Rechtliches

Auftragsverarbeitungsvertrag

AVV nach Art. 28 DSGVO. Wird von Business-Lizenzkunden bei Aktivierung des Endkundenkanals online akzeptiert. Aktuelle Version 1.0.

Hinweis zur Online-Akzeptanz

Beim Aktivieren des Endkundenkanals durch einen Business-Lizenzkunden wird dieser AVV per Klick akzeptiert. Der Akzeptanz-Vorgang wird im Lizenz-Server in einem fälschungssicheren Audit-Log mit Ed25519- signierter Hash-Kette protokolliert (Zeitstempel, Lizenz-ID, AVV- Versionshash). Aufbewahrung 10 Jahre gemäß HGB und AO.

1. Vertragsparteien

Auftraggeber: Lizenzkunde (im Folgenden "Verantwortlicher").

Auftragnehmer: Sascha Daemgen IT and More Systems ("imogo"), Recklinghausen.

2. Gegenstand der Verarbeitung

Verarbeitung von Endkundendaten zur Bereitstellung verschlüsselter Kommunikation über das imogo-Matrix-Modul. Die Verarbeitung umfasst Speicherung von Metadaten und verschlüsselten Inhalten, Übermittlung zwischen Geräten, sowie technische Infrastruktur für Mediendateien.

3. Dauer der Verarbeitung

Für die Dauer der aktiven Lizenz des Verantwortlichen. Bei Vertragsende gelten die Löschungs- und Übergabepflichten gemäß Abschnitt 9.

4. Art und Zweck der Verarbeitung

Bereitstellung Ende-zu-Ende-verschlüsselter Kommunikation, Nachrichtenversand und Dateiaustausch zwischen dem Verantwortlichen und seinen Endkunden. Zweck ist die Geschäftskommunikation.

5. Datenkategorien

Verarbeitete Daten umfassen: Matrix-IDs (MXIDs), Anzeigenamen, Nachrichten-Metadaten (Zeitstempel, Raum-Mitgliedschaft, Geräteinformationen) sowie Mediendateien. Inhalte sind durch Ende-zu-Ende-Verschlüsselung (Olm/Megolm) für imogo nicht lesbar.

6. Technisch-organisatorische Maßnahmen

Transportverschlüsselung TLS 1.3, Ende-zu-Ende-Verschlüsselung Olm und Megolm, lokale Datenbank-Verschlüsselung mit SQLCipher, Hosting in einem ISO-27001-zertifizierten Rechenzentrum (Hetzner Online GmbH, Falkenstein und Nürnberg), regelmäßige Backups, Zugriffsschutz durch Mehr-Faktor-Authentifizierung für Administrationszugänge.

7. Subunternehmer

Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland. Mit Hetzner besteht ein eigener Auftragsverarbeitungsvertrag durch imogo. Weitere Subunternehmer werden vorab benannt und können vom Verantwortlichen abgelehnt werden.

8. Weisungsrecht des Verantwortlichen

Der Verantwortliche bleibt im Sinne der DSGVO für die Verarbeitung verantwortlich. imogo verarbeitet Daten ausschließlich nach den dokumentierten Weisungen des Verantwortlichen. Weisungen erfolgen in der Regel über die Plattform, in Einzelfällen schriftlich.

9. Löschung nach Vertragsende

Nach Vertragsende und nach Ablauf der Read-Only-Phase werden alle personenbezogenen Daten des Verantwortlichen und seiner Endkunden gelöscht, sofern keine längere gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Anforderung schriftlich bestätigt.

Diese AVV-Vorlage wird im Rahmen der weiteren Entwicklung anwaltlich geprüft. Stand: Mai 2026.