Ochroni legal
Data Processing Agreement (DPA)
This DPA forms part of the Ochroni service agreement whenever the customer acts as controller and Ochroni acts as processor for personal data under GDPR Art. 28.
Die deutsche Fassung ist verbindlich. The English version is a convenience translation.
Deutsche Fassung (verbindlich)
Diese Auftragsverarbeitungsvereinbarung gilt, soweit Ochroni personenbezogene Daten im Auftrag einer Kundenorganisation verarbeitet.
1. Parteien und Rollen
- Verantwortlicher: die Kundenorganisation, die Ochroni nutzt.
- Auftragsverarbeiter: Piotr Ciechowicz, Einzelunternehmer, handelnd unter Ochroni, Schmohlstr. 2, 13086 Berlin, Deutschland.
- Der Verantwortliche bleibt verantwortlich fuer Rechtmaessigkeit, Hinweise an Betroffene, Rechtsgrundlagen, Richtigkeit der Weisungen und die Entscheidung, welche Personen in den Workspace eingeladen werden.
2. Anlage A: Gegenstand und Umfang der Verarbeitung
| Item | Beschreibung |
|---|---|
| Gegenstand | Incident-Koordination, Aufgaben, Teilnehmerverwaltung, Gastzugriff, Auditierbarkeit und damit verbundene Support-Operationen. |
| Dauer | Fuer die Vertragslaufzeit und anschliessende Loesch-, Backup- oder gesetzliche Aufbewahrungsfristen nach Vertrag oder Datenschutzerklaerung. |
| Art der Verarbeitung | Erheben, Organisieren, Speichern, Abrufen, Uebermitteln, Loeschen und Sichern von Kundendaten. |
| Zweck | Betrieb des Ochroni-Dienstes im Auftrag des Verantwortlichen und Schutz des Dienstes vor Missbrauch oder Ausfall. |
| Betroffene Personen | Mitarbeiter, eingeladene Nutzer, Rechnungskontakte und autorisierte Gastteilnehmer des Kunden. |
| Datenarten | Identitaets- und Kontodaten, Incident-, Aufgaben- und Timeline-Daten, Gastbeteiligungsdaten, Audit-Protokolle und Billing-Metadaten. |
| Ausgeschlossene Daten | Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, Daten nach Art. 10 DSGVO und Zahlungskartendaten duerfen nicht verarbeitet werden, sofern dies nicht ausdruecklich schriftlich vereinbart wurde. |
3. Pflichten des Auftragsverarbeiters nach Art. 28(3) DSGVO
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen, sofern nicht Unionsrecht oder Recht eines Mitgliedstaats eine Verarbeitung verlangt.
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
- Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Massnahmen.
- Einsatz von Unterauftragsverarbeitern nur unter den in dieser DPA beschriebenen Bedingungen und mit schriftlichen Schutzpflichten.
- Angemessene Unterstuetzung bei Betroffenenanfragen, Sicherheitsvorfaellen, Datenschutz-Folgenabschaetzungen, Konsultationen und Aufsichtsbehoerdenanfragen, soweit anwendbar und Ochroni die relevanten Informationen verfuegbar hat.
- Hinweis ohne unangemessene Verzoegerung, wenn Ochroni der Ansicht ist, dass eine Weisung gegen DSGVO oder sonstiges Datenschutzrecht der Union oder Mitgliedstaaten verstoesst.
- Rueckgabe oder Loeschung personenbezogener Daten nach Vertragsende nach Wahl des Verantwortlichen, sofern keine gesetzlichen Aufbewahrungs-, Backup- oder Sicherheitsforensikpflichten entgegenstehen.
- Bereitstellung der angemessen erforderlichen Informationen zum Nachweis der Einhaltung und Ermoeglichung von Audits nach den unten beschriebenen Regeln.
4. Anlage B: technische und organisatorische Massnahmen
| Kategorie | Aktuelle Massnahmen |
|---|---|
| Zugriffskontrolle und Berechtigungen | Zugriff auf Kundendaten ist durch Workspace-Mitgliedschaft, rollenbasierte Berechtigungen und incident- oder report-spezifische Gastzugriffe beschraenkt. |
| Authentifizierung und Session-Sicherheit | Passwort-Hashing, signierte Sessions, Token-Ablauf, Invalid-Token-Recovery und Auditierung privilegierter Aktionen schuetzen Kontozugriffe. |
| Transport- und Verbindungsschutz | Oeffentlicher Service-Traffic erfordert Verschluesselung waehrend der Uebertragung. Netzwerk- und Anwendungsschutz reduzieren unbefugte Zugriffe auf Service-Routen und administrative Schnittstellen. |
| Verfuegbarkeit und Wiederherstellung | Backup-, Aufbewahrungs- und Restore-Verifikationsprozesse werden gepflegt. Die operative Produktionsreife bleibt an die im Readiness-Tracker genannten Backup- und Restore-Nachweise gebunden. |
| Logging und Monitoring | Sicherheitsrelevante Ereignisse, privilegierte Aktionen, Health-Status und Service-Anomalien werden protokolliert und ueberwacht. Externe Alerting-Nachweise bleiben separate Readiness-Artefakte. |
| Aenderungs- und Schwachstellenmanagement | Code- und Infrastruktur-Aenderungen erfolgen ueber kontrollierte Entwicklungs- und Deploy-Prozesse mit Tests, Review und Sicherheits-/Datenschutzpruefung. |
| Incident Response | Dokumentierte Verfahren decken Erkennung, Eindaemmung, Behebung, Verantwortlichenbenachrichtigung und Nachbereitung ab. |
| Lieferanten- und Transferkontrollen | Unterauftragsverarbeiter werden oeffentlich gelistet, schriftlich gebunden und mit Transfermechanismen sowie Deployment-Regionen abgeglichen. |
5. Genehmigte Unterauftragsverarbeiter
Railway ist der aktive Hosting-Unterauftragsverarbeiter fuer die aktuelle oeffentliche Produktionsbereitstellung. Mailgun und Stripe gelten nur fuer Nachrichten- oder Billing-Flows, bei denen die jeweilige Produktionsintegration aktiviert ist.
| Unterauftragsverarbeiter | Rolle | Regionale Exponierung | Transfer-Schutz |
|---|---|---|---|
| Railway | Application- und Runtime-Hosting fuer die aktuelle Produktion. | Aktuelle Ochroni-Produktion ist in der EU konfiguriert. Support- oder Subprozessorzugriffe koennen je nach Vorgang andere Jurisdiktionen betreffen. | Vertragliche Transfermechanismen von Railway, einschliesslich SCC-basierter oder gleichwertiger rechtmaessiger Mechanismen. |
| Mailgun | Transaktionale E-Mail-Zustellung, wenn fuer den jeweiligen Flow aktiviert. | Ochroni zielt bei aktivem Mailgun-Transport auf den EU API-Endpunkt api.eu.mailgun.net. Support oder Subprozessoren koennen dennoch ausserhalb des EWR beteiligt sein. | Mailgun-DPA und SCC-basierte Transferbedingungen oder ein anderer rechtmaessiger Mechanismus. |
| Stripe | Billing, Rechnungen, Checkout, Kundenportal und Payment-Event-Verarbeitung, wenn bezahltes Billing fuer den jeweiligen Kunden-Flow aktiviert ist. | Stripe verarbeitet Billing-Daten im EWR, in den USA und in weiteren Jurisdiktionen von Stripe, Affiliates oder Subprozessoren. | Stripe-Datenverarbeitungsbedingungen und Transfer Addendum, einschliesslich SCCs, UK Addendum oder anderer bereitgestellter rechtmaessiger Mechanismen. |
6. Aenderungen bei Unterauftragsverarbeitern
Ochroni haelt die Liste aktuell und informiert mindestens 30 Tage vor Hinzunahme eines wesentlich neuen Unterauftragsverarbeiters, sofern kein dringender Sicherheits-, Verfuegbarkeits- oder Compliance-Grund einen schnelleren Ersatz erforderlich macht. Der Verantwortliche kann innerhalb der Frist einen begruendeten schriftlichen Widerspruch erheben. Koennen die Parteien keine angemessene Loesung finden, kann der Verantwortliche den betroffenen Dienstteil kuendigen.
7. Sicherheitsvorfaelle und Unterstuetzung
Ochroni informiert den Verantwortlichen ohne unangemessene Verzoegerung, nachdem Ochroni von einer bestaetigten Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die Daten des Verantwortlichen betrifft.
Ochroni stellt die angemessen verfuegbaren Informationen bereit, die der Verantwortliche fuer eigene Meldungs-, Untersuchungs- und Abhilfepflichten benoetigt.
8. Audit und Informationsrechte
Ochroni stellt angemessene Dokumentation zur Verfuegung, die zum Nachweis der Einhaltung erforderlich ist. Reicht dies nicht aus, kann der Verantwortliche ein Audit pro Jahr mit angemessener Vorankuendigung, waehrend Geschaeftszeiten und unter Vertraulichkeits-, Umfangs- und Sicherheitsvorgaben verlangen, die andere Kunden und die Serviceumgebung schuetzen.
9. Rueckgabe und Loeschung
Nach Vertragsende und auf Weisung des Verantwortlichen gibt Ochroni personenbezogene Daten zurueck oder loescht sie, sofern gesetzliche Aufbewahrung, Backup-Retention oder aktive Sicherheitsforensik keine begrenzte weitere Speicherung erfordern.
10. Kontakt
DPA-, Subprozessor-, Assistenz- oder Transferdokumentationsanfragen: legal@ochroni.com
English Convenience Translation
The German version above is legally binding. This English version is provided for convenience only. If the versions conflict, the German version controls.
1. Parties and role allocation
- Controller: the customer organization using Ochroni.
- Processor: Piotr Ciechowicz, sole proprietor trading as Ochroni, Schmohlstr. 2, 13086 Berlin, Germany.
- The controller remains responsible for lawful collection, user notices, legal bases, accuracy of instructions, and deciding which persons are invited into the workspace.
2. Annex A: scope of processing
| Item | Description |
|---|---|
| Subject matter | Incident coordination, tasking, participant management, guest access, auditability, and related support operations. |
| Duration | For the service term and any deletion, backup, or statutory retention period described in the contract or Privacy Policy. |
| Nature of processing | Collection, organization, storage, retrieval, transmission, deletion, and backup of customer-submitted records. |
| Purpose | Operate the Ochroni service on behalf of the customer and secure the service against misuse or failure. |
| Data subjects | Customer staff, invited users, billing contacts, and authorized guest participants. |
| Data types | Identity and account data, incident/task/timeline data, guest participation data, audit logs, and billing metadata. |
| Excluded data | Special-category personal data under GDPR Art. 9, data under GDPR Art. 10, and payment-card data must not be processed unless expressly agreed in writing. |
3. Processor obligations under Art. 28(3)
- Process personal data only on documented controller instructions unless EU or Member State law requires otherwise.
- Ensure that persons authorized to process the data are bound to confidentiality.
- Implement and maintain appropriate technical and organizational measures.
- Respect the conditions for engaging subprocessors and bind them by written terms that are no less protective than this DPA.
- Assist the controller with data-subject requests, security incidents, DPIAs, prior consultations, and supervisory-authority inquiries where applicable.
- Notify the controller without undue delay if Ochroni believes an instruction infringes the GDPR or other applicable Union or Member State data-protection law.
- At the controller's choice on termination, return or delete personal data unless legal retention, backup, or security-forensics obligations require limited continued storage.
- Make available the information reasonably necessary to demonstrate compliance and allow audits as described below.
4. Annex B: technical and organizational measures
| Category | Measures currently in use |
|---|---|
| Access control and authorization | Access to customer data is restricted by workspace membership, role-based permissions, and guest access scoped to a specific incident or report flow. |
| Authentication and session security | Password hashing, signed session handling, token expiry, invalid-token recovery, and auditing of privileged actions are used to protect account access. |
| Transmission security | Encryption in transit is required for public service traffic. Network and application-layer protections reduce unauthorized access to service routes and administrative interfaces. |
| Availability and recovery | Backup, retention, and restore-verification procedures are maintained. Production readiness remains tied to the backup and restore evidence tracked in the readiness tracker. |
| Logging and monitoring | Security-relevant events, privileged actions, health status, and service anomalies are logged and monitored. External alerting evidence remains a separate readiness artifact. |
| Change and vulnerability management | Application and infrastructure changes are managed through controlled development and deployment processes with tests, review, and security/privacy impact checks. |
| Incident response | Security and incident-response procedures cover detection, containment, remediation, controller notification, and follow-up. |
| Supplier and transfer controls | Subprocessors are listed publicly, bound by written terms, and reviewed together with transfer safeguards and current deployment-region disclosures. |
5. Authorized subprocessors
Railway is the active hosting subprocessor for the current public production deployment. Mailgun and Stripe apply only to the message or billing flows where the relevant production integration is enabled.
| Subprocessor | Role | Region exposure | Transfer safeguard |
|---|---|---|---|
| Railway | Application and runtime hosting for the current production deployment. | Ochroni's current production deployment is configured in the EU. Support or subprocessor access may involve other jurisdictions depending on the incident or service request. | Railway contractual transfer commitments, including SCC-based or equivalent lawful mechanisms made available for that relationship. |
| Mailgun | Transactional email delivery, if enabled for the relevant message flow. | Ochroni's Mailgun integration targets Mailgun's EU API endpoint at api.eu.mailgun.net when Mailgun transport is enabled. Mailgun may still use subprocessors or support operations outside the EEA. | Mailgun's DPA and SCC-based transfer terms, or another lawful mechanism available at the time of transfer. |
| Stripe | Billing, invoicing, checkout, customer portal, and payment-event handling, if paid billing is enabled for the relevant customer flow. | Stripe operates through EEA and non-EEA entities and may process billing data in the EEA, United States, and other jurisdictions used by Stripe, affiliates, or subprocessors. | Stripe's data-processing terms and transfer addendum, including SCCs, the UK addendum, or other lawful transfer mechanisms Stripe makes available. |
6. Subprocessor changes
Ochroni will keep the subprocessor list current and give at least 30 days' notice before adding a materially new subprocessor, unless an urgent security, availability, or compliance reason requires faster replacement. Controllers may raise a reasonable written objection during that notice window. If the parties cannot find a reasonable solution, the controller may terminate the affected service part.
7. Security incidents and controller assistance
Ochroni will notify the controller without undue delay after becoming aware of a confirmed personal-data breach affecting controller data and will share the information reasonably needed for the controller's own notification and remediation duties.
Ochroni will also provide reasonable assistance for data-subject requests, DPIAs, and supervisory-authority requests to the extent the relevant information is available to Ochroni as processor.
8. Audit and information rights
Ochroni will provide relevant documentation reasonably needed to demonstrate compliance. If that is insufficient, the controller may request one audit per year with reasonable advance notice, during business hours, and subject to confidentiality, scope, and security safeguards designed to protect other customers and the service environment.
9. Return and deletion
On termination and controller request, Ochroni will return or delete personal data at the controller's choice unless legal retention, backup retention, or active security-forensics obligations require continued storage for a limited period.
10. Contact
DPA, subprocessor, controller-assistance, or transfer-documentation requests: legal@ochroni.com