Anlage 1 zu den AGB — Auftragsverarbeitungs-Vereinbarung (AVV)
Stand: 23. Mai 2026 Auftragsverarbeiter: Vantech IT-Beratung, Inhaber Duc Van Nguy, Meßdornstr. 16, 33106 Paderborn Verantwortlicher: Der Kunde (Inhaber des Team-Tiers) gemäß § 1 AGB
§ 1 Gegenstand und Dauer
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten der Mitarbeiter des Verantwortlichen durch Vantech im Rahmen der Bereitstellung der Plattform Vantech Academy.
(2) Die Dauer entspricht der Laufzeit des Hauptvertrages (Team-Tier-Lizenz) sowie einer Aufbewahrungs-Nachlaufzeit von 30 Tagen für Löschungs-/Rückgabe-Anforderungen.
§ 2 Art und Zweck der Verarbeitung
| Aspekt | Beschreibung |
|---|---|
| Zweck | Bereitstellung von Lerninhalten, Quiz-Funktion, Schulungs-Dokumentation, Toolkit-Werkzeugen und Manager-Reporting |
| Art der Verarbeitung | Speicherung, Strukturierung, Anzeige, Bereitstellung, Löschung |
| Kategorien betroffener Personen | Mitarbeiter / Seat-Inhaber des Verantwortlichen |
| Kategorien personenbezogener Daten | E-Mail-Adresse, frei wählbarer Anzeigename, Bearbeitungs-Status pro Modul (binär: abgeschlossen / offen), Dokument-IDs der Teilnahme-Nachweise, Timestamps, technische Logs (IP, User-Agent). Selbsttest-Antworten und interne Score-Werte werden in der Datenbank zur Anzeige der Auflösung gespeichert, aber weder gegenüber dem Verantwortlichen offengelegt noch zur Bewertung des Teilnehmers herangezogen. |
| NICHT verarbeitet werden / NICHT offengelegt | Selbsttest-Antworten gegenüber dem Verantwortlichen, konkrete Score-Werte im Manager-Dashboard, biometrische Daten, Gesundheitsdaten, besondere Kategorien (Art. 9 DSGVO) |
§ 3 Pflichten des Auftragsverarbeiters
Vantech verpflichtet sich:
- die Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen zu verarbeiten;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten;
- geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen (siehe Anhang A „TOMs");
- die in § 4 genannten Subprozessoren nur unter den dort geregelten Bedingungen einzusetzen;
- den Verantwortlichen bei Anfragen Betroffener nach Art. 12-23 DSGVO durch geeignete technische Maßnahmen zu unterstützen;
- den Verantwortlichen bei Datenschutz-Folgenabschätzungen (Art. 35) und Konsultationen (Art. 36) zu unterstützen, soweit erforderlich;
- nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Vertragsende entweder zu löschen oder zurückzugeben;
- dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen.
§ 4 Subprozessoren
(1) Vantech setzt zur Erbringung der Leistung die folgenden Subprozessoren ein. Die Liste wird unter vantech-academy.de/legal/subprozessoren aktuell gehalten.
| Subprozessor | Zweck | Region | Rechtsgrundlage für Drittland-Transfer |
|---|---|---|---|
| Supabase Inc. (vermittelt durch Supabase Inc.; Hosting in EU) | Datenbank, Auth, Storage | Frankfurt (eu-central-1) | EU — kein Drittland-Transfer |
| Vercel Inc. | App-Hosting (Frontend, API-Routes) | EU-Regionen (Frankfurt/Paris) für Compute; globales CDN | EU für sensible Daten; CDN-Edge nur statische Assets ohne Personenbezug |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | EU-Hauptsitz Irland; Daten-Transfer in die USA für die Stripe-Inc.-Konzernfunktionen | EU-Standardvertragsklauseln (SCC) + EU-US Data Privacy Framework |
| Resend Inc. (geplant ab v1.0) | Transaktionaler E-Mail-Versand | USA (Mit EU-Routing) | EU-US Data Privacy Framework + SCC |
(2) Vantech informiert den Verantwortlichen über beabsichtigte Änderungen mit einem Vorlauf von 30 Kalendertagen. Der Verantwortliche kann der Änderung innerhalb dieser Frist widersprechen. Im Fall eines berechtigten Widerspruchs sind die Parteien berechtigt, das Vertragsverhältnis außerordentlich zu beenden.
§ 5 Ort der Datenverarbeitung
Die Verarbeitung findet primär in EU-Rechenzentren statt (Supabase EU-Region Frankfurt, Vercel EU). Drittland-Transfers erfolgen nur über die in § 4 Abs. 1 genannten Subprozessoren und nur auf Grundlage der dort genannten Garantien (DPF, SCC).
§ 6 Meldepflichten
Vantech meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch 72 Stunden nach Kenntniserlangung. Die Meldung erfolgt per Email an die im Verantwortlichen-Account hinterlegte Adresse und enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben.
§ 7 Kontroll- und Auditrechte
(1) Der Verantwortliche kann die Einhaltung dieser AVV durch geeignete Maßnahmen kontrollieren. Vantech ermöglicht hierzu auf schriftliche Anfrage hin Selbst-Audits durch Bereitstellung von Dokumentation (TOMs, Subprozessor-Liste, Sicherheits-Reports der Subprozessoren).
(2) Vor-Ort-Audits sind mit einer Ankündigungsfrist von 14 Tagen und maximal einmal pro Jahr zulässig. Die Kosten trägt der Verantwortliche.
§ 8 Beendigung
Bei Beendigung dieses Vertrages werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben. Die Löschung erfolgt automatisch nach 30 Tagen ab Vertragsende, sofern keine abweichende Weisung erfolgt.
Anhang A — Technische und organisatorische Maßnahmen (TOMs)
| Bereich | Maßnahme |
|---|---|
| Zugangskontrolle | Magic-Link-Auth, 2FA optional, Passwort-loser Login |
| Zugriffskontrolle | Row Level Security (RLS) in PostgreSQL, RBAC im Application Layer |
| Weitergabekontrolle | TLS 1.3 für alle Verbindungen, HSTS-Header |
| Eingabekontrolle | Audit-Log mit SHA-256-Hash-Chain für alle Compliance-relevanten Aktionen |
| Auftragskontrolle | Schriftliche AVVs mit allen Subprozessoren |
| Verfügbarkeitskontrolle | Tägliche DB-Backups (PITR 7 Tage), 99.9 % Vercel-SLA |
| Trennungskontrolle | Strikte Mandantentrennung über user_id / org_id mit RLS |
| Pseudonymisierung | Auf öffentlicher Verify-URL wird der Name nur bei Opt-in angezeigt, Token statt sequenzieller Nummer im QR-Code |
| Verschlüsselung | DB-at-rest (Supabase AES-256), Storage-at-rest, TLS-in-transit |
| Wiederherstellbarkeit | Point-in-Time-Recovery bis 7 Tage, Daily Snapshots, dokumentiertes Restore-Verfahren |
Anlage 1 zu den AGB · Stand 23. Mai 2026