explorer (Auftragsverarbeiter) und dem Kunden (Verantwortlicher). Dies ist die kunden-unterzeichenbare Vorlage; eine Prüfung durch Legal Counsel ist vor der Gegenzeichnung erforderlich.

Version 1.0Wirksam ab 2026-04-17Trust-Hub

Statushinweis. Diese Vorlage stellt den vertraglichen Rahmen dar, den Harbinger Explorer jedem zahlenden Kunden anbietet. Für die Ausführung kann unter dpa@harbingerexplorer.com ein gegengezeichnetes PDF angefordert werden. Abweichungen außerhalb des vereinbarten Auftragsformulars bedürfen der schriftlichen Zustimmung von Marc Cherier.

1. Parteien und Vertragsgegenstand

Dieser Auftragsverarbeitungsvertrag (der "AVV") ist Bestandteil des Auftragsformulars bzw. Abonnement-Vertrags (der "Hauptvertrag") zwischen Marc Cherier (Einzelunternehmer), Massower Straße 13, 10315 Berlin ("Auftragsverarbeiter", "wir") und dem im Hauptvertrag bezeichneten Kunden ("Verantwortlicher", "Sie").

Er setzt die Anforderungen aus Artikel 28 der Verordnung (EU) 2016/679 ("DSGVO") für jede Verarbeitung personenbezogener Daten um, die der Auftragsverarbeiter im Rahmen der Bereitstellung des Dienstes Harbinger Explorer (der "Dienst") im Auftrag des Verantwortlichen vornimmt.

2. Definitionen

Hier nicht definierte Großschreibungen tragen die Bedeutung der DSGVO. "Personenbezogene Daten", "Betroffene Person", "Verarbeitung", "Verantwortlicher", "Auftragsverarbeiter" und "Sub-Auftragsverarbeiter" werden im Sinne der DSGVO verwendet. "Kundendaten" meint alle Daten, die der Verantwortliche oder seine berechtigten Nutzer in den Dienst hochladen oder darin erzeugen.

3. Umfang, Art und Zweck der Verarbeitung

PunktSpezifikation
VertragsgegenstandBereitstellung des Dienstes Harbinger Explorer (Datenexploration, agentenbasierte Analyse, Governance)
DauerDie Abonnement-Laufzeit zuzüglich der Lösch- und Aufbewahrungsfristen in §10
Art und ZweckSpeicherung, Transformation, Schema-Inferenz, KI-basierte Analyse auf pseudonymisierten Auszügen
Kategorien personenbezogener DatenKonto-Identifikatoren (E-Mail, Name); Abrechnungsdaten; Nutzungs-Telemetrie; vom Verantwortlichen hochgeladene Daten (können personenbezogene Daten von Betroffenen des Verantwortlichen enthalten); Support-Korrespondenz
Kategorien betroffener PersonenBerechtigte Nutzer des Verantwortlichen; Kunden, Mitarbeiter, Interessenten des Verantwortlichen (soweit deren Daten hochgeladen werden)

4. Pflichten und Weisungen des Verantwortlichen

4.1 Der Verantwortliche garantiert, dass er für jede angewiesene Verarbeitung über eine Rechtsgrundlage nach DSGVO Art. 6 (und ggf. Art. 9) verfügt.

4.2 Die vollständigen und abschließenden Weisungen des Verantwortlichen sind: (a) der Hauptvertrag, (b) dieser AVV und (c) die Konfiguration, die der Verantwortliche über die Service-Oberfläche wählt (Governance-Tags, Aufbewahrungs-Einstellungen, Exporte). Weitere Weisungen sind schriftlich an dpa@harbingerexplorer.com zu richten.

4.3 Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich und kann die betroffene Verarbeitung aussetzen.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter wird:

  • 5.1 personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten;
  • 5.2 sicherstellen, dass zur Verarbeitung befugtes Personal zur Vertraulichkeit verpflichtet ist;
  • 5.3 die in der Sicherheitsanlage (siehe /trust/security) aufgeführten technischen und organisatorischen Maßnahmen umsetzen;
  • 5.4 Sub-Auftragsverarbeiter ausschließlich gemäß §6 einbinden;
  • 5.5 den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten (Art. 12-23 DSGVO), DSFA (Art. 35) und Konsultationen mit Aufsichtsbehörden (Art. 36) durch die in §7 genannten technischen Mittel unterstützen;
  • 5.6 den Verantwortlichen über jede Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme informieren (siehe §8);
  • 5.7 sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen bei Beendigung löschen oder zurückgeben (siehe §10);
  • 5.8 dem Verantwortlichen alle zur Demonstration der Einhaltung von Art. 28 erforderlichen Informationen zur Verfügung stellen (siehe §9 — Audits).

6. Sub-Auftragsverarbeiter

6.1 Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Einbindung von Sub-Auftragsverarbeitern. Die jeweils aktuelle Liste ist unter https://www.harbingerexplorer.com/trust/subprocessors veröffentlicht und stellt die einzige autoritative Quelle dar.

6.2 Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Hinzufügungen oder Ersetzungen mindestens 30 Tage im Voraus informieren, indem er die Änderung in der Sub-Auftragsverarbeiter-Liste sowie im RSS-Feed unter /trust/subprocessors/feed.xml veröffentlicht. Der Verantwortliche kann diesen Feed abonnieren; die Veröffentlichung gilt als Mitteilung im Sinne dieser Klausel.

6.3 Der Verantwortliche kann einem neuen Sub-Auftragsverarbeiter aus berechtigten datenschutzrechtlichen Gründen innerhalb der 30-tägigen Frist per E-Mail an dpa@harbingerexplorer.com widersprechen. Kann der Auftragsverarbeiter dem Widerspruch nicht entsprechen, kann der Verantwortliche den betroffenen Teil des Dienstes aus wichtigem Grund kündigen und erhält eine anteilige Rückerstattung.

6.4 Der Auftragsverarbeiter haftet für Handlungen und Unterlassungen seiner Sub-Auftragsverarbeiter im Hinblick auf Kundendaten.

7. Betroffenenrechte, DSFA und Unterstützung

7.1 Der Dienst stellt Self-Service-Werkzeuge bereit, mit denen der Verantwortliche Betroffenenrechte ohne separate Anfrage an den Auftragsverarbeiter erfüllen kann:

  • Export der Kundendaten über die Workspace-Export-Funktionen,
  • Löschung eines Kontos und seiner Daten über die Konto-Einstellungen (kaskadierende Löschung abgeleiteter Artefakte),
  • Spalten-Governance-Tags, die Rechtsgrundlage und Aufbewahrungsklasse dokumentieren.

7.2 Verlangt der Verantwortliche darüber hinaus weitere Unterstützung — einschließlich für DSFA (Art. 35) oder Konsultationen mit Aufsichtsbehörden (Art. 36) — leistet der Auftragsverarbeiter angemessene Unterstützung kostenfrei für Tätigkeiten von bis zu vier (4) Stunden je Kalenderquartal; weitergehende Unterstützung wird zum im Auftragsformular festgelegten Standard-Stundensatz für professionelle Dienstleistungen abgerechnet.

8. Meldung von Datenschutzverletzungen

8.1 Der Auftragsverarbeiter unterhält ein dokumentiertes Incident-Response-Playbook (docs/runbooks/incident-response.md) und eine öffentliche Status-Seite unter /status.

8.2 Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, die Kundendaten betrifft, informiert er den Verantwortlichen unverzüglich und innerhalb von 72 Stunden über die hinterlegte Benachrichtigungs-E-Mail. Die Meldung enthält, soweit zu diesem Zeitpunkt bekannt:

  • Art der Verletzung (Kategorien und ungefähre Anzahl der betroffenen Personen, Kategorien und ungefähre Anzahl der Datensätze),
  • voraussichtliche Folgen,
  • ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Schadensbegrenzung,
  • Kontaktstelle für weitere Informationen.

8.3 Der Auftragsverarbeiter unterhält ein manipulationssicheres, hash-verkettetes Audit-Log (admin_audit), damit die Beweiskette nach einem Vorfall überprüfbar ist. Die Integrität des Audit-Logs kann auf Anfrage verifiziert werden.

9. Auditrechte

9.1 Der Auftragsverarbeiter stellt dem Verantwortlichen auf angemessene schriftliche Anfrage und höchstens einmal pro Kalenderjahr (außer nach einer Datenschutzverletzung) folgende Unterlagen zur Verfügung:

  • die Sub-Auftragsverarbeiter-Liste,
  • die Sicherheitsanlage,
  • das Disaster-Recovery-Playbook (docs/runbooks/disaster-recovery.md),
  • die Executive Summary des aktuellsten jährlichen Pen-Tests (sobald verfügbar, angestrebt Q3 2026),
  • den aktuellsten SOC 2 / ISO 27001 Audit-Bericht (sobald verfügbar — siehe §9.3).

9.2 Reichen diese Unterlagen für die spezifische Compliance-Pflicht des Verantwortlichen nicht aus, kann der Verantwortliche mit einer Frist von 30 Tagen und auf eigene Kosten einen unabhängigen Drittprüfer (mit Vertraulichkeitsvereinbarung) zu einem Vor-Ort-Audit während der Geschäftszeiten beauftragen, sofern dies den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigt.

9.3 Compliance-Roadmap des Auftragsverarbeiters (Absichtserklärung, keine vertragliche Service-Zusage): SOC 2 Type I angestrebt Q3 2026; ISO 27001 Pre-Assessment angestrebt Q4 2026.

10. Rückgabe und Löschung

10.1 Bei Beendigung des Hauptvertrags kann der Verantwortliche innerhalb von 30 Tagen den Export der Kundendaten über die Export-Funktionen des Dienstes anfordern.

10.2 Nach Ablauf der 30-tägigen Frist löscht der Auftragsverarbeiter Kundendaten innerhalb weiterer 30 Tage aus den Produktionssystemen. Backups unterliegen der in docs/runbooks/disaster-recovery.md festgelegten 35-tägigen Rolling-Retention.

10.3 Der Auftragsverarbeiter kann konto-bezogene Metadaten aufbewahren, soweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten zwingend erforderlich ist (HGB §257; AO §147 — Rechnungsdaten, 10 Jahre).

11. Internationale Datenübermittlungen

11.1 Die Hauptinfrastruktur des Auftragsverarbeiters wird in der EU betrieben. Verarbeitet ein Sub-Auftragsverarbeiter Daten außerhalb der EU/EWR, basiert die Übermittlung auf:

  • EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914), Modul 2 (Verantwortlicher → Auftragsverarbeiter) und/oder Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter), oder
  • dem EU-US Data Privacy Framework, sofern der Sub-Auftragsverarbeiter zertifiziert ist, oder
  • einem anderen ausdrücklich auf /trust/subprocessors benannten Übermittlungs-Mechanismus.

11.2 Der Auftragsverarbeiter führt für jeden Nicht-EU-Sub-Auftragsverarbeiter eine Transfer Impact Assessment (TIA) durch und stellt die jeweils aktuellste TIA auf Anfrage zur Verfügung.

12. Haftung und Beschränkungen

Die Haftung unter diesem AVV richtet sich nach der Haftungsbegrenzungsklausel des Hauptvertrags, soweit zwingendes Recht (insbesondere DSGVO Art. 82) nichts anderes vorschreibt.

13. Vorrang

Bei Widersprüchen gilt folgende Rangfolge: (1) zwingendes Recht, (2) dieser AVV, (3) der Hauptvertrag.

14. Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss seiner Kollisionsnormen. Ausschließlicher Gerichtsstand ist Berlin, Deutschland, soweit gesetzlich zulässig.

15. Annahme

Dieser AVV tritt in Kraft, sobald der Verantwortliche den Hauptvertrag annimmt und in den Konto-Einstellungen das Häkchen "Ich akzeptiere den AVV" setzt, oder die unter dpa@harbingerexplorer.com erhältliche PDF-Version gegenzeichnet.

Dokumentversion: 1.0 — Wirksam ab: 2026-04-17