Auftragsverarbeitung (AVV / DPA)
Vertrag gem. Art. 28 DSGVO · Standard-Konditionen · Stand: Mai 2026
Wenn Sie Produktdaten zu Circulera hochladen, übermitteln Sie ggf. personenbezogene Daten (z. B. Namen von Lieferanten, Mitarbeiter-Identifier in Stammdatenfeldern). In diesem Fall werden wir Auftragsverarbeiter im Sinne der DSGVO und benötigen mit Ihnen einen Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO.
AVV vor dem ersten Upload erhalten
Wir stellen Ihnen unseren AVV gerne vor dem ersten Upload zur Prüfung durch Ihr Compliance- oder Procurement-Team zur Verfügung. Schicken Sie uns dafür eine kurze E-Mail an [email protected] mit Stichwort "AVV anfordern" — Sie erhalten innerhalb eines Werktages ein PDF zur Gegenzeichnung.
AVV per E-Mail anfordern →Zusammenfassung der Vertragsinhalte
1 · Gegenstand + Dauer
Gegenstand ist die Verarbeitung der von Ihnen hochgeladenen Produktdaten zwecks Erstellung eines ESPR-Readiness-Reports. Der Vertrag läuft für die Dauer der Verarbeitung — typischerweise bis 12 Monate nach Übermittlung des Reports — und kann beidseitig mit einer Frist von 30 Tagen schriftlich gekündigt werden. Nach Vertragsende werden alle Daten gem. Abschnitt 7 gelöscht oder auf Ihren Wunsch herausgegeben.
2 · Art und Zweck der Verarbeitung
Wir verarbeiten die übermittelten Daten ausschließlich zu folgenden Zwecken:
- Mapping Ihrer Produktdaten gegen die EN ISO 59040 + ESPR-Felddefinitionen
- Erstellung des priorisierten Gap-Reports (HTML + PDF)
- Optional: Versand des Reports an die von Ihnen angegebene E-Mail-Adresse
- Beantwortung von Rückfragen zum Report
Eine Weitergabe an Dritte erfolgt nicht. Eine Nutzung für eigene Zwecke (z. B. Modell-Training) erfolgt nicht.
3 · Art der Daten + betroffene Personen
| Datenkategorie | Inhalt | Betroffene Personen |
|---|---|---|
| Produktstammdaten | GTIN, Produktname, Materialzusammensetzung, Herkunftsland, Herstellerangaben | i. d. R. keine direkten Personenbezüge |
| Lieferantendaten | Firmenname, Kontaktname, ggf. E-Mail des Lieferanten | Mitarbeiter Ihrer Lieferanten (je nach Feldbelegung) |
| Auftraggeberkontakt | Name, Firma, Rolle, E-Mail | Sie / Ihre Mitarbeiter |
| Technische Metadaten | Upload-Zeit, Dateihash, IP-Hash (SHA-256), Browser-Kennung | indirekt: hochladende Person |
4 · Pflichten des Auftragsverarbeiters
Wir verpflichten uns, die Daten ausschließlich auf dokumentierte Weisungen des Auftraggebers zu verarbeiten und insbesondere:
- die Vertraulichkeit aller mit der Verarbeitung befassten Personen sicherzustellen,
- die in Abschnitt 5 beschriebenen technischen und organisatorischen Maßnahmen vorzuhalten,
- Sie bei der Erfüllung Ihrer Pflichten gegenüber Betroffenen zu unterstützen,
- Sie bei Anfragen der Aufsichtsbehörde zu unterstützen,
- Datenpannen ohne unangemessene Verzögerung (binnen 48 Stunden) zu melden.
5 · Technische und organisatorische Maßnahmen (TOMs)
| Bereich | Maßnahme |
|---|---|
| Verschlüsselung in Übertragung | TLS 1.3 für alle Verbindungen (HSTS, max-age 2 Jahre) |
| Verschlüsselung im Speicher | R2 + D1 Server-Side-Encryption (AES-256), verwaltet von Cloudflare |
| Zugriffskontrolle | Multi-Faktor-Authentifizierung für alle administrativen Zugriffe; Prinzip der minimalen Rechte |
| Logging | Alle administrativen Zugriffe protokolliert; IP-Adressen ausschließlich als SHA-256-Hash |
| Pseudonymisierung | IP-Adressen werden vor der Speicherung gehasht; keine Klartext-IPs in Logs oder Datenbank |
| Datenresidenz | Ausschließlich EU-Rechenzentren (Frankfurt, Amsterdam, Slowenien); kein Routing außerhalb der EU |
| Backup | R2-Snapshots, D1 automatische Replikation; Aufbewahrung max. 30 Tage |
| Bot-Schutz | Cloudflare Turnstile vor allen Upload-Endpunkten |
| Sicherheits-Header | CSP, HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, Permissions-Policy strict |
| Datenschutz-Audits | Quartalsweise Sicherheits-Sweep des gesamten Stacks |
6 · Unterauftragsverhältnisse
Wir nutzen folgende Unterauftragnehmer für die Verarbeitung Ihrer Daten:
| Subprozessor | Leistung | Sitz |
|---|---|---|
| Cloudflare Germany GmbH | Hosting, Edge, Mail-Routing, Bot-Schutz | München / EU-Rechenzentren |
| BunnyWay d.o.o. | Schriftarten-Auslieferung | Maribor, Slowenien (EU) |
Mit allen Unterauftragnehmern bestehen Auftragsverarbeitungsverträge gem. Art. 28 DSGVO. Bei Cloudflare liegen die EU-Standardvertragsklauseln (SCC, Beschluss 2021/914) vor, da das Mutterunternehmen in den USA sitzt. Verarbeitung erfolgt regulär ausschließlich in der EU.
Eine Änderung des Subprozessor-Kreises teilen wir Ihnen mit einer Vorlaufzeit von 30 Tagen mit. Sie haben das Recht zum Widerspruch.
7 · Löschung + Rückgabe
Nach Abschluss der Verarbeitung — spätestens 12 Monate nach Übermittlung des Reports oder auf Ihre frühere Anweisung — werden alle übermittelten Daten gelöscht:
- Produktdateien aus R2-Bucket
- Strukturierte Metadaten aus D1-Datenbank
- Generierte Reports (HTML + PDF) aus R2
- Backups innerhalb der nächsten 30 Tage durch automatische Snapshot-Rotation
Auf Ihren Wunsch übergeben wir Ihnen die Daten und/oder den generierten Report vor der Löschung in einem maschinenlesbaren Format (JSON-LD, PDF).
8 · Kontrollrechte
Sie haben das Recht, die Einhaltung der vereinbarten TOMs zu kontrollieren — schriftlich auf Anfrage oder bei begründetem Verdacht durch eine vor Ort Inspektion mit angemessener Voranmeldung. Wir stellen Ihnen alle hierfür erforderlichen Informationen zur Verfügung. Routine-Audits können auf Cloudflare-SOC2 + ISO 27001 + GDPR-Zertifizierungen unseres Subprozessors gestützt werden, die wir Ihnen auf Anfrage bereitstellen.
← Zurück zur Startseite