Ochroni legal
Data Processing Agreement (DPA)
This DPA forms part of the Ochroni service agreement whenever the customer acts as controller and Ochroni acts as processor for personal data under GDPR Art. 28.
Die deutsche Fassung ist verbindlich. The English version is a convenience translation.
Deutsche Fassung (verbindlich)
Diese Auftragsverarbeitungsvereinbarung gilt, soweit Ochroni personenbezogene Daten im Auftrag einer Kundenorganisation verarbeitet.
1. Parteien und Rollen
- Verantwortlicher: die Kundenorganisation, die Ochroni nutzt.
- Auftragsverarbeiter: Piotr Ciechowicz, Einzelunternehmer, handelnd unter Ochroni, Schmohlstr. 2, 13086 Berlin, Deutschland.
- Der Verantwortliche bleibt verantwortlich für Rechtmäßigkeit, Hinweise an Betroffene, Rechtsgrundlagen, Richtigkeit der Weisungen und die Entscheidung, welche Personen in den Workspace eingeladen werden.
2. Anlage A: Gegenstand und Umfang der Verarbeitung
| Punkt | Beschreibung |
|---|---|
| Gegenstand | Incident-Koordination, Aufgaben, Teilnehmerverwaltung, Gastzugriff, Auditierbarkeit und damit verbundene Support-Operationen. |
| Dauer | Für die Vertragslaufzeit und anschließende Lösch-, Backup- oder gesetzliche Aufbewahrungsfristen nach Vertrag oder Datenschutzerklärung. |
| Art der Verarbeitung | Erheben, Organisieren, Speichern, Abrufen, Übermitteln, Löschen und Sichern von Kundendaten. |
| Zweck | Betrieb des Ochroni-Dienstes im Auftrag des Verantwortlichen und Schutz des Dienstes vor Missbrauch oder Ausfall. |
| Betroffene Personen | Mitarbeiter, eingeladene Nutzer und autorisierte Gastteilnehmer des Kunden. |
| Datenarten | Identitäts- und Kontodaten, Incident-, Aufgaben- und Timeline-Daten, Gastbeteiligungsdaten, Audit-Protokolle und separat beauftragte Integrationsmetadaten. |
| Außerhalb dieser DPA | Billing-, Steuer-, Stripe-Kunden- und Stripe-Abonnementdaten verarbeitet Ochroni als Verantwortlicher nach der Datenschutzerklärung, sofern ein Auftrag oder eine individuelle Vereinbarung nichts anderes vorsieht. |
| Ausgeschlossene Daten | Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, Daten nach Art. 10 DSGVO und Zahlungskartendaten dürfen nicht verarbeitet werden, sofern dies nicht ausdrücklich schriftlich vereinbart wurde. |
3. Pflichten des Auftragsverarbeiters nach Art. 28(3) DSGVO
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen, sofern nicht Unionsrecht oder Recht eines Mitgliedstaats eine Verarbeitung verlangt.
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
- Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen.
- Einsatz von Unterauftragsverarbeitern nur unter den in dieser DPA beschriebenen Bedingungen und mit schriftlichen Schutzpflichten.
- Angemessene Unterstützung bei Betroffenenanfragen, Sicherheitsvorfällen, Datenschutz-Folgenabschätzungen, Konsultationen und Aufsichtsbehördenanfragen, soweit anwendbar und Ochroni die relevanten Informationen verfügbar hat.
- Hinweis ohne unangemessene Verzögerung, wenn Ochroni der Ansicht ist, dass eine Weisung gegen DSGVO oder sonstiges Datenschutzrecht der Union oder Mitgliedstaaten verstößt.
- Rückgabe oder Löschung personenbezogener Daten nach Vertragsende nach Wahl des Verantwortlichen, sofern keine gesetzlichen Aufbewahrungs-, Backup- oder Sicherheitsforensikpflichten entgegenstehen.
- Bereitstellung der angemessen erforderlichen Informationen zum Nachweis der Einhaltung und Ermöglichung von Audits nach den unten beschriebenen Regeln.
4. Anlage B: technische und organisatorische Maßnahmen
| Kategorie | Aktuelle Maßnahmen |
|---|---|
| Zugriffskontrolle und Berechtigungen | Zugriff auf Kundendaten ist durch Workspace-Mitgliedschaft, rollenbasierte Berechtigungen und incident- oder report-spezifische Gastzugriffe beschränkt. |
| Authentifizierung und Session-Sicherheit | Passwort-Hashing, signierte 12-Stunden-Sessions, Token-Ablauf, Invalid-Token-Recovery und Auditierung privilegierter Aktionen schützen Kontozugriffe. MFA, SSO/SAML und SCIM sind im öffentlichen Self-Serve-Plan nicht enthalten. |
| Transport- und Verbindungsschutz | Öffentlicher Service-Traffic erfordert Verschlüsselung während der Übertragung. Netzwerk- und Anwendungsschutz reduzieren unbefugte Zugriffe auf Service-Routen und administrative Schnittstellen. |
| Verfügbarkeit und Wiederherstellung | Backup-, Aufbewahrungs- und Restore-Verifikationsprozesse werden gepflegt. Workspace-Daten werden während des aktiven Vertrags verarbeitet; Export, Löschung und Backup-Ablauf folgen Datenschutz-, DPA- und Offboarding-Prozessen. |
| Logging und Monitoring | Sicherheitsrelevante Ereignisse, privilegierte Aktionen, Health-Status und Service-Anomalien werden protokolliert und überwacht. Logs sind auf Betriebs-, Sicherheits- und Supportzwecke beschränkt. |
| Änderungs- und Schwachstellenmanagement | Code- und Infrastruktur-Änderungen erfolgen über kontrollierte Entwicklungs- und Deploy-Prozesse mit Tests, Review, Dependency-Prüfungen, Secrets-Schutzmaßnahmen und Sicherheits-/Datenschutzprüfung. |
| Incident Response | Dokumentierte Verfahren decken Erkennung, Eindämmung, Behebung, Verantwortlichenbenachrichtigung und Nachbereitung ab. |
| Lieferanten- und Transferkontrollen | Unterauftragsverarbeiter werden öffentlich gelistet, schriftlich gebunden und mit Transfermechanismen, Deployment-Regionen und Datenkategorien abgeglichen. |
5. Genehmigte Unterauftragsverarbeiter
Railway ist der aktive Hosting-Unterauftragsverarbeiter für die aktuelle öffentliche Produktionsbereitstellung. Mailgun/Sinch wird für transaktionale E-Mail-Flows eingesetzt. Sentry wird für Fehlerüberwachung und technische Diagnose eingesetzt. Stripe verarbeitet Billing-, Steuer- und Abonnementdaten grundsätzlich für Ochroni als Verantwortlichen und ist deshalb nicht Teil des DPA-Subprozessorumfangs für Kunden-Workspace-Daten.
| Unterauftragsverarbeiter | Rolle | Datenkategorien | Regionale Exponierung | Transfer-Schutz |
|---|---|---|---|---|
| Railway | Application- und Runtime-Hosting für die aktuelle Produktion. | Workspace-Daten, Accountdaten, Logs, Audit-/Sicherheitsereignisse, Betriebsmetadaten und Backup-/Volume-Daten, soweit betroffen. | Aktuelle Ochroni-Produktion ist in der EU konfiguriert. Support- oder Subprozessorzugriffe können je nach Vorgang andere Jurisdiktionen betreffen. | Vertragliche Transfermechanismen von Railway, einschließlich SCC-basierter oder gleichwertiger rechtmäßiger Mechanismen. |
| Mailgun | Transaktionale E-Mail-Zustellung für Service- und Kontonachrichten. | Empfänger- und Absenderadressen, Template-Variablen, Invite-/Reset-Links, Zustellereignisse und Bounce- oder Fehlermetadaten. | Ochroni zielt für transaktionalen E-Mail-Transport auf den EU API-Endpunkt api.eu.mailgun.net. Support oder Subprozessoren können dennoch außerhalb des EWR beteiligt sein. | Mailgun-DPA und SCC-basierte Transferbedingungen oder ein anderer rechtmäßiger Mechanismus. |
| Sentry | Fehlerüberwachung, technische Diagnose und Stabilitätsanalyse für Kunden-Workspace- und Anwendungsvorgänge. | Technische Fehlerdaten, Zeitstempel, betroffene Routen, Geräte-/Browserinformationen und begrenzte Account- oder Workspace-Kontexte, soweit in Diagnosedaten enthalten. | Sentry kann technische Fehlerdaten, Zeitstempel, betroffene Routen, Geräte-/Browserinformationen und begrenzte Kontextdaten verarbeiten. Ochroni konfiguriert die Übermittlung personenbezogener Daten restriktiv. | Sentry-Datenverarbeitungsbedingungen und verfügbare Transfermechanismen, einschließlich SCC-basierter oder gleichwertiger rechtmäßiger Mechanismen. |
6. Änderungen bei Unterauftragsverarbeitern
Ochroni hält die Liste aktuell und informiert mindestens 30 Tage vor Hinzunahme eines wesentlich neuen Unterauftragsverarbeiters, sofern kein dringender Sicherheits-, Verfügbarkeits- oder Compliance-Grund einen schnelleren Ersatz erforderlich macht. Der Verantwortliche kann innerhalb der Frist einen begründeten schriftlichen Widerspruch erheben. Können die Parteien keine angemessene Lösung finden, kann der Verantwortliche den betroffenen Dienstteil kündigen.
7. Separat beauftragte Integrationen
Wenn eine Integration in einem gesonderten Auftrag aktiviert wird, verarbeitet Ochroni die hierfür erforderlichen Endpunkt-, Zustell- und Nutzdaten im Auftrag des Verantwortlichen. Der Verantwortliche bleibt verantwortlich für Rechtmäßigkeit, Empfänger, Zugriffsschutz, Informationspflichten und Zweck der jeweiligen Integration.
Ochroni zeichnet störungsbezogene Handlungen, Zeitstempel, Verantwortlichkeiten, Teilnahmeereignisse und Audit-Trails zur Koordination und Nachvollziehbarkeit auf. Kunden bleiben verantwortlich für Mitarbeiterhinweise, Betriebsratsbeteiligung, arbeitsrechtliche Prüfungen und interne Richtlinien vor dem Rollout.
8. Sicherheitsvorfälle und Unterstützung
Ochroni informiert den Verantwortlichen ohne unangemessene Verzögerung, nachdem Ochroni von einer bestätigten Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die Daten des Verantwortlichen betrifft, und soweit angemessen praktikabel innerhalb von 48 Stunden nach Bestätigung des Vorfalls.
Ochroni stellt die angemessen verfügbaren Informationen bereit, die der Verantwortliche für eigene Meldungs-, Untersuchungs- und Abhilfepflichten benötigt.
9. Audit und Informationsrechte
Ochroni stellt angemessene Dokumentation zur Verfügung, die zum Nachweis der Einhaltung erforderlich ist. Reicht dies nicht aus, kann der Verantwortliche ein Audit pro Jahr mit angemessener Vorankündigung, während Geschäftszeiten und unter Vertraulichkeits-, Umfangs- und Sicherheitsvorgaben verlangen, die andere Kunden und die Serviceumgebung schützen.
10. Rückgabe und Löschung
Nach Vertragsende und auf Weisung des Verantwortlichen gibt Ochroni personenbezogene Daten zurück oder löscht sie, sofern gesetzliche Aufbewahrung, Backup-Retention oder aktive Sicherheitsforensik keine begrenzte weitere Speicherung erfordern.
11. Kontakt
DPA-, Subprozessor-, Assistenz- oder Transferdokumentationsanfragen: legal@ochroni.com
English Convenience Translation
The German version above is legally binding. This English version is provided for convenience only. If the versions conflict, the German version controls.
1. Parties and role allocation
- Controller: the customer organization using Ochroni.
- Processor: Piotr Ciechowicz, sole proprietor trading as Ochroni, Schmohlstr. 2, 13086 Berlin, Germany.
- The controller remains responsible for lawful collection, user notices, legal bases, accuracy of instructions, and deciding which persons are invited into the workspace.
2. Annex A: scope of processing
| Item | Description |
|---|---|
| Subject matter | Incident coordination, tasking, participant management, guest access, auditability, and related support operations. |
| Duration | For the service term and any deletion, backup, or statutory retention period described in the contract or Privacy Policy. |
| Nature of processing | Collection, organization, storage, retrieval, transmission, deletion, and backup of customer-submitted records. |
| Purpose | Operate the Ochroni service on behalf of the customer and secure the service against misuse or failure. |
| Data subjects | Customer staff, invited users, and authorized guest participants. |
| Data types | Identity and account data, incident/task/timeline data, guest participation data, audit logs, and separately contracted integration metadata. |
| Outside this DPA | Billing, tax, Stripe customer, and Stripe subscription data are processed by Ochroni as controller under the Privacy Policy unless an order or separate written agreement says otherwise. |
| Excluded data | Special-category personal data under GDPR Art. 9, data under GDPR Art. 10, and payment-card data must not be processed unless expressly agreed in writing. |
3. Processor obligations under Art. 28(3)
- Process personal data only on documented controller instructions unless EU or Member State law requires otherwise.
- Ensure that persons authorized to process the data are bound to confidentiality.
- Implement and maintain appropriate technical and organizational measures.
- Respect the conditions for engaging subprocessors and bind them by written terms that are no less protective than this DPA.
- Assist the controller with data-subject requests, security incidents, DPIAs, prior consultations, and supervisory-authority inquiries where applicable.
- Notify the controller without undue delay if Ochroni believes an instruction infringes the GDPR or other applicable Union or Member State data-protection law.
- At the controller's choice on termination, return or delete personal data unless legal retention, backup, or security-forensics obligations require limited continued storage.
- Make available the information reasonably necessary to demonstrate compliance and allow audits as described below.
4. Annex B: technical and organizational measures
| Category | Measures currently in use |
|---|---|
| Access control and authorization | Access to customer data is restricted by workspace membership, role-based permissions, and guest access scoped to a specific incident or report flow. |
| Authentication and session security | Password hashing, signed 12-hour sessions, token expiry, invalid-token recovery, and auditing of privileged actions are used to protect account access. MFA, SSO/SAML, and SCIM are not included in the public self-serve plan. |
| Transmission security | Encryption in transit is required for public service traffic. Network and application-layer protections reduce unauthorized access to service routes and administrative interfaces. |
| Availability and recovery | Backup, retention, and restore-verification procedures are maintained. Workspace data is processed during the active contract; export, deletion, and backup expiry follow the Privacy Policy, this DPA, and support/offboarding workflows. |
| Logging and monitoring | Security-relevant events, privileged actions, health status, and service anomalies are logged and monitored. Logs are limited to operational, security, and support purposes. |
| Change and vulnerability management | Application and infrastructure changes are managed through controlled development and deployment processes with tests, review, dependency checks, secrets safeguards, and security/privacy impact checks. |
| Incident response | Security and incident-response procedures cover detection, containment, remediation, controller notification, and follow-up. |
| Supplier and transfer controls | Subprocessors are listed publicly, bound by written terms, and reviewed together with transfer safeguards, data categories, and current deployment-region disclosures. |
5. Authorized subprocessors
Railway is the active hosting subprocessor for the current public production deployment. Mailgun/Sinch is used for transactional email flows. Sentry is used for error monitoring and technical diagnostics. Stripe generally processes billing, tax, and subscription data for Ochroni as controller and is therefore outside the DPA subprocessor scope for customer workspace data.
| Subprocessor | Role | Data categories | Region exposure | Transfer safeguard |
|---|---|---|---|---|
| Railway | Application and runtime hosting for the current production deployment. | Workspace data, account data, logs, audit/security events, operational metadata, and backup or volume data where applicable. | Ochroni's current production deployment is configured in the EU. Support or subprocessor access may involve other jurisdictions depending on the incident or service request. | Railway contractual transfer commitments, including SCC-based or equivalent lawful mechanisms made available for that relationship. |
| Mailgun | Transactional email delivery for service and account messages. | Recipient and sender email addresses, template variables, invite or reset links, delivery events, bounce events, and failure metadata. | Ochroni's Mailgun integration targets Mailgun's EU API endpoint at api.eu.mailgun.net. Mailgun may still use subprocessors or support operations outside the EEA. | Mailgun's DPA and SCC-based transfer terms, or another lawful mechanism available at the time of transfer. |
| Sentry | Error monitoring, technical diagnostics, and application stability analysis for customer workspace and application events. | Technical error data, timestamps, affected routes, device/browser details, and limited account or workspace context where included in diagnostics. | Sentry may process technical error data, timestamps, affected routes, device/browser details, and limited contextual data. Ochroni configures personal data transmission restrictively. | Sentry's data-processing terms and available transfer mechanisms, including SCC-based or equivalent lawful mechanisms. |
6. Subprocessor changes
Ochroni will keep the subprocessor list current and give at least 30 days' notice before adding a materially new subprocessor, unless an urgent security, availability, or compliance reason requires faster replacement. Controllers may raise a reasonable written objection during that notice window. If the parties cannot find a reasonable solution, the controller may terminate the affected service part.
7. Separately contracted integrations
If an integration is enabled in a separate order, Ochroni processes the related endpoint, delivery, and payload data on the controller's instructions. The controller remains responsible for the legality, recipients, access protection, notices, and purpose of each integration.
Ochroni records incident-related actions, timestamps, ownership, participation events, and audit trails for operational coordination and auditability. Customers remain responsible for employee notices, works-council involvement, labor-law checks, and internal-policy requirements before rollout.
8. Security incidents and controller assistance
Ochroni will notify the controller without undue delay after becoming aware of a confirmed personal-data breach affecting controller data and, where reasonably practicable, within 48 hours after confirming the breach. Ochroni will share the information reasonably needed for the controller's own notification and remediation duties.
Ochroni will also provide reasonable assistance for data-subject requests, DPIAs, and supervisory-authority requests to the extent the relevant information is available to Ochroni as processor.
9. Audit and information rights
Ochroni will provide relevant documentation reasonably needed to demonstrate compliance. If that is insufficient, the controller may request one audit per year with reasonable advance notice, during business hours, and subject to confidentiality, scope, and security safeguards designed to protect other customers and the service environment.
10. Return and deletion
On termination and controller request, Ochroni will return or delete personal data at the controller's choice unless legal retention, backup retention, or active security-forensics obligations require continued storage for a limited period.
11. Contact
DPA, subprocessor, controller-assistance, or transfer-documentation requests: legal@ochroni.com