Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO

Projekt / Dienst: OmniCortex
Dokument: Auftragsverarbeitung / AVV
Version: 1.0
Stand: 21.06.2026
Betreiber / Auftragnehmer: Tomi Hauptkorn, handelnd unter der Projekt- und Markenbezeichnung OmniCortex

1. Parteien

1.1 Auftragnehmer

Tomi Hauptkorn
handelnd unter der Projekt- und Markenbezeichnung OmniCortex
Plaggenbrauckstr. 51
45768 Marl
Deutschland
E-Mail: kontakt@omnicortex.de

1.2 Auftraggeber

Auftraggeber ist der jeweilige Kunde, der OmniCortex auf Grundlage eines Angebots, Projektauftrags, Pilotvertrags, SaaS-Vertrags oder einer sonstigen dokumentierten Vereinbarung mit Leistungen beauftragt, bei denen personenbezogene Daten im Auftrag verarbeitet werden.

Der Auftraggeber bleibt Verantwortlicher, soweit er über Zwecke und Mittel der Verarbeitung entscheidet. OmniCortex handelt in diesen Fällen als Auftragsverarbeiter.

2. Gegenstand

Gegenstand der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten im Rahmen der jeweils beauftragten OmniCortex-Leistungen, insbesondere Audit-, Evidence-, Governance-, Website-, Funnel-, Content-, Property-, Workflow-, Demo-, Pilot- oder SaaS-Leistungen.

Eine Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht Bestandteil der Standardleistung und darf nur erfolgen, wenn dies ausdrücklich vereinbart, erforderlich, rechtlich zulässig und technisch abgesichert ist.

3. Weisung, Vertraulichkeit und TOMs

OmniCortex verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht entgegensteht. Personen mit Zugriff auf personenbezogene Daten werden zur Vertraulichkeit verpflichtet.

OmniCortex trifft angemessene technische und organisatorische Maßnahmen, insbesondere Zugriffsbeschränkung, Rollen- und Rechtekonzept, TLS/HTTPS, sichere Zugangsdatenverwaltung, Protokollierung sicherheitsrelevanter Vorgänge, Backup- und Wiederherstellungslogik, Patch- und Updateprozesse, Datenminimierung, Löschprozesse und Kontrolle von Unterauftragsverarbeitern.

4. Technischer Projektstand

Die Website OmniCortex.de wird nach Betreiberangabe bei all-inkl.com gehostet. WordPress wird mit aktiven Plugins für Consent, Matomo Analytics, Formulare, SMTP, SEO, Sicherheit, SVG-Verarbeitung sowie OmniCortex-eigene Workflow-/Audit-Funktionen betrieben.

Die SaaS-Systeme befinden sich noch in Entwicklung. Produktive SaaS-, Demo- und Pilotverarbeitung wird erst nach dokumentierter technischer und datenschutzrechtlicher Freigabe aufgenommen.

5. Unterauftragsverarbeiter

Bekannter Anbieterstand:

• all-inkl.com für Website-Hosting
• projektinterne Entwicklungs-/Serverumgebung für SaaS-Entwicklung
• Hetzner als künftig geplanter Hostinganbieter für SaaS-Systeme
• Matomo als lokal eingebundenes WordPress-Analytics-System
• Complianz, Fluent Forms, FluentSMTP sowie AI Provider for OpenAI als aktive WordPress-Komponenten

Vor produktiver Verarbeitung von Kundendaten im Auftrag ist eine konkrete Subprozessorenliste mit Anbietername, Leistung, Standort, Drittlandbezug, AVV-/Sicherheitsstatus und Widerspruchsmöglichkeit zu führen.

6. KI- und API-Schutz

Soweit KI- oder API-Dienste eingesetzt werden, erfolgt keine Übermittlung personenbezogener Echtdaten ohne Rechtsgrundlage, Vertrag und Freigabe. KI-Ergebnisse dürfen nicht als alleinige Freigabeentscheidung genutzt werden.

KI unterstützt. Menschen prüfen, entscheiden und geben frei.

7. Freigabebedingungen vor produktiver Kundendatenverarbeitung

• konkrete Subprozessorenliste
• dokumentierte TOMs
• geklärtes Hosting für SaaS/Pilot
• geklärte KI-/API-Verarbeitung
• Lösch- und Backup-Konzept
• Rollen- und Rechtekonzept
• Incident-Prozess
• fachliche Datenschutzprüfung