Anlage 2: Managed Cloud & Sicherheit

Annex 2: Managed Cloud Operations & Security
Triple C Labs GmbH
HRB 111967
Zusatzvereinbarung zu den AGB
Rev: 10.02.2026
Dokumententyp Bedingungen für sicheren Cloud-Betrieb & Vertraulichkeit
Document Type Terms for Secure Cloud Operations & Confidentiality
Zweck Regelung der administrativen Zugriffsrechte zur Sicherstellung des Betriebs und Garantien zur Datensicherheit.
Purpose Regulation of administrative access rights to ensure operations and guarantees regarding data security.

1. Geltungsbereich

1. Scope

Diese Anlage gilt ausschließlich für Kunden, die das Hosting-Modell „CoCoCo Managed Cloud“ gewählt haben. Sie definiert die Sicherheitsstandards und Zugriffsrechte für den Betrieb der dedizierten Kundeninstanz durch den Anbieter (Triple C Labs).

This Annex applies exclusively to customers who have selected the "CoCoCo Managed Cloud" hosting model. It defines the security standards and access rights for the operation of the dedicated Customer instance by the Provider (Triple C Labs).

2. Betriebsbeauftragung (Admin-Zugriff)

2. Operational Authorization (Admin Access)

Der Kunde beauftragt Triple C Labs, die technische Infrastruktur der CoCoCo Platform zu betreiben, zu warten und abzusichern. Hierfür räumt der Kunde die notwendigen technischen Zugriffsrechte ein.

Dies beinhaltet:

  • Administrativen Zugriff auf Server, Datenbanken und Applikations-Container zur Sicherstellung der Verfügbarkeit.
  • Einspielen von Sicherheits-Updates und Patches.
  • Durchführung von Backups und Disaster-Recovery-Maßnahmen.

The Customer commissions Triple C Labs to operate, maintain, and secure the technical infrastructure of the CoCoCo Platform. For this purpose, the Customer grants the necessary technical access rights.

This includes:

  • Administrative access to servers, databases, and application containers to ensure availability.
  • Deployment of security updates and patches.
  • Execution of backups and disaster recovery measures.

3. Vertraulichkeit & Datensicherheit

3. Confidentiality & Data Security

Triple C Labs verpflichtet sich, alle im Rahmen des Cloud-Betriebs zugänglichen Daten des Kunden (z.B. Produktionsdaten, Kalkulationen, Kundendaten) streng vertraulich zu behandeln.

Triple C Labs commits to treating all Customer data accessible within the scope of cloud operations (e.g., production data, calculations, customer data) as strictly confidential.

Unsere Sicherheitsgarantien:

  • Zweckbindung: Wir nutzen Zugriffsrechte ausschließlich zur Erbringung der geschuldeten Leistung (Wartung, Support, Entstörung). Eine Nutzung zu anderen Zwecken (z.B. Analyse von Geschäftsgeheimnissen) ist ausgeschlossen.
  • Verschwiegenheit: Kundendaten werden weder an unbefugte Dritte weitergegeben noch für eigene Zwecke genutzt.
  • Need-to-Know: Technischer Zugriff auf Klartextdaten erfolgt nur, wenn dies zur Fehlerbehebung unvermeidbar ist.

Our Security Guarantees:

  • Purpose Limitation: We use access rights exclusively to provide the owed service (maintenance, support, troubleshooting). Usage for other purposes (e.g., analysis of trade secrets) is excluded.
  • Non-Disclosure: Customer data will neither be disclosed to unauthorized third parties nor used for our own purposes.
  • Need-to-Know: Technical access to plain-text data occurs only if unavoidable for troubleshooting.

4. Zugriffskontrolle & Personal

4. Access Control & Personnel

Triple C Labs stellt sicher, dass administrativer Zugriff auf die Cloud-Instanz nur durch qualifiziertes Personal erfolgt, das:

  1. schriftlich auf das Datengeheimnis und die Vertraulichkeit verpflichtet wurde, und
  2. regelmäßig im Umgang mit sensiblen Daten geschult wird.

Alle administrativen Zugriffe werden protokolliert und für 12 Monate aufbewahrt.

Triple C Labs ensures that administrative access to the Cloud instance is performed only by qualified personnel who:

  1. have been committed in writing to data secrecy and confidentiality, and
  2. are regularly trained in handling sensitive data.

All administrative access is logged and retained for 12 months.

5. Notfall-Zugriff (Incident Response)

5. Incident Response (Break Glass)

Um Schaden vom Kunden abzuwenden (z.B. bei Cyber-Angriffen oder Datenverlust), ist Triple C Labs berechtigt, sofortige Sicherungsmaßnahmen an der Instanz vorzunehmen ("Break Glass"). Über solche Eingriffe wird der Kunde unverzüglich informiert.

To avert damage from the Customer (e.g., during cyber-attacks or data loss), Triple C Labs is entitled to take immediate protective measures on the instance ("Break Glass"). The Customer will be informed of such interventions immediately.

6. Backups & Disaster Recovery

6. Backups & Disaster Recovery

Triple C Labs erstellt automatisierte tägliche Backups der Kundeninstanz. Diese werden verschlüsselt gespeichert und für mindestens 30 Tage aufbewahrt.

Disaster Recovery: Im Notfall (z.B. Hardware-Ausfall, Cyber-Angriff) ist Triple C Labs berechtigt und verpflichtet, sofortige Wiederherstellungsmaßnahmen durchzuführen. Der Kunde wird über solche Vorfälle unverzüglich informiert.

Triple C Labs performs automated daily backups of the Customer instance. These are stored encrypted and retained for at least 30 days.

Disaster Recovery: In case of emergency (e.g., hardware failure, cyber-attack), Triple C Labs is authorized and obligated to perform immediate recovery measures. The Customer will be informed of such incidents immediately.

7. Verschlüsselung & Datensicherheit

7. Encryption & Data Security

Kundendaten werden sowohl in Transit (TLS 1.3) als auch at Rest (AES-256) verschlüsselt. Die Datenverarbeitung erfolgt ausschließlich in Rechenzentren mit ISO 27001 Zertifizierung.

Sub-Prozessoren: Die genehmigten Hosting-Provider und Sub-Prozessoren sind im AVV (DPA) Anlage 2 aufgeführt. Ein Wechsel des Providers erfolgt nur gemäß den dort definierten Benachrichtigungsfristen.

Customer data is encrypted both in transit (TLS 1.3) and at rest (AES-256). Data processing takes place exclusively in data centers with ISO 27001 certification.

Sub-Processors: Approved hosting providers and sub-processors are listed in the DPA (AVV) Annex 2. A change of provider will only occur in accordance with the notification periods defined therein.

8. Datenherausgabe & Löschung

8. Return of Data & Deletion

Auf Anforderung des Kunden (vor Vertragsende) stellt Triple C Labs einen vollständigen Datenexport zur Verfügung. Nach Vertragsende gelten die Regelungen der Haupt-AGB §6: Ihre Daten werden für eine Kulanzfrist von 3 Monaten aufbewahrt, danach sicher gelöscht.

Backups: Backup-Daten werden spätestens 90 Tage nach Vertragsende automatisch gelöscht. Die Pflicht zur Vertraulichkeit besteht auch nach Vertragsende unbefristet fort.

Upon Customer request (before contract termination), Triple C Labs will provide a complete data export. After contract termination, the provisions of the main Terms §6 apply: Your data will be retained for a grace period of 3 months, then securely deleted.

Backups: Backup data will be automatically deleted no later than 90 days after contract termination. The obligation of confidentiality continues indefinitely even after contract termination.

9. Verfügbarkeit & Wartungsfenster

9. Availability & Maintenance Windows

Die Service Level Agreements (SLA) sind in den Haupt-AGB §9 definiert: Wir garantieren eine Verfügbarkeit von 99,5% im Monatsdurchschnitt. Geplante Wartungsarbeiten werden mindestens 48 Stunden im Voraus angekündigt und bevorzugt in lastarmen Zeiten der jeweiligen Hosting-Region durchgeführt.

Notfall-Wartung: Bei kritischen Sicherheitsvorfällen behält sich Triple C Labs vor, ohne Vorankündigung Notfallwartungen durchzuführen.

Service Level Agreements (SLA) are defined in the main Terms §9: We guarantee an uptime of 99.5% on a monthly average. Scheduled maintenance will be announced at least 48 hours in advance and preferably performed during off-peak hours of the respective hosting region.

Emergency Maintenance: In case of critical security incidents, Triple C Labs reserves the right to perform emergency maintenance without prior notice.