Unimoni
Konto erstellen

Legal

Data Processing Agreement

Bedingungen zur Verarbeitung personenbezogener Daten. Gilt für die Tarife Business und Enterprise.

Zuletzt aktualisiert: 2026-05-15

1. Parteien und Begriffe

Dieses DPA wird zwischen dem Customer (datenverantwortliche Stelle) und Unimoni (Auftragsverarbeiter) geschlossen. Es gilt ergänzend zu den Nutzungsbedingungen.

2. Gegenstand

Unimoni verarbeitet die personenbezogenen Daten, die der Customer über den Dienst übermittelt, ausschließlich zur Bereitstellung des Dienstes gemäß den dokumentierten Weisungen des Customers.

3. Datenkategorien

  • Identifikatoren (E-Mail, Name) — der Mitglieder der Organisation des Customers
  • Infrastruktur-Metriken und -Metadaten — Inhalt wird vom Customer bestimmt
  • Audit-Log-Einträge zu Aktionen

4. Betroffene Personen

  • Mitarbeiter des Customers (die das Cabinet nutzen)
  • End User des Customers (sofern ihre Identifikatoren in Metriken gelangen — die Cardinality-Konfiguration liegt beim Customer)

5. Sicherheitsmaßnahmen

  • Encryption in transit (TLS 1.2+) und at rest (AES-256-GCM)
  • Prinzip der geringsten Privilegien
  • Regelmäßige Zugriffsaudits
  • 2FA verpflichtend für Mitarbeiter
  • Logging aller administrativen Aktionen
  • Disaster-Recovery-Testing einmal pro Quartal

6. Subprocessors

Liste der aktuellen Subprocessors:

AWS — Infrastruktur-Hosting — EU / US (nach Wahl)

Stripe — Zahlungsabwicklung — US, EU

SES — Transactional E-Mail — EU / US

Cloudflare — CDN + DDoS-Schutz — Global

Postmark — Backup Transactional E-Mail — US

Änderungen der Subprocessor-Liste werden 30 Tage im Voraus mitgeteilt. Der Customer kann widersprechen.

7. Breach-Benachrichtigung

Bei Entdeckung einer Verletzung der Datensicherheit wird der Customer ohne unangemessene Verzögerung (spätestens 72 Stunden nach Entdeckung) benachrichtigt, mit einer Beschreibung von:

  • Art und Umfang
  • Betroffenen Personen und Datenkategorien
  • Ergriffenen und geplanten Maßnahmen

8. Löschung und Rückgabe

Bei Beendigung des Abonnements kann der Customer innerhalb von 30 Tagen einen Export aller Daten anfordern. Danach werden die Daten unwiderruflich gelöscht (einschließlich Backups) innerhalb von 90 Tagen.

9. Audit

Der Customer kann einmal jährlich ein Audit der DPA-Konformität anfordern. Das Audit erfolgt auf Basis der von Unimoni bereitgestellten Berichte (SOC2, Pen-Test-Summaries) oder, nach Vereinbarung, durch eine On-Site-Prüfung (auf Kosten des Customers).

10. Unterzeichnung

Für die Tarife Business und Enterprise wird das DPA separat unterzeichnet. Fordern Sie eine gegengezeichnete Kopie unter [email protected] an.