Auftragsverarbeitungsvertrag
Zuletzt aktualisiert: 11. April 2026
Die 30-Sekunden-Version
Sie sind der Verantwortliche, wir sind der Auftragsverarbeiter, die Daten liegen in Frankfurt, und wir informieren Sie innerhalb von 48 Stunden, falls etwas schiefläuft. Unterauftragsverarbeiter sind namentlich aufgeführt. Die nummerierten Abschnitte sind Artikel 28 DSGVO in der Sprache der Juristen.
1. Begriffsbestimmungen
„Verantwortlicher“ bezeichnet die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Sie, der Kunde). „Auftragsverarbeiter“ bezeichnet CarbonTrace (betrieben von Simplinity, Niederlande), das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. „Unterauftragsverarbeiter“ bezeichnet einen vom Auftragsverarbeiter eingeschalteten Dritten, der personenbezogene Daten verarbeitet. „Personenbezogene Daten“ und „Verarbeitung“ haben die in Artikel 4 DSGVO festgelegte Bedeutung.
2. Geltungsbereich und Zweck
Dieser Auftragsverarbeitungsvertrag gilt für jede Verarbeitung personenbezogener Daten durch CarbonTrace im Auftrag des Verantwortlichen im Zusammenhang mit dem CarbonTrace-Dienst zur Berechnung und Berichterstattung des CO2-Fußabdrucks. Die Kategorien der verarbeiteten Daten umfassen: Kontoinformationen (Name, E-Mail), Organisationsdetails, IT-Asset-Daten, Berechnungsergebnisse und Nutzungsmetadaten. Zu den betroffenen Personen zählen die Mitarbeitenden und autorisierten Nutzer des Verantwortlichen.
3. Pflichten des Auftragsverarbeiters
CarbonTrace verpflichtet sich: personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (einschließlich der Nutzungsbedingungen und dieses Vertrags); sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind; geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen (siehe Abschnitt 7); den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zu unterstützen; alle personenbezogenen Daten nach Beendigung des Dienstes nach Wahl des Verantwortlichen zu löschen oder zurückzugeben; und alle erforderlichen Informationen zum Nachweis der Einhaltung bereitzustellen.
4. Pflichten des Verantwortlichen
Der Verantwortliche verpflichtet sich: sicherzustellen, dass er über eine Rechtsgrundlage für die Verarbeitung der an CarbonTrace übermittelten personenbezogenen Daten verfügt; Weisungen zu erteilen, die dem geltenden Datenschutzrecht entsprechen; und CarbonTrace unverzüglich über Änderungen zu informieren, die sich auf die Anforderungen an die Datenverarbeitung auswirken.
5. Unterauftragsverarbeiter
CarbonTrace setzt die folgenden Unterauftragsverarbeiter ein: Supabase Inc. (Datenbank und Authentifizierung, EU-Region eu-west-1), Vercel Inc. (Anwendungshosting und Edge-Netzwerk), Mollie B.V. (Zahlungsabwicklung, Niederlande) und Resend Inc. (Zustellung transaktionaler E-Mails). CarbonTrace wird den Verantwortlichen mindestens 30 Tage vor dem Hinzufügen oder Austausch eines Unterauftragsverarbeiters informieren. Der Verantwortliche kann einem neuen Unterauftragsverarbeiter widersprechen, indem er sich innerhalb von 14 Tagen unter privacy@carbontrace.cloud meldet. Jeder Unterauftragsverarbeiter ist durch einen Auftragsverarbeitungsvertrag mit Pflichten gebunden, die einen Schutz bieten, der dem dieses Vertrags mindestens gleichwertig ist.
6. Internationale Datenübermittlungen
Die primäre Datenspeicherung erfolgt in der Europäischen Union (Frankfurt, eu-west-1). Soweit personenbezogene Daten außerhalb der EU/des EWR übermittelt werden (z. B. Vercel Edge Functions in Nicht-EU-Regionen), stellt CarbonTrace geeignete Garantien sicher, einschließlich der von der Europäischen Kommission angenommenen Standardvertragsklauseln (Standard Contractual Clauses, SCCs). Transfer Impact Assessments sind auf Anfrage erhältlich.
7. Sicherheitsmaßnahmen
CarbonTrace setzt um: Verschlüsselung bei der Übertragung (TLS 1.3) und im Ruhezustand (AES-256); Sicherheit auf Zeilenebene (Row-Level Security) für alle Datenbanktabellen; hash-verkettete, ausschließlich anhängende Audit-Protokollierung mit 7-jähriger Aufbewahrung; Zugriffskontrollen mit rollenbasierten Berechtigungen; regelmäßige Sicherheitsüberprüfungen; und automatisiertes Schwachstellen-Scanning. Eine detaillierte Sicherheitsübersicht ist auf Anfrage unter security@carbontrace.cloud erhältlich.
8. Rechte der betroffenen Personen
CarbonTrace stellt technische Maßnahmen bereit, um den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen gemäß den Artikeln 15 bis 22 DSGVO zu unterstützen: Self-Service-Datenexport (Art. 20, Datenübertragbarkeit), Self-Service-Kontolöschung (Art. 17, Löschung), Profilbearbeitung (Art. 16, Berichtigung) und Zugriff auf das Audit-Protokoll zur Rechenschaftspflicht. Nutzer können diese Rechte direkt über Einstellungen → Datenschutz und Daten ausüben.
9. Meldung von Datenschutzverletzungen
CarbonTrace wird den Verantwortlichen ohne unangemessene Verzögerung und in jedem Fall innerhalb von 48 Stunden nach Kenntniserlangung über eine Verletzung des Schutzes personenbezogener Daten informieren. Die Meldung umfasst: die Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung der Verletzung. Alle Verletzungen werden im Audit-Protokoll erfasst.
10. Audits und Inspektionen
CarbonTrace stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses Vertrags erforderlich sind. Der Verantwortliche kann Audits, einschließlich Inspektionen, durchführen, sofern dies mit angemessener Vorankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten erfolgt. CarbonTrace kann alternativ einen unabhängigen Auditbericht eines Dritten anbieten. Die Kosten des Audits trägt der Verantwortliche, es sei denn, das Audit deckt eine Nichteinhaltung durch CarbonTrace auf.
11. Laufzeit und Beendigung
Dieser Auftragsverarbeitungsvertrag gilt für die Dauer des CarbonTrace-Servicevertrags. Nach Beendigung löscht CarbonTrace alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine Aufbewahrung nach geltendem Recht erforderlich ist (z. B. Audit-Protokolle, die nach niederländischem Buchführungsrecht 7 Jahre aufbewahrt werden). Der Verantwortliche kann vor der Beendigung einen Datenexport anfordern.
12. Anwendbares Recht
Dieser Auftragsverarbeitungsvertrag unterliegt dem Recht der Niederlande. Streitigkeiten werden von den Gerichten der Niederlande entschieden, unbeschadet des Rechts der betroffenen Person, eine Beschwerde bei der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens) einzureichen.
13. Kontakt
Bei Fragen zu diesem Vertrag oder zur Ausübung Ihrer Rechte: privacy@carbontrace.cloud. Kontakt Datenschutz: Simplinity, Niederlande.
Sie benötigen ein unterzeichnetes Exemplar? Kontaktieren Sie uns oder schreiben Sie an privacy@carbontrace.cloud