QX Logo

AVV /
AUFTRAGSVERARBEITUNG

(ART. 28 DSGVO)

Soweit QuanteliX personenbezogene Daten im Auftrag verarbeitet, schließen wir mit unseren Kunden eine Vereinbarung zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO ab.
Anfrage per E-Mail an legal@quantelix.io. Auf Wunsch senden wir auch die aktuelle Sub-Processor-Liste.
AVV ANFORDERN SECURITY / TRUST

WANN IST EINE AVV ERFORDERLICH?

Eine AVV ist erforderlich, wenn QuanteliX im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag und nach Weisung des Kunden verarbeitet – z. B. bei Support, Betrieb, Customizing oder Entwicklungsleistungen innerhalb der Kundensysteme.

KEY FACTS

ROLLE

QuanteliX handelt im Regelfall als Auftragsverarbeiter.

HOSTING

Verarbeitung erfolgt ausschließlich im Tenant/der Umgebung des Kunden (z. B. Microsoft Azure, Dynamics 365, M365). QuanteliX stellt keine eigenen Hosting-Systeme für Kundendaten bereit.

ZUGRIFF

Je nach Projekt ist Zugriff auf Produktivdaten erforderlich (rollenbasiert, nach Need-to-know).

SUB-PROCESSORS

QuanteliX setzt ausgewählte Sub-Processors ein. Eine aktuelle Sub-Processor-Liste stellen wir auf Anfrage bereit und regeln die Einbindung vertraglich im Rahmen der AVV.

DATENRESIDENZ

EU-/Deutschland-Anforderungen werden projektspezifisch im Kundentenant umgesetzt.

TYPISCHE VERARBEITUNGSSZENARIEN

SERVICES

Microsoft D365 (Customizing/Development)
ERP/BI
Data Foundation für KI
Managed Services / Support

BETROFFENE PERSONEN

Kunden und Interessenten
Mitarbeiter des Kunden
Lieferanten-/Partnerkontakte

DATENKATEGORIEN

  • Mitarbeiter-, Kunden- und Lieferantenstammdaten
  • Transaktionsdaten
  • Support-Tickets und Kommunikationsinhalte (sofern durch den Kunden bereitgestellt)

HIGH LEVEL SICHERHEITSMASSNAHMEN

QuanteliX implementiert technische und organisatorische Maßnahmen, die dem Risiko angemessen sind. Beispiele:
  • Verpflichtende MFA und Conditional Access Policies
  • Rollen- und Berechtigungskonzept (Least Privilege)
  • Protokollierung/Logging und Sicherheitsmonitoring (im Rahmen der Kundensysteme, soweit anwendbar)
  • Secure Remote Access
  • Verschlüsselung gemäß Plattformstandard (kundenseitig/Cloud)
  • Secure SDLC sowie Change-/Release-Prozesse
  • Patch- und Device-Management (sofern in unserem Einflussbereich)

UNTERAUFTRAGSVERARBEITER SUB-PROCESSORS

Soweit QuanteliX Sub-Processors einsetzt, erfolgt dies kontrolliert und vertraglich abgesichert. Sub-Processors werden nur eingebunden, wenn sie für definierte Zwecke erforderlich sind und angemessene Sicherheitsstandards erfüllen.
  • Aktuelle Liste auf Anfrage Bereitstellung der Sub-Processor-Liste über legal@quantelix.io
  • Vertragliche Absicherung Flow-down-Verpflichtungen nach Art. 28 DSGVO (u. a. Vertraulichkeit, TOMs, Unterstützungspflichten)
  • Zugriffsbeschränkung Zugriff nur soweit erforderlich (Need-to-know), rollenbasiert; Protokollierung soweit anwendbar
  • Änderungsmanagement Änderungen/Ergänzungen gemäß AVV mit angemessener Vorankündigung und vertraglichem Verfahren
  • Drittlandtransfers Falls anwendbar, Einsatz geeigneter Garantien (z. B. EU-Standardvertragsklauseln), geregelt in der AVV

OPERATIVE PROZESSE

Security Incident / Breach Notification Information des Kunden innerhalb von 24–72 Stunden nach Kenntnis (gemäß AVV/Projektstandard; unverzüglich/„without undue delay“).
Rückgabe & Löschung Rückgabe aller Projektartefakte; Löschung vorhandener Kopien, sofern vorhanden und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Audit & Assistance Remote-Audits auf Anfrage mit angemessener Vorankündigung; Unterstützung bei Betroffenenrechten und Behördenanfragen gemäß AVV.

AVV ANFORDERN

Senden Sie Ihre Anfrage an legal@quantelix.io. Wir stellen Ihnen unseren Standard-AVV zur Verfügung und unterstützen bei der Abstimmung mit Compliance und Procurement. Auf Wunsch erhalten Sie zusätzlich die aktuelle Sub-Processor-Liste sowie eine Kurzbeschreibung der jeweiligen Verarbeitungstätigkeiten.
AVV PER E-MAIL ANFORDERN

FAQ

FAQ
1.

Hostet QuanteliX Kundendaten auf eigenen Systemen?

Nein. Die Verarbeitung erfolgt ausschließlich in den Systemen/Tenants des Kunden (z. B. Microsoft Azure/D365/M365). QuanteliX stellt keine eigenen Hosting-Systeme für Kundendaten bereit.
2.

Greift QuanteliX auf Produktivdaten zu?

Je nach Projekt und Beauftragung kann Zugriff auf Produktivdaten erforderlich sein, z. B. für Support, Troubleshooting, Betrieb oder Fehleranalyse. Zugriff erfolgt rollenbasiert und nach dem Need-to-know-Prinzip.
3.

Setzt QuanteliX Sub-Processors ein?

Ja, QuanteliX setzt ausgewählte Sub-Processors ein. Eine aktuelle Sub-Processor-Liste stellen wir auf Anfrage bereit und binden Sub-Processors vertraglich gemäß Art. 28 DSGVO ein.
4.

Wie schnell informiert QuanteliX bei Sicherheitsvorfällen?

Wir informieren den Kunden innerhalb von 24–72 Stunden nach Kenntnis, gemäß AVV/Projektstandard und ohne unangemessene Verzögerung.
5.

Wie erhalte ich die AVV und die Sub-Processor-Liste?

Per Anfrage an legal@quantelix.io. Wir stellen den Standard-AVV bereit und senden auf Wunsch die aktuelle Sub-Processor-Liste.