Auftragsverarbeitungsvereinbarung (AVV)

gemäß Art. 28 Abs. 3 DS-GVO

Basierend auf der Formulierungshilfe des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Angepasst für den SaaS-Dienst Tuurio ID.

Auftraggeber (Verantwortlicher): Der Kunde, der einen Tuurio ID Service-Account betreibt (nachfolgend „Auftraggeber“).

Auftragnehmer (Auftragsverarbeiter): Tuurio GmbH, Muehlenstr. 8a, 14167 Berlin. Geschäftsführer: Marcus Jueptner, Daniel Kraus. HRB 180639, Amtsgericht Berlin-Charlottenburg. USt-IdNr.: DE305850010 (nachfolgend „Auftragnehmer“).

1. Gegenstand und Dauer der Vereinbarung

Bereitstellung der SaaS-Lösung „Tuurio ID“ (id.tuurio.com) zur Identitätsverwaltung und Authentifizierung, insbesondere: OAuth 2.0/OIDC-Authentifizierung und -Autorisierung der Endnutzer des Auftraggebers, Speicherung und Verwaltung von Benutzeridentitäten, Bereitstellung von Token-Endpunkten (Authorize, Token, UserInfo, JWKS), Protokollierung von Authentifizierungsereignissen (Audit-Logs), Bereitstellung des Vault-Moduls (verschlüsselte Datenspeicherung) und Bereitstellung des Admin-Dashboards zur Tenant-Verwaltung.

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union erbracht (Hosting: STACKIT, Deutschland). Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DS-GVO erfuellt sind.

Der Vertrag wird auf unbestimmte Zeit geschlossen und gilt für die Dauer der Nutzung des Tuurio ID Service durch den Auftraggeber. Er endet automatisch mit Beendigung des Service-Vertrags.

2. Art und Zweck, Datenkategorien, betroffene Personen

Zweck der Verarbeitung: Authentifizierung, Identitätsprüfung und Nutzerverwaltung innerhalb der Plattform Tuurio ID für die Anwendungen des Auftraggebers.

Datenkategorien

Betroffene Personen

3. Rechte des Auftraggebers

Der Auftraggeber hat das Recht, jederzeit Weisungen hinsichtlich der Datenverarbeitung zu erteilen, die Einhaltung dieser Vereinbarung durch den Auftragnehmer zu überprüfen (einschließlich Vor-Ort-Inspektionen mit angemessener Vorlaufzeit) und Auskunft über die Verarbeitungstätigkeiten zu verlangen. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn eine Weisung seiner Ansicht nach gegen datenschutzrechtliche Vorschriften verstoesst.

4. Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind, setzt technische und organisatorische Maßnahmen gemäß Art. 32 DS-GVO um und pflegt diese, unterstützt den Auftraggeber bei Anfragen betroffener Personen (Art. 12-22 DS-GVO), unterstützt bei Datenschutz-Folgenabschaetzungen (Art. 35 DS-GVO) und Vorabkonsultationen (Art. 36 DS-GVO) und stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung.

5. Mitteilungspflichten

Der Auftragnehmer meldet dem Auftraggeber unverzüglich (und in jedem Fall innerhalb von 24 Stunden) jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DS-GVO. Die Meldung umfasst Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen. Kontakt: security@tuurio.com.

6. Unterauftragsverhältnisse

Die aktuelle Liste der Unterauftragsverarbeiter ist unter /public/legal/sub-processors einsehbar. Der Auftraggeber erklaert sich mit den dort aufgeführten Unterauftragnehmern einverstanden. Änderungen werden mindestens 30 Tage im Voraus per E-Mail mitgeteilt. Der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen.

7. Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DS-GVO um. Details sind auf unserer Sicherheitsseite beschrieben. Wesentliche Maßnahmen umfassen: AES-256-Verschlüsselung im Ruhezustand, TLS 1.3 bei der Übertragung, Argon2id-Passwort-Hashing (64 MB RAM-Hardness), Mandantentrennung auf Datenbankebene (Hibernate-Filter mit tenant_id-Scoping), automatisierte verschlüsselte tägliche Backups (30 Tage Aufbewahrung), RS256-JWT-Signierung mit mandantenspezifischer Schlüsselrotation, umfassende Zugriffsprotokollierung und Audit-Trails.

8. Pflichten nach Beendigung

Nach Vertragsende kann der Auftraggeber innerhalb von 30 Tagen alle Daten über das Dashboard in einem gängigen, maschinenlesbaren Format (JSON, CSV) exportieren. Nach Ablauf der 30-tägigen Exportfrist werden alle personenbezogenen Daten innerhalb von 30 weiteren Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen (z.B. steuerrechtliche Belege gemäß GoBD: 10 Jahre). Der Auftragnehmer bestätigt die Löschung auf Anfrage schriftlich.

Version 1.0, 09. Maerz 2026