Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO · Stand: April 2026 · Gültig ab: April 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch Errly im Auftrag von Kunden (nachfolgend „Auftraggeber") im Rahmen der Nutzung des Errly-Dienstes.

§ 1 Vertragsparteien

Auftragsverarbeiter:
Gonzi Tech UG (haftungsbeschränkt)
An der Mannsfaust 10 · 60599 Frankfurt am Main · Deutschland
Geschäftsführer: David Joswig
E-Mail: [email protected]
Registergericht: Amtsgericht Frankfurt am Main · HRB 139764
USt-IdNr.: DE458062905

Auftraggeber / Verantwortlicher:
Natürliche oder juristische Person, die sich bei Errly registriert und den Dienst nutzt. Der Auftraggeber ist gem. Art. 4 Nr. 7 DSGVO der Verantwortliche für die personenbezogenen Daten, die er über das Errly-SDK und die Errly-API einliefert.

§ 2 Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Erbringung des Errly-Dienstes unter app.errly.app / ingest.errly.app, insbesondere die Entgegennahme, Speicherung, Verarbeitung und Darstellung von Fehler-Events, Log-Einträgen, Performance-Traces, Session Replays, Uptime-Monitor-Daten und sonstigen Telemetriedaten, die der Auftraggeber über das SDK oder die API einliefert.

Vertragsdauer: Der AVV beginnt mit Vertragsschluss des Hauptvertrags und endet automatisch mit dessen Beendigung. Bei Kontolöschung werden alle Daten des Auftraggebers gemäß § 12 gelöscht.

Nachweis des Vertragsschlusses: Datum, Uhrzeit, IP-Adresse und User-Agent des Registrierungsvorgangs werden als Nachweis des AVV-Abschlusses gespeichert und dem Auftraggeber per E-Mail bestätigt.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Entgegennahme und Speicherung von Fehler-Events über die Ingest-API (DSN-basiert)
  • Verarbeitung und Indexierung von Stack Traces, Fehlermeldungen und Metadaten
  • Aufnahme und Speicherung von Session Replay-Aufzeichnungen (Object Storage)
  • Verarbeitung von Log-Einträgen und Performance-Transaktionsdaten
  • Entgegennahme von Heartbeat-Monitor-Daten (Cron-Job-Check-ins)
  • Darstellung und Auswertung der Daten im Dashboard für den Auftraggeber
  • Versand von Alert-Benachrichtigungen im Auftrag des Auftraggebers
  • Automatische Löschung nach Ablauf der tarifgemäßen Aufbewahrungsfrist

Zweck: Ausschließlich Erbringung der vertraglich vereinbarten Leistung. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

§ 4 Art der personenbezogenen Daten

Je nach SDK-Konfiguration des Auftraggebers können folgende Datenkategorien übermittelt und verarbeitet werden:

  • Fehler- und Exception-Daten: Stack Traces, Fehlermeldungen, Exception-Typen, Breadcrumbs
  • Request-Kontext: URL, HTTP-Methode, Request-Header, Query-Parameter
  • Nutzerkontext (sofern vom Auftraggeber via SDK gesetzt): user.id, user.email, user.name, user.username und weitere Custom-Tags
  • Geräteinformationen: Browser-Typ und -Version, Betriebssystem, Bildschirmauflösung, Sprache
  • Session Replay-Daten: DOM-Snapshots, Mausbewegungen, Klicks, Keyboard-Events (bei nicht-maskierten Feldern), Scroll-Events
  • Log-Einträge: Anwendungslogs mit Zeitstempel und Log-Level
  • Performance-Traces: Transaktionsdauern, Spans, DB-Query-Durations
  • Monitor-Daten: Zeitstempel von Heartbeat-Check-ins
  • IP-Adressen: IP-Adresse des Endgeräts (bei direkt vom Browser gesendeten Events)

Hinweis: Der Auftraggeber ist dafür verantwortlich, das Errly-SDK so zu konfigurieren, dass keine unbeabsichtigten personenbezogenen Daten übermittelt werden (z.B. Masking sensibler Formularfelder in Session Replays, Scrubbing von PII in Fehlermeldungen).

§ 5 Kategorien betroffener Personen

  • Endnutzer der Anwendungen des Auftraggebers (deren Fehler-Events und Session Replays verarbeitet werden)
  • Mitglieder des Entwicklerteams des Auftraggebers (Nutzer des Errly-Dashboards)
  • Dritte, deren personenbezogene Daten im Rahmen von Fehler-Events erfasst werden

§ 6 Weisungsrecht des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers gem. Art. 28 Abs. 3 lit. a DSGVO, es sei denn, eine gesetzliche Verpflichtung schreibt eine Verarbeitung vor.

Weisungserteilung: Schriftlich oder per E-Mail an [email protected]. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung nach Einschätzung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).

§ 7 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich zu:

  • Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung (Art. 28 Abs. 3 lit. a DSGVO)
  • Verpflichtung aller zur Verarbeitung befugten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
  • Durchführung aller erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO (Anlage 1)
  • Einhaltung der Bedingungen für den Einsatz von Unterauftragsverarbeitern (Art. 28 Abs. 2 und 4 DSGVO)
  • Unterstützung des Auftraggebers bei der Erfüllung seiner Pflichten gem. Art. 32–36 DSGVO
  • Unterstützung bei der Erfüllung von Betroffenenrechten gem. Art. 15–22 DSGVO
  • Löschung oder Rückgabe aller Daten nach Beendigung (nach Wahl des Auftraggebers) und Löschnachweis auf Verlangen
  • Bereitstellung aller Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO

§ 8 Unterauftragsverarbeiter

Der Auftraggeber erteilt eine allgemeine schriftliche Genehmigung gem. Art. 28 Abs. 2 DSGVO für den Einsatz folgender Unterauftragsverarbeiter:

AnbieterZweckStandort / Rechtsgrundlage
Hetzner Online GmbHServer-Hosting, Datenbank, Object Storage (Session Replays), Load BalancerDeutschland (Nürnberg, Falkenstein) – EU · ISO 27001
Cloudflare, Inc.WAF, DDoS-Schutz, DNS, Rate Limiting, SSL-TerminierungUSA – EU-US Data Privacy Framework (Art. 45 DSGVO), AVV
Brevo (Sendinblue GmbH)Transaktionale E-Mails (Alert-Benachrichtigungen, Einladungen)Deutschland / Frankreich – EU · TÜV-zertifiziert, AVV
Stripe Payments Europe, Ltd.Zahlungsabwicklung (Kreditkarte, SEPA)Irland (EU); US-Transfers: EU-US DPF (Art. 45 DSGVO), AVV
Haufe-Lexware GmbH & Co. KG (Lexoffice)Rechnungsstellung und Buchhaltung (gesetzliche Pflicht)Deutschland (Freiburg) – EU, AVV
STRATO AGDomain-Registrar (errly.app) und E-Mail-InfrastrukturDeutschland (Berlin) – EU, AVV
Microsoft Ireland Operations Ltd. (Microsoft 365)Interne Team-Kommunikation (kein Zugang zu Kundendaten)Irland (EU); US-Transfers: EU-US DPF + SCCs (Art. 46 DSGVO), DPA

Änderungsverfahren: Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters per E-Mail. Der Auftraggeber kann binnen 14 Tagen schriftlich Einspruch erheben; ohne Einspruch gilt Zustimmung als erteilt.

Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem AVV festgelegt (Art. 28 Abs. 4 DSGVO).

§ 9 Datenübermittlung in Drittländer

Kundendaten (Fehler-Events, Session Replays, Datenbankinhalte) werden ausschließlich auf EU-Servern (Hetzner, Deutschland) gespeichert. Übermittlungen in Drittländer erfolgen nur im Rahmen der in § 8 genannten Unterauftragsverarbeiter und ausschließlich auf Grundlage der dort angegebenen Rechtsgrundlagen (Art. 44–49 DSGVO).

Aktuell betreffen Drittlandübertragungen ausschließlich die USA auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO) und Standardvertragsklauseln (Art. 46 DSGVO). Cloudflare, Stripe, GitHub und Microsoft sind unter dem EU-US DPF zertifiziert.

§ 10 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen gem. Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter und macht deutlich, dass dieser der Verantwortliche ist.

§ 11 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, per E-Mail an die vom Auftraggeber hinterlegte Adresse.

Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung einschließlich Kategorien und Anzahl betroffener Personen und Datensätze
  • Name und Kontaktdaten einer Anlaufstelle für weitere Informationen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Minderung der Folgen

Die 48-Stunden-Frist beginnt mit Kenntniserlangung. Bei unvollständigen Informationen erfolgt eine erste Meldung mit den verfügbaren Angaben, gefolgt von Ergänzungsmeldungen.

§ 12 Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche personenbezogenen Daten des Auftraggebers vollständig (Hard Delete), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere § 147 AO, § 257 HGB).

Datenexport: Der Auftraggeber kann Daten vor der Löschung über das Dashboard exportieren. Fehler-Events können per API abgerufen werden; ein strukturierter JSON-Export steht im Kontobereich zur Verfügung.

Backup-Rotation: Daten in Backups werden im Rahmen des regulären Backup-Rotationszyklus (max. 14 Tage) überschrieben.

Auf Verlangen stellt der Auftragnehmer einen schriftlichen Nachweis der Löschung bereit.

§ 13 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der Vorschriften zum Schutz personenbezogener Daten und der vertraglichen Vereinbarungen beim Auftragnehmer zu überprüfen, einschließlich Inspektionen vor Ort nach angemessener Vorankündigung (mindestens 14 Werktage).

Nachweispflicht: Der Auftragnehmer stellt auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO-Pflichten bereit. Alternativ können Zertifizierungen (z.B. ISO 27001 von Hetzner) oder Berichte unabhängiger Prüfer als Nachweis dienen.

§ 14 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Der Auftragnehmer haftet für Schäden, die durch eine nicht den Weisungen des Auftraggebers oder den gesetzlichen Vorschriften entsprechende Verarbeitung entstehen.

§ 15 Schlussbestimmungen

Änderungen: Änderungen dieses AVV bedürfen der Textform. Dies gilt auch für den Verzicht auf das Textformerfordernis.

Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein, bleiben die übrigen Bestimmungen wirksam. Die unwirksame Bestimmung ist durch eine wirksame mit möglichst ähnlichem wirtschaftlichem Zweck zu ersetzen.

Anwendbares Recht: Recht der Bundesrepublik Deutschland. Gerichtsstand: Frankfurt am Main.

Rangverhältnis: Im Widerspruchsfall zwischen Hauptvertrag (AGB) und diesem AVV geht dieser AVV hinsichtlich datenschutzrechtlicher Fragen vor.

Anlage 1: Technische und organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO

A. Vertraulichkeit

Zutrittskontrolle:

Server bei Hetzner Online GmbH in zertifizierten Rechenzentren (ISO 27001) in Nürnberg und Falkenstein, Deutschland. Physischer Zugang beschränkt auf autorisiertes Hetzner-Personal. Kein direkter physischer Zugang durch den Auftragnehmer.

Zugangskontrolle (IT-Systeme):

  • Zugang zu Produktivsystemen ausschließlich über VPN-Tunnel (kein öffentlicher SSH-Zugang)
  • Authentifizierung ausschließlich über SSH-Keys (Ed25519), kein Passwort-basierter Zugang
  • Bastion-Host (Jump Server) als einziger SSH-Einstiegspunkt
  • Zwei-Faktor-Authentifizierung (2FA) für alle administrativen Zugänge

Zugriffskontrolle (Anwendung):

  • Rollenbasierte Zugriffskontrolle (RBAC) in der Anwendung: OWNER, MEMBER
  • Alle Datenbankabfragen nach orgId und projectId gefiltert (Mandantentrennung)
  • Kein Cross-Tenant-Datenzugriff auf Anwendungsebene möglich
  • Admin-Interface nur über VPN-geschütztes separates Interface erreichbar

Trennungskontrolle:

  • Logische Mandantentrennung auf Datenbankebene (alle Queries enthalten WHERE orgId/projectId)
  • Session Replays in separatem Object Storage mit projekt-spezifischen Pfaden (projectId/replayId)
  • Kein Cross-Tenant-Zugriff möglich

Pseudonymisierung:

  • Zahlungsdaten nicht beim Auftragnehmer gespeichert (Stripe-only); gespeichert wird nur die Stripe-Kunden-ID als Referenz
  • Interne Audit-Logs speichern nur interne User-IDs, keine Klarnamen

B. Integrität

Weitergabekontrolle:

  • TLS 1.2+ (vorzugsweise TLS 1.3) für alle Datenübertragungen
  • HSTS (HTTP Strict Transport Security) mit max-age=31536000 und includeSubDomains
  • Content Security Policy (CSP) auf allen Frontend-Seiten konfiguriert
  • Hetzner Load Balancer als einziger öffentlich erreichbarer Endpunkt (kein direkter Port-Zugang zu Applikationsservern)

Eingabekontrolle:

  • Server-seitige Schema-Validierung aller Eingaben (Zod-Schema-Validierung auf API-Ebene)
  • Rate Limiting auf allen API-Endpunkten (Ingest-API, REST-API)
  • Authentifizierung der Ingest-API über DSN-Key (projektspezifisch)
  • Audit-Log für sicherheitsrelevante Aktionen (Kontolöschung, API-Key-Erstellung/-Rotation, Plan-Änderungen, AVV-Abschluss)

C. Verfügbarkeit und Belastbarkeit

  • PostgreSQL-Datenbank auf dediziertem Server mit regelmäßigen Backups
  • Hetzner Object Storage für Session Replays (geo-redundant innerhalb Deutschlands)
  • Docker-Container mit Healthchecks (30-Sekunden-Intervall) und automatischem Restart (unless-stopped)
  • Hetzner Load Balancer als einziger öffentlicher Endpunkt (kein Single Point of Failure auf Netzwerkebene)
  • Asynchrone Event-Verarbeitung über Worker-Queue (Entkopplung von Ingest und Verarbeitung)
  • Prometheus-basiertes Monitoring mit Alerting für Systemausfälle, Speicherauslastung und Verarbeitungsfehler

D. Wiederherstellbarkeit

  • Regelmäßige Datenbank-Backups (tägliche Snapshots, 14 Tage Aufbewahrung)
  • Infrastruktur als Code (Docker Compose) für schnelle und reproduzierbare Wiederherstellung
  • Definierter Incident-Response-Prozess mit Eskalationsverantwortung

E. Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Überprüfung und Aktualisierung der TOMs
  • Zeitnahe Einspielung von Sicherheitsupdates für Betriebssystem, Datenbank und Anwendungs-Dependencies
  • Regelmäßige Überprüfung der Unterauftragsverarbeiter auf Einhaltung ihrer Datenschutzpflichten
  • Definierter Prozess zur Erkennung, Internen Meldung und Behandlung von Datenschutzverletzungen (Meldung an Auftraggeber innerhalb 48 Stunden, Aufsichtsbehörde innerhalb 72 Stunden)