Auftragsverarbeitungsvereinbarung (AVV)
gemaess Art. 28 Abs. 3 DS-GVO
Basierend auf der Formulierungshilfe des Bayerischen Landesamtes fuer Datenschutzaufsicht (BayLDA). Angepasst fuer den SaaS-Dienst Tuurio ID.
Auftragnehmer (Auftragsverarbeiter): Tuurio GmbH, Muehlenstr. 8a, 14167 Berlin. Geschaeftsfuehrer: Marcus Jueptner, Daniel Kraus. HRB 180639, Amtsgericht Berlin-Charlottenburg. USt-IdNr.: DE305850010 (nachfolgend „Auftragnehmer“).
1. Gegenstand und Dauer der Vereinbarung
Bereitstellung der SaaS-Loesung „Tuurio ID“ (id.tuurio.com) zur Identitaetsverwaltung und Authentifizierung, insbesondere: OAuth 2.0/OIDC-Authentifizierung und -Autorisierung der Endnutzer des Auftraggebers, Speicherung und Verwaltung von Benutzeridentitaeten, Bereitstellung von Token-Endpunkten (Authorize, Token, UserInfo, JWKS), Protokollierung von Authentifizierungsereignissen (Audit-Logs), Bereitstellung des Vault-Moduls (verschluesselte Datenspeicherung) und Bereitstellung des Admin-Dashboards zur Tenant-Verwaltung.
Die vertraglich vereinbarte Dienstleistung wird ausschliesslich in einem Mitgliedsstaat der Europaeischen Union erbracht (Hosting: Google Cloud Platform, Region Frankfurt/eu-west3, Deutschland). Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DS-GVO erfuellt sind.
Der Vertrag wird auf unbestimmte Zeit geschlossen und gilt fuer die Dauer der Nutzung des Tuurio ID Service durch den Auftraggeber. Er endet automatisch mit Beendigung des Service-Vertrags.
2. Art und Zweck, Datenkategorien, betroffene Personen
Zweck der Verarbeitung: Authentifizierung, Identitaetspruefung und Nutzerverwaltung innerhalb der Plattform Tuurio ID fuer die Anwendungen des Auftraggebers.
Datenkategorien
| Kategorie | Beispiele | Aufbewahrung |
|---|---|---|
| Stammdaten | Name, E-Mail-Adresse, Profilbild, benutzerdefinierte Profilfelder | Vertragsdauer + 30 Tage |
| Authentifizierungsdaten | Passwort-Hashes (Argon2id), MFA-Seeds, Passkey-Credentials | Vertragsdauer |
| Session-/Token-Daten | Access Tokens, Refresh Tokens, Session-IDs | Max. 30 Tage (Token-Lebensdauer) |
| Protokolldaten | Login-Zeitstempel, IP-Adressen, User-Agent-Strings, fehlgeschlagene Auth-Ereignisse | 90 Tage |
| Vault-Daten | AES-256-verschluesselte beliebige Daten des Auftraggebers | Vertragsdauer + 30 Tage |
| OAuth-Daten | Client-IDs, Redirect-URIs, Scopes, Permissions, Rollen | Vertragsdauer |
Betroffene Personen
- Endnutzer der Anwendungen des Auftraggebers (natuerliche Personen, die sich ueber Tuurio ID authentifizieren)
- Administratoren und Mitarbeiter des Auftraggebers (die Tenants und Konfigurationen verwalten)
- Technische Ansprechpartner und API-Nutzer
3. Rechte des Auftraggebers
Der Auftraggeber hat das Recht, jederzeit Weisungen hinsichtlich der Datenverarbeitung zu erteilen, die Einhaltung dieser Vereinbarung durch den Auftragnehmer zu ueberpruefen (einschliesslich Vor-Ort-Inspektionen mit angemessener Vorlaufzeit) und Auskunft ueber die Verarbeitungstaetigkeiten zu verlangen. Der Auftragnehmer hat den Auftraggeber unverzueglich zu informieren, wenn eine Weisung seiner Ansicht nach gegen datenschutzrechtliche Vorschriften verstoesst.
4. Pflichten des Auftragnehmers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Auftraggebers, stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind, setzt technische und organisatorische Massnahmen gemaess Art. 32 DS-GVO um und pflegt diese, unterstuetzt den Auftraggeber bei Anfragen betroffener Personen (Art. 12-22 DS-GVO), unterstuetzt bei Datenschutz-Folgenabschaetzungen (Art. 35 DS-GVO) und Vorabkonsultationen (Art. 36 DS-GVO) und stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfuegung.
5. Mitteilungspflichten
Der Auftragnehmer meldet dem Auftraggeber unverzueglich (und in jedem Fall innerhalb von 24 Stunden) jede Verletzung des Schutzes personenbezogener Daten gemaess Art. 33 DS-GVO. Die Meldung umfasst Art der Verletzung, betroffene Datenkategorien und ungefaehre Anzahl betroffener Personen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Massnahmen. Kontakt: security@tuurio.com.
6. Unterauftragsverhaeltnisse
Die aktuelle Liste der Unterauftragsverarbeiter ist unter /public/legal/sub-processors einsehbar. Der Auftraggeber erklaert sich mit den dort aufgefuehrten Unterauftragnehmern einverstanden. Aenderungen werden mindestens 30 Tage im Voraus per E-Mail mitgeteilt. Der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen.
7. Technische und organisatorische Massnahmen
Der Auftragnehmer setzt angemessene technische und organisatorische Massnahmen gemaess Art. 32 DS-GVO um. Details sind auf unserer Sicherheitsseite beschrieben. Wesentliche Massnahmen umfassen: AES-256-Verschluesselung im Ruhezustand, TLS 1.3 bei der Uebertragung, Argon2id-Passwort-Hashing (64 MB RAM-Hardness), Mandantentrennung auf Datenbankebene (Hibernate-Filter mit tenant_id-Scoping), automatisierte verschluesselte taegliche Backups (30 Tage Aufbewahrung), RS256-JWT-Signierung mit mandantenspezifischer Schluesselrotation, umfassende Zugriffsprotokollierung und Audit-Trails.
8. Pflichten nach Beendigung
Nach Vertragsende kann der Auftraggeber innerhalb von 30 Tagen alle Daten ueber das Dashboard in einem gaengigen, maschinenlesbaren Format (JSON, CSV) exportieren. Nach Ablauf der 30-taegigen Exportfrist werden alle personenbezogenen Daten innerhalb von 30 weiteren Tagen unwiderruflich geloescht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen (z.B. steuerrechtliche Belege gemaess GoBD: 10 Jahre). Der Auftragnehmer bestaetigt die Loeschung auf Anfrage schriftlich.
Version 1.0, 09. Maerz 2026