As of: Jul 17, 2026
zwischen dem Kunden der CERTISCAN-Plattform (nachfolgend "Verantwortlicher") und dem Einzelunternehmen CERTISCAN, Inhaber Christoph Schulz, Am Mühlenberg 15, 57078 Siegen (nachfolgend "Auftragsverarbeiter").
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen gemäß den Weisungen des Verantwortlichen. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des SaaS-Nutzungsvertrages. Der AVV endet automatisch mit Beendigung des Hauptvertrages.
Die Verarbeitung erfolgt zum Zweck der Bereitstellung der CERTISCAN-Plattform für digitales Facility Management. Dies umfasst:
Gäste und Besucher, die QR-Codes scannen, werden nicht personenbezogen erfasst (Public View ohne Authentifizierung).
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen können schriftlich, per E-Mail oder über die Plattform-Einstellungen erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen.
Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:
Der Verantwortliche stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu. Beabsichtigt der Auftragsverarbeiter, einen weiteren Unterauftragsverarbeiter einzusetzen oder zu wechseln, wird er den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail informieren. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.
Alle Unterauftragsverarbeiter verarbeiten Daten ausschließlich innerhalb der EU/des EWR. Ein Transfer in Drittländer findet nicht statt.
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme. Die Meldung enthält:
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und gegenüber den betroffenen Personen (Art. 34 DSGVO).
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte:
CERTISCAN bietet Self-Service-Funktionen: Datenexport als ZIP-Archiv (EU Data Act konform), Profilbearbeitung und Account-Löschung über die Plattform.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und bei vorherigen Konsultationen der Aufsichtsbehörde (Art. 36 DSGVO), soweit dies für die Verarbeitung im Auftrag erforderlich ist.
Der Verantwortliche hat das Recht, die Einhaltung der TOMs und der Bestimmungen dieses AVV zu überprüfen. Überprüfungen (einschließlich Inspektionen) sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und so durchzuführen, dass der laufende Betrieb nicht unverhältnismäßig beeinträchtigt wird.
Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Vor der Löschung hat der Verantwortliche die Möglichkeit, alle Daten zu exportieren (ZIP-Export).
Ausnahmen von der Löschung:
Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für die von ihr verursachten Schäden gegenüber betroffenen Personen gemäß den gesetzlichen Bestimmungen. Im Innenverhältnis gelten die Haftungsregelungen des Hauptvertrages (AGB § 10).
Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Mündliche Nebenabreden bestehen nicht. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Siegen.
Dieser AVV ist Bestandteil des SaaS-Nutzungsvertrages zwischen dem Verantwortlichen und CERTISCAN.
Stand: März 2026 CERTISCAN, Inhaber Christoph Schulz, Siegen