CERTISCAN

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO – Mustervertrag

§ 1 Gegenstand und Dauer

Der Auftragsverarbeiter (CERTISCAN GmbH, „CERTISCAN") verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Kunde) gemäß den Weisungen des Verantwortlichen. Die Dauer richtet sich nach dem Vertragsverhältnis.

§ 2 Art und Zweck der Verarbeitung

Verarbeitung von Account-Daten (Name, E-Mail), Reinigungsdaten (Zeitstempel, GPS, Fotos) und anonymisierten Feedback-Daten zum Zweck der digitalen Reinigungsdokumentation und Qualitätssicherung.

§ 3 Kategorien betroffener Personen

Beschäftigte des Verantwortlichen (Reinigungskräfte, Manager, Administratoren). Gäste/Besucher werden nicht personenbezogen erfasst.

§ 4 Technisch-organisatorische Maßnahmen (TOMs)

Verschlüsselung: TLS 1.3 (Transit), AES-256 (at Rest, Hetzner)

Zugriffskontrolle: RBAC mit 5 Rollen (Guest, Operator, Manager, Admin, Super-Admin), JWT-basierte Authentifizierung, Brute-Force-Schutz (5 Versuche → 15 Min Sperre)

Protokollierung: WORM-Audit-Trail (SHA-256 Hash-Chain, unveränderbar, 10 Jahre Aufbewahrung)

Verfügbarkeit: Hetzner Cloud SLA 99.9%, tägliche Backups

Trennbarkeit: Multi-Tenant-Architektur mit organization_id auf jeder Tabelle, kein Cross-Tenant-Zugriff

Input-Validierung: XSS-Schutz (sanitize-html), SQL-Injection-Schutz (Prisma ORM), Rate-Limiting (100 Req/Min)

§ 5 Unterauftragsverarbeiter

Hetzner Online GmbH (Hosting, Standort Deutschland), E-Mail-Dienstleister (Versand von Benachrichtigungen).

§ 6 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenportabilität (Art. 20).

CERTISCAN bietet Self-Service: Account-Löschung (DELETE /api/auth/account), Datenexport (GET /api/auth/account/export).

§ 7 Löschung und Rückgabe

Nach Beendigung des Vertrags werden personenbezogene Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der WORM-Audit-Trail wird anonymisiert aufbewahrt (10 Jahre).

§ 8 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der TOMs zu überprüfen. Prüfungen sind mit angemessener Vorlaufzeit (14 Tage) anzukündigen.

Diesen AVV verwenden

Drucken Sie diese Seite (Strg+P) oder kontaktieren Sie uns für ein unterschriebenes Exemplar.

Kontakt: avv@certiscan.de

Datenschutz · Impressum · Hilfe