Auftragsverarbeitungsvertrag. In Minuten unterzeichnet.

In unserer Standard-Beauftragung ist der Kunde der Verantwortliche und DPP Automate der Auftragsverarbeiter. Wenn wir eine dritte Partei beauftragen, in unserem Auftrag zu verarbeiten — etwa unseren Authentifizierungs-Anbieter oder unseren Datenbank-Hoster — handelt diese Partei als Unterauftragsverarbeiter. Der AVV regelt die vertragliche Beziehung zwischen Verantwortlichem und Auftragsverarbeiter und bindet unsere Unterauftragsverarbeiter über Back-to-Back-Vereinbarungen an äquivalente Pflichten. Die Vereinbarung gilt für alle personenbezogenen Daten, die der Kunde uns über die Plattform, die API, den Support oder einen strukturierten Import anvertraut.

Der AVV beginnt mit den nach Art. 28 Abs. 3 DSGVO geforderten Angaben: Gegenstand (Betrieb der Digital-Product-Passport-Plattform für den Kunden), Dauer (Laufzeit der zugrunde liegenden Leistungsvereinbarung), Art und Zweck der Verarbeitung (Speichern, Abfragen und Ausspielen von Produkt- und Compliance-Daten), Kategorien personenbezogener Daten und betroffener Personen sowie Pflichten und Rechte des Verantwortlichen. Diese fünf Punkte prüft jeder Regulator und jedes Einkaufsgremium zuerst; wir halten sie auf der ersten Seite der Anlage, nicht in einem Anhang versteckt — leicht zu verifizieren vor der Unterschrift.

Kategorien betroffener Personen sind typischerweise die eigenen Mitarbeitenden des Kunden, die die Plattform bedienen, die Lieferanten des Kunden, die Material-Deklarationen ausfüllen, und — nur wo eine Regulierung im Geltungsbereich es vorsieht — namentlich genannte Personen aus Compliance-Unterlagen. Die Kategorien personenbezogener Daten beschränken sich auf Konto-IDs, geschäftliche Kontaktdaten und die operativen Metadaten, die zur Zuordnung von Aktionen im Audit-Log erforderlich sind. Wir verarbeiten keine besonderen Kategorien personenbezogener Daten, keine Verurteilungs- und keine Kinderdaten. Alles ausserhalb dieser Liste erfordert eine schriftliche Änderung des AVV vor der Aufnahme.

Der AVV erteilt eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern und listet den aktuellen Bestand in einer in Echtzeit gepflegten Anlage unten auf dieser Seite. Wir informieren Kunden mindestens dreissig Tage vor Hinzufügen oder Austausch eines Unterauftragsverarbeiters schriftlich. Der Kunde kann innerhalb dieser Frist aus berechtigten Datenschutzgründen widersprechen — wir nehmen die Änderung zurück oder, wenn sie für den Betrieb essenziell ist, räumen ein straffreies Sonderkündigungsrecht für den betroffenen Leistungsanteil ein. Jeder Unterauftragsverarbeiter ist an äquivalente Datenschutzpflichten gebunden.

Unsere Standardposition ist vollständige EU-Datenresidenz. Personenbezogene Kundendaten werden in Frankfurt gehostet, mit Replik in Amsterdam; im Normalbetrieb verlassen Kundendaten den EU-/EWR-Raum nie. Wo ein Unterauftragsverarbeiter ausserhalb der EU sitzt — etwa unser US-basierter Authentifizierungs-Anbieter — wird die Übermittlung durch die EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914), Modul 2, geregelt und durch ein dokumentiertes Transfer Impact Assessment ergänzt. Die SCC liegen als Anlage zum AVV bei — der Verantwortliche hat den verbindlichen Text in seiner gegengezeichneten Fassung.

Personen mit Zugriff auf personenbezogene Kundendaten sind schriftlich zur Verschwiegenheit verpflichtet — über das Ende ihrer Tätigkeit hinaus. Die technisch-organisatorischen Massnahmen sind in einer eigenen Anlage dokumentiert und stimmen mit den im jährlichen SOC-2-Type-II-Bericht und der ISO-27001-Zertifizierung validierten Kontrollen überein. Das Kontrollset umfasst Berechtigungsverwaltung mit rollenbasierter Autorisierung und kurzlebigen Tokens, Verschlüsselung in der Übertragung und im Ruhezustand, Netzwerk-Segmentierung, Schwachstellen-Management, Logging und Monitoring sowie einen dokumentierten Incident-Response-Plan. Die Anlage wird bei jeder Änderung des Kontrollsets aktualisiert.

Betroffene Personen richten ihre Rechtsanträge an den Verantwortlichen, nicht an uns. Wo ein Antrag irrtümlich bei uns landet, leiten wir ihn weiter, ohne selbst zu agieren. Wir stellen Werkzeuge und dokumentierte APIs bereit, mit denen der Verantwortliche die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch ohne manuelles Support-Ticket erfüllen kann. Wenn der Verantwortliche dennoch menschliche Unterstützung benötigt — etwa zum Auffinden eines Artefakts über mehrere Umgebungen hinweg — antworten wir innerhalb der vom Verantwortlichen schriftlich gesetzten Frist, ohne Mehrkosten.

Wir benachrichtigen den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von vierundzwanzig Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten, die seine Daten betrifft. Die Erstmeldung enthält Art der Verletzung, Kategorien und ungefähre Zahl betroffener Personen und Datensätze, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Massnahmen. Liegen vollständige Informationen noch nicht vor, benennt die Erstmeldung einen Single Point of Contact und einen Folgemeldungstakt. Unser Incident-Response-Runbook wird quartalsweise überprüft und geübt und steht dem Verantwortlichen unter NDA zur Verfügung.

Compliance wird in erster Linie durch unsere jährlichen Drittpartei-Attestate nachgewiesen — SOC 2 Type II und ISO 27001 — die dem Verantwortlichen unter NDA bereitgestellt werden. Wo die Aufsichtsbehörde oder das interne ISMS des Verantwortlichen ein Vor-Ort- oder Remote-Audit über die Attestate hinaus verlangen, ermöglichen wir ein Audit pro Zwölfmonatszeitraum ohne Mehrkosten, mit angemessener Kostenerstattung für weitere Audits. Audits werden mit angemessener Vorlaufzeit koordiniert und so geführt, dass weder die Vertraulichkeit anderer Kunden noch die Integrität der Produktivumgebung beeinträchtigt werden.

Bei Beendigung oder Auslaufen der Leistungsvereinbarung geben wir alle personenbezogenen Kundendaten innert dreissig Tagen nach schriftlicher Anforderung des Verantwortlichen zurück oder löschen sie. Der Verantwortliche wählt die Option. Nach Durchführung stellen wir eine schriftliche Löschbestätigung aus — mit Angabe der Daten, der Umgebungen und der betroffenen Systeme. Backup-Bänder und unveränderliche Audit-Logs werden für den von der jeweiligen Regulierung gesetzten Zeitraum aufbewahrt — typischerweise zehn Jahre für ESPR — und anschliessend nach demselben dokumentierten Plan gelöscht. Diese Aufbewahrungspflichten überdauern die Beendigung der Vereinbarung.