CERTISCAN

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

gemäß Art. 28 DSGVO

zwischen dem Kunden der CERTISCAN-Plattform (nachfolgend "Verantwortlicher") und der CERTISCAN GmbH (i.G.), Am Muehlenberg 15, 57078 Siegen (nachfolgend "Auftragsverarbeiter").

§ 1 Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen gemäß den Weisungen des Verantwortlichen. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des SaaS-Nutzungsvertrages. Der AVV endet automatisch mit Beendigung des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der Bereitstellung der CERTISCAN-Plattform für digitales Facility Management. Dies umfasst:

  • Benutzerkontenverwaltung und Authentifizierung (JWT, Magic Links)
  • Zeiterfassung und Arbeitszeitdokumentation (ArbZG)
  • Reinigungsdokumentation und Qualitätskontrolle
  • Prüfprotokolle und Compliance-Nachweise
  • Hinweisgebermeldungen gemäß HinSchG
  • Rechnungsstellung und Zahlungsabwicklung
  • QR-Code-basierte Dokumentation

§ 3 Kategorien personenbezogener Daten

  • Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Organisationszugehörigkeit
  • Zugangsdaten: Passwort-Hash (bcrypt), Sitzungs-Token (JWT)
  • Arbeitszeitdaten: Ein-/Ausstempel-Zeitpunkte, Arbeitsort, Pausenzeiten
  • Reinigungsdaten: Zeitstempel, Raumzuordnung, Fotodokumentation
  • Prüfungsdaten: Prüfprotokolle, Checklisten, Evidence-Packs
  • HinSchG-Meldungen: Anonyme oder pseudonyme Hinweise (keine Klarnamen des Meldenden)
  • Abrechnungsdaten: Rechnungsanschrift, Zahlungsinformationen

§ 4 Kategorien betroffener Personen

  • Beschäftigte des Verantwortlichen (Reinigungskräfte, Facility Manager, Administratoren)
  • Subunternehmer und deren Mitarbeitende
  • Hinweisgeber (anonymisiert gemäß HinSchG)
  • Kunden des Verantwortlichen (bei Nutzung des Kundenportals)

Gäste und Besucher, die QR-Codes scannen, werden nicht personenbezogen erfasst (Public View ohne Authentifizierung).

§ 5 Weisungsgebundene Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen können schriftlich, per E-Mail oder über die Plattform-Einstellungen erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen.

§ 6 Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

6.1 Verschlüsselung - TLS 1.3 für alle Datenübertragungen (Transit) - AES-256-Verschlüsselung auf Speicherebene (Hetzner Cloud) - bcrypt-Hashing für Passwörter (Cost Factor 12)

6.2 Zugriffskontrolle - Rollenbasiertes Berechtigungssystem (RBAC) mit 7 Rollen - JWT-basierte Authentifizierung mit konfigurierbarer Token-Laufzeit - Brute-Force-Schutz: 5 Fehlversuche führen zu 15-minütiger Sperre - Multi-Tenant-Architektur: organization_id auf jeder Datenbanktabelle

6.3 Protokollierung - WORM-Audit-Trail mit SHA-256 Hash-Chain (unveränderbar, append-only) - Aufbewahrung der Audit-Logs: 10 Jahre - Keine UPDATE- oder DELETE-Operationen auf Audit-Einträgen

6.4 Verfügbarkeit und Belastbarkeit - Hosting: Hetzner Cloud, Rechenzentrum Nürnberg/Falkenstein (ISO 27001) - Tägliche verschlüsselte Backups - Angestrebte Verfügbarkeit: 99,5 % im Jahresmittel

6.5 Trennbarkeit - Strikte Mandantentrennung durch organization_id auf jeder Tabelle - Kein mandantenübergreifender Datenzugriff möglich - Separate Verschlüsselungsschlüssel pro Organisation (geplant)

6.6 Eingabekontrolle - XSS-Schutz durch Input-Sanitization - SQL-Injection-Schutz durch Prisma ORM (parametrisierte Abfragen) - Rate-Limiting: 100 Anfragen/Minute pro IP

§ 7 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen – Server-Hosting, Rechenzentrum Deutschland
  • Strato AG, Pascalstr. 10, 10587 Berlin – Domain-Registrierung und DNS

Der Verantwortliche stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu. Beabsichtigt der Auftragsverarbeiter, einen weiteren Unterauftragsverarbeiter einzusetzen oder zu wechseln, wird er den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail informieren. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.

Alle Unterauftragsverarbeiter verarbeiten Daten ausschließlich innerhalb der EU/des EWR. Ein Transfer in Drittländer findet nicht statt.

§ 8 Meldepflicht bei Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme. Die Meldung enthält:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und gegenüber den betroffenen Personen (Art. 34 DSGVO).

§ 9 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)

CERTISCAN bietet Self-Service-Funktionen: Datenexport als ZIP-Archiv (EU Data Act konform), Profilbearbeitung und Account-Löschung über die Plattform.

§ 10 Unterstützung bei DSFA

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und bei vorherigen Konsultationen der Aufsichtsbehörde (Art. 36 DSGVO), soweit dies für die Verarbeitung im Auftrag erforderlich ist.

§ 11 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der TOMs und der Bestimmungen dieses AVV zu überprüfen. Überprüfungen (einschließlich Inspektionen) sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und so durchzuführen, dass der laufende Betrieb nicht unverhältnismäßig beeinträchtigt wird.

§ 12 Löschung und Rückgabe

Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Vor der Löschung hat der Verantwortliche die Möglichkeit, alle Daten zu exportieren (ZIP-Export).

Ausnahmen von der Löschung:

  • WORM-Audit-Trail: Wird anonymisiert aufbewahrt (10 Jahre, gesetzliche Pflicht)
  • Rechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
  • HinSchG-Meldungen: 3 Jahre nach Verfahrensabschluss (§ 11 HinSchG)

§ 13 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für die von ihr verursachten Schäden gegenüber betroffenen Personen gemäß den gesetzlichen Bestimmungen. Im Innenverhältnis gelten die Haftungsregelungen des Hauptvertrages (AGB § 10).

§ 14 Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Mündliche Nebenabreden bestehen nicht. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Siegen.

Dieser AVV ist Bestandteil des SaaS-Nutzungsvertrages zwischen dem Verantwortlichen und CERTISCAN.

Stand: März 2026 CERTISCAN GmbH (i.G.), Siegen

Diesen AVV verwenden

Drucken Sie diese Seite (Strg+P) oder kontaktieren Sie uns für ein unterschriebenes Exemplar.

Kontakt: avv@certiscan.de