Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO). Gültig ab: 1. März 2026.

Dieser Auftragsverarbeitungsvertrag ('AVV') wird zwischen Iten Media (handelnd als PassportLab), Im Winkel 8, 50189 Elsdorf, Deutschland ('Auftragsverarbeiter') und dem Kunden, der die PassportLab-Nutzungsbedingungen akzeptiert hat ('Verantwortlicher'), geschlossen. Dieser AVV ergänzt die Nutzungsbedingungen und ist Bestandteil davon.

1. Gegenstand, Art und Dauer

Der Auftragsverarbeiter stellt im Auftrag des Verantwortlichen eine Digitale Produktpass (DPP)-Plattform für die EU-ESPR-Konformität bereit. Die Verarbeitung erfolgt für die Dauer des Abonnements und setzt sich für den gesetzlich vorgeschriebenen 10-jährigen DPP-Archivierungszeitraum gemäß der Ökodesign-Verordnung für nachhaltige Produkte (ESPR) fort. Der Auftragsverarbeiter handelt ausschließlich auf dokumentierte Weisung des Verantwortlichen.

2. Datenkategorien und betroffene Personen

Der Auftragsverarbeiter kann im Auftrag des Verantwortlichen folgende Kategorien personenbezogener Daten verarbeiten: (a) Kontodaten – Namen, E-Mail-Adressen und Unternehmensdaten der autorisierten Nutzer des Verantwortlichen; (b) Produktpassdaten – Lieferantennamen, Herstelleradressen und sonstige personenbezogene Daten, die der Verantwortliche in Passfelder eingibt; (c) Nutzungs- und Auditdaten – IP-Adressen, Sitzungskennungen und Zugriffszeitstempel im Audit-Protokoll. Betroffene Personen sind Mitarbeiter, Administratoren des Verantwortlichen sowie natürliche Personen, deren Daten in Produktpassfeldern erscheinen.

3. Pflichten des Verantwortlichen

Der Verantwortliche versichert, dass: (a) er eine gültige Rechtsgrundlage für alle auf der Plattform übermittelten personenbezogenen Daten besitzt; (b) er alle erforderlichen Informationen an betroffene Personen erteilt hat; (c) er keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ohne vorherige schriftliche Vereinbarung übermittelt; (d) er den Auftragsverarbeiter unverzüglich informiert, wenn nach seiner Einschätzung eine Weisung gegen die DSGVO oder anwendbares Datenschutzrecht verstößt.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich: (a) personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten; (b) sicherzustellen, dass autorisiertes Personal angemessenen Vertraulichkeitspflichten unterliegt; (c) die in Abschnitt 6 beschriebenen technischen und organisatorischen Maßnahmen umzusetzen und aufrechtzuerhalten; (d) den Verantwortlichen bei der Erfüllung seiner Pflichten hinsichtlich Betroffenenrechten (Art. 15–22 DSGVO) und Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) zu unterstützen; (e) den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden einer Datenpanne zu benachrichtigen; (f) alle personenbezogenen Daten nach Vertragsende auf Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern nicht Unions- oder Mitgliedstaatenrecht eine weitere Speicherung vorschreibt.

5. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz folgender Unterauftragsverarbeiter: (a) Hetzner Online GmbH (Frankfurt, Deutschland) – Cloud-Infrastruktur und Datenhosting; (b) Stripe Payments Europe Ltd. (Dublin, Irland) – Zahlungsabwicklung; (c) Matomo (selbst gehostet, Deutschland) – datenschutzfreundliche Analyse. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen bei Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch gegen einen neuen Unterauftragsverarbeiter erheben; wird keine Einigung erzielt, kann der Verantwortliche die betroffenen Dienste kündigen. Alle Unterauftragsverarbeiter unterliegen Datenschutzverpflichtungen, die mindestens denen dieses AVV entsprechen.

6. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter implementiert und pflegt folgende Maßnahmen: (a) Verschlüsselung ruhender Daten – alle personenbezogenen Daten werden mit AES-256 verschlüsselt; Zugangsdaten und Signierschlüssel werden mit symmetrischer Fernet-Verschlüsselung gespeichert; (b) Verschlüsselung übertragener Daten – TLS 1.2+ wird für den gesamten API- und Webverkehr erzwungen; HSTS-Header werden angewandt; (c) Zugriffskontrollen – rollenbasierter Zugriff; Multi-Faktor-Authentifizierung (TOTP) verfügbar; API-Schlüssel werden ausschließlich als SHA-256-Hashes gespeichert; (d) Audit-Protokollierung – unveränderliches, hash-verkettetes Audit-Protokoll für alle Datenänderungen; MySQL-Trigger verhindern Manipulation; (e) Datensparsamkeit – stakeholder-rollenbasierte Feldfilterung; SD-JWT Selective Disclosure für die Weitergabe von Credentials an Dritte; (f) Infrastruktur – alle Daten ausschließlich auf EU-Servern in Frankfurt, Deutschland gehostet; (g) Incident Response – 72-Stunden-Benachrichtigungsverfahren bei Datenpannen; Bereitschaftsüberwachung für API-Verfügbarkeit.

7. Betroffenenrechte

Nach Erhalt eines verifizierten, vom Verantwortlichen weitergeleiteten Betroffenenantrags unterstützt der Auftragsverarbeiter diesen durch Bereitstellung der relevanten Daten in strukturiertem, maschinenlesbarem Format (JSON/CSV) innerhalb von 5 Werktagen. Löschanträge werden innerhalb von 30 Tagen umgesetzt, vorbehaltlich gesetzlicher Aufbewahrungspflichten nach ESPR und deutschem Handelsrecht (HGB). Datenportabilität wird jederzeit über den Endpunkt /org/export unterstützt.

8. Meldung von Datenpannen

Im Falle einer Datenpanne, die unter diesen AVV fallende Daten betrifft, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich und spätestens 72 Stunden nach Bekanntwerden der Panne. Die Meldung enthält: (a) die Art der Panne; (b) die Kategorien und die ungefähre Anzahl betroffener Personen und Datensätze; (c) die voraussichtlichen Folgen der Panne; (d) die ergriffenen oder geplanten Maßnahmen zur Behebung. Der Verantwortliche bleibt für die Meldung an die zuständige Aufsichtsbehörde (Landesbeauftragte für Datenschutz, NRW) und betroffene Personen verantwortlich, soweit erforderlich.

9. Audits und Inspektionen

Der Verantwortliche kann die Datenverarbeitungsaktivitäten des Auftragsverarbeiters im Rahmen dieses AVV höchstens einmal pro Kalenderjahr mit mindestens 14 Tagen schriftlicher Vorankündigung prüfen. Audits werden während der regulären Geschäftszeiten auf Kosten des Verantwortlichen durchgeführt und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen. Der Auftragsverarbeiter kann Auditanfragen durch Vorlage aktueller Drittprüfberichte oder Zertifizierungen (z.B. ISO 27001) erfüllen, soweit verfügbar.

10. Anwendbares Recht

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Alle Streitigkeiten aus diesem AVV unterliegen der ausschließlichen Zuständigkeit der Gerichte in Köln, Deutschland. Bei Widersprüchen zwischen diesem AVV und den von der Europäischen Kommission herausgegebenen Standardvertragsklauseln (SCC) gehen die SCC hinsichtlich grenzüberschreitender Datenübermittlungen vor.