Vereinbarung zur Auftragsverarbeitung
Standard-AVV zwischen ScanClusive und Kunden, geschlossen automatisch mit Beginn jeder Datenverarbeitung im Rahmen unseres Hauptvertrags.
Über dieses Dokument: Diese Standard-Vereinbarung zur Auftragsverarbeitung ("AVV") gilt zwischen dem Kunden (im Folgenden „Verantwortlicher") und dem Anbieter von ScanClusive (im Folgenden „Auftragsverarbeiter") und wird mit Beginn jeder Datenverarbeitung im Rahmen des Hauptvertrags wirksam. Sie basiert auf dem Durchführungsbeschluss (EU) 2021/915 der EU-Kommission und enthält alle Pflichtinhalte des Art. 28 Abs. 3 DSGVO. Bei Fragen oder Änderungswünschen: contact@scanclusive.com.
Präambel
(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen gemäß einem zwischen den Parteien geschlossenen Hauptvertrag (im Folgenden „Hauptvertrag"), insbesondere die Bereitstellung der webbasierten Anwendung ScanClusive zur automatisierten Prüfung der digitalen Barrierefreiheit gemäß WCAG 2.2.
(2) Im Rahmen der Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Sinne von Art. 4 Nr. 8 i.V.m. Art. 28 DSGVO.
(3) Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien. Sie gilt für alle Tätigkeiten, die im Zusammenhang mit dem Hauptvertrag stehen und bei denen Beschäftigte oder Beauftragte des Auftragsverarbeiters personenbezogene Daten verarbeiten.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand und Zweck der Verarbeitung sowie Art und Umfang der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1 dieser Vereinbarung.
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags. Verpflichtungen, die ihrer Natur nach über die Beendigung hinaus fortbestehen (insbesondere Löschung, Vertraulichkeit), bleiben hiervon unberührt.
§ 2 Weisungsbindung des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen in Drittländer (Art. 28 Abs. 3 lit. a DSGVO).
(2) Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Der Hauptvertrag und diese Vereinbarung gelten als initiale Weisung.
(3) Ist der Auftragsverarbeiter nach Unionsrecht oder dem Recht eines Mitgliedstaats zur weitergehenden Verarbeitung verpflichtet, teilt er dies dem Verantwortlichen vor der Verarbeitung mit, sofern das betreffende Recht diese Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO).
§ 3 Vertraulichkeit und Schulung
(1) Der Auftragsverarbeiter verpflichtet alle zur Verarbeitung personenbezogener Daten befugten Personen vor Aufnahme der Tätigkeit schriftlich zur Vertraulichkeit oder stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(2) Die Verpflichtung wirkt über die Beendigung der Tätigkeit der betreffenden Person bzw. dieser Vereinbarung hinaus.
(3) Der Auftragsverarbeiter führt für seine mit der Verarbeitung betrauten Mitarbeiter regelmäßige Datenschutz-Sensibilisierungen durch.
§ 4 Sicherheit der Verarbeitung (Art. 32 DSGVO)
(1) Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen ("TOMs") zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus.
(2) Die zum Zeitpunkt des Vertragsschlusses geltenden TOMs sind in Anlage 2 beschrieben. Sie werden vom Auftragsverarbeiter im Einklang mit dem Stand der Technik fortgeschrieben. Wesentliche Verschlechterungen sind unzulässig.
(3) Der Verantwortliche ist berechtigt, sich von der Einhaltung der TOMs zu überzeugen (siehe § 9).
§ 5 Inanspruchnahme weiterer Auftragsverarbeiter (Subprozessoren)
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter mit Abschluss dieser Vereinbarung die allgemeine schriftliche Genehmigung zur Inanspruchnahme der in Anlage 3 aufgeführten Subprozessoren (Art. 28 Abs. 2 S. 1 Var. 2 DSGVO).
(2) Der Auftragsverarbeiter informiert den Verantwortlichen vor der Heranziehung weiterer Subprozessoren oder einem Wechsel bestehender Subprozessoren mit einer Vorlauffrist von mindestens 30 Tagen. Der Verantwortliche kann der Heranziehung innerhalb dieser Frist aus wichtigem Grund schriftlich widersprechen.
(3) Bei Widerspruch ist der Auftragsverarbeiter berechtigt, den Hauptvertrag außerordentlich zu kündigen, sofern die Leistung ohne den betreffenden Subprozessor nicht erbringbar ist.
(4) Der Auftragsverarbeiter erlegt jedem Subprozessor schriftlich datenschutzrechtliche Pflichten auf, die im Wesentlichen denjenigen aus dieser Vereinbarung entsprechen, insbesondere hinreichende Garantien für geeignete TOMs (Art. 28 Abs. 4 DSGVO).
(5) Bei Übermittlungen in Drittländer (außerhalb EU/EWR) sorgt der Auftragsverarbeiter für angemessene Garantien gemäß Kapitel V DSGVO, insbesondere durch EU-Standardvertragsklauseln (SCCs).
§ 6 Unterstützung des Verantwortlichen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anfragen und Rechten betroffener Personen (Art. 12 bis 23 DSGVO; Art. 28 Abs. 3 lit. e DSGVO):
- Auskunft (Art. 15)
- Berichtigung (Art. 16)
- Löschung (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20)
- Widerspruch (Art. 21)
- Keine ausschließlich automatisierte Entscheidung (Art. 22)
(2) Wird eine betroffene Person sich direkt an den Auftragsverarbeiter wenden, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldepflichten bei Verletzungen, Datenschutz-Folgenabschätzung und Konsultation der Aufsichtsbehörde) — Art. 28 Abs. 3 lit. f DSGVO.
§ 7 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnisnahme (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung umfasst, soweit zum Zeitpunkt der Meldung bekannt:
- Beschreibung der Art der Verletzung,
- Kategorien und ungefähre Anzahl betroffener Personen und Datensätze,
- Kontaktdaten zur Klärung,
- wahrscheinliche Folgen,
- ergriffene oder vorgeschlagene Maßnahmen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung dessen Meldepflichten gegenüber Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO) und betroffenen Personen (Art. 34 DSGVO).
§ 8 Löschung und Rückgabe nach Beendigung
(1) Nach Beendigung der Auftragsverarbeitung wählt der Verantwortliche zwischen Rückgabe oder Löschung der personenbezogenen Daten und teilt seine Wahl spätestens 30 Tage vor Vertragsende mit. (Art. 28 Abs. 3 lit. g DSGVO).
(2) Trifft der Verantwortliche keine Wahl, löscht der Auftragsverarbeiter sämtliche personenbezogene Daten innerhalb von 30 Tagen nach Vertragsende.
(3) Die Löschung umfasst Backups: Backup-Daten werden im Rahmen des regulären Rotations-Zyklus überschrieben (max. 14 Tage lokale Backups auf der App-VM; max. 30 Tage Offsite-Backups auf der Hetzner Storage Box, DE; übertragen via SFTP über SSH). Eine sofortige Backup-Löschung ist gegen Aufpreis möglich.
(4) Gesetzliche Aufbewahrungspflichten bleiben unberührt. Daten, die unter solche Aufbewahrungspflichten fallen, werden gesperrt und nach Ablauf der Frist gelöscht.
(5) Der Auftragsverarbeiter bestätigt die Löschung schriftlich.
§ 9 Nachweispflichten und Audit-Rechte
(1) Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung der Pflichten aus dieser Vereinbarung auf Anfrage nach (Art. 28 Abs. 3 lit. h DSGVO), insbesondere durch:
- aktuelle TOM-Dokumentation (Anlage 2),
- aktuelle Subprozessoren-Liste (Anlage 3),
- Zertifikate und Auditberichte, sofern vorhanden,
- Bestätigung über durchgeführte Schulungen.
(2) Der Verantwortliche ist berechtigt, einmal pro Kalenderjahr sowie zusätzlich anlassbezogen die Einhaltung dieser Vereinbarung durch Audits zu kontrollieren. Audits erfolgen nach vorheriger Ankündigung mit einer Frist von mindestens 14 Tagen und während üblicher Geschäftszeiten.
(3) Audits können auch durch einen vom Verantwortlichen beauftragten unabhängigen Prüfer durchgeführt werden, sofern dieser keinen Wettbewerbsbezug zum Auftragsverarbeiter hat und einer Vertraulichkeitsverpflichtung unterliegt.
(4) Sofern ein Audit das Geschäftsbetriebs des Auftragsverarbeiters in zumutbarem Umfang übersteigt, kann der Auftragsverarbeiter eine angemessene Aufwandsentschädigung verlangen.
(5) Anstelle einer Vor-Ort-Prüfung kann der Auftragsverarbeiter schriftliche Bestätigungen, Zertifikate (z.B. ISO 27001, BSI C5), Auditberichte (z.B. SOC 2) oder vergleichbare Nachweise vorlegen, soweit diese den Prüfgegenstand abdecken.
§ 10 Haftung
Die Haftung der Parteien richtet sich nach dem Hauptvertrag, den Bestimmungen der DSGVO sowie geltendem nationalem Recht. Art. 82 DSGVO bleibt unberührt.
§ 11 Schlussbestimmungen
(1) Diese Vereinbarung gilt parallel zum Hauptvertrag. Bei Widersprüchen zwischen Hauptvertrag und dieser Vereinbarung gehen die Regelungen dieser Vereinbarung in datenschutzrechtlichen Fragen vor.
(2) Änderungen oder Ergänzungen dieser Vereinbarung bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung dieser Schriftformklausel.
(3) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden eine unwirksame Bestimmung durch eine wirksame Regelung ersetzen, die dem wirtschaftlichen Zweck am nächsten kommt.
(4) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
(5) Erfüllungsort und Gerichtsstand ist — soweit gesetzlich zulässig — der Sitz des Auftragsverarbeiters.
Vertragsschluss. Die Vereinbarung kommt mit Beginn der ersten Datenverarbeitung im Rahmen des Hauptvertrags wirksam zustande (konkludenter Abschluss). Eine signierte Fassung mit konkreten Vertragsparteien wird auf Wunsch des Verantwortlichen ausgefertigt — Anfragen bitte an contact@scanclusive.com.
Anlage 1 — Beschreibung der Verarbeitung
(1) Gegenstand der Verarbeitung
Bereitstellung des SaaS-Dienstes ScanClusive zur automatisierten Prüfung der digitalen Barrierefreiheit von Webseiten gemäß Web Content Accessibility Guidelines (WCAG) 2.2.
(2) Zweck der Verarbeitung
- Authentifizierung und Verwaltung von Nutzerkonten beim Auftragsverarbeiter
- Durchführung automatisierter WCAG-Scans gegen vom Verantwortlichen bereitgestellte URLs
- Speicherung und Bereitstellung von Scan-Ergebnissen (Violations, Selektoren, HTML-Snippets, Screenshots)
- Generierung von PDF-Reports
- Integration mit Drittanbieter-Diensten auf Wunsch des Verantwortlichen (CI/CD-Webhooks, GitHub-Issue-Erstellung)
(3) Art der personenbezogenen Daten
| Kategorie | Beispiele |
|---|---|
| Account-Daten | Email-Adresse, Name, gehashtes Passwort, ggf. 2FA-Geheimnis |
| Kommunikationsdaten | Email-Inhalt von Verifizierungs- und Benachrichtigungs-E-Mails |
| Nutzungsdaten | Login-Zeitpunkte, IP-Adresse anonymisiert (letztes Oktett entfernt) im Log, max. 14 Tage |
| Test-Credentials (optional, vom Verantwortlichen bereitgestellt) | Login-Daten für authentifizierte Scans (verschlüsselt at rest mit AES-256-GCM) |
| Inhalte gescannter Seiten | HTML-Snippets, Selektoren, Screenshots — können personenbezogene Daten enthalten, soweit auf der gescannten Seite sichtbar |
| Zahlungsdaten | Werden ausschließlich vom Subprozessor Stripe verarbeitet (siehe Anlage 3); ScanClusive selbst speichert keine Zahlungsdaten |
(4) Kategorien betroffener Personen
| Kategorie | Anmerkung |
|---|---|
| Mitarbeiter / Beauftragte des Verantwortlichen | als Account-Inhaber |
| Endnutzer der vom Verantwortlichen betriebenen Webseiten | nur soweit deren Daten auf Login-pflichtigen, mit Test-Credentials gescannten Seiten sichtbar werden |
(5) Dauer der Speicherung
- Account-Daten: für die Dauer des Hauptvertrags + maximal 30 Tage Grace-Period nach Kündigung
- Scan-Ergebnisse: für die Dauer des Hauptvertrags; Bestand-Scans werden nach Wunsch des Verantwortlichen oder spätestens mit Vertragsende gelöscht
- Logs: maximal 14 Tage rollierend
- Backups: maximal 14 Tage lokal, plus Offsite-Backup bis zu 30 Tage rollierend
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Die nachfolgenden Maßnahmen entsprechen dem Stand der Technik zum Zeitpunkt des Vertragsschlusses und werden fortlaufend angepasst.
(1) Vertraulichkeit
Zutrittskontrolle (physischer Zugang)
- Hosting in zertifizierten Rechenzentren der Hetzner Online GmbH in Deutschland (Standort Falkenstein, Sachsen)
- Hetzner-Rechenzentren: ISO 27001-zertifiziert, Zutrittskontrolle mit biometrischer Authentifizierung, 24/7-Sicherheitspersonal, Videoüberwachung
- Kein physischer Zugriff durch Mitarbeiter des Auftragsverarbeiters
Zugangskontrolle (System-Login)
- SSH-Key-only-Authentifizierung für Server-Zugriff
- Zwei-Faktor-Authentifizierung (TOTP via Authenticator-App oder Email-OTP) für alle Accounts der Anwendung
- Passwort-Hash mit bcryptjs, Cost-Factor 12
- Rate-Limiting: 5 Login-Versuche pro 60 Sekunden, gefolgt von Sperrung
- Brute-Force-Schutz mittels fail2ban auf Server-Ebene
Zugriffskontrolle (Berechtigungen)
- Rollenbasiertes Zugriffsmodell: Owner > Admin > Member > Viewer
- Multi-Tenancy: Mandantentrennung über
organizationId-Scoping in allen Datenbankabfragen - Prinzip der minimalen Berechtigung (Least-Privilege)
- Kein anonymer oder Default-Zugriff
Trennungskontrolle
- Logische Datentrennung pro Organisation
- Trennung von Test-/Staging-/Produktionsumgebungen auf separater Infrastruktur
(2) Integrität
Weitergabekontrolle (Transit-Verschlüsselung)
- TLS 1.3 für sämtliche HTTP-Verbindungen via Caddy (Auto-Renewal Let's Encrypt)
- SFTP über SSH für Backup-Übertragungen
- HTTPS-only, kein HTTP-Fallback
Eingabekontrolle (Audit-Logs)
- Strukturierte Logs aller authentifizierten API-Aufrufe (Pino-Format, JSON)
- Audit-Spuren für Login, Scan-Trigger, Account-Änderungen
- Logs ohne PII per Default
(3) Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle
- Tägliche automatisierte Backups (DB-Dumps, gzip-komprimiert)
- Backup-Retention lokal: 14 Tage
- Offsite-Backups via SFTP zur Hetzner Storage Box (DE), Retention 30 Tage
- Monitoring mit Prometheus + Alertmanager, Pager-Duty bei kritischen Alarmen
Wiederherstellbarkeit
- Wiederherstellungs-Tests vierteljährlich
- Recovery-Time-Objective (RTO): < 4 Stunden
- Recovery-Point-Objective (RPO): < 24 Stunden
(4) Verschlüsselung
| Kategorie | Verfahren |
|---|---|
| Geheimnisse in der Datenbank (API-Keys, GitHub-PATs, Login-Credentials für Auth-Scans, 2FA-Backup-Codes) | AES-256-GCM (NIST-Standard, authenticated encryption); Schlüssel-Material per ENCRYPTION_KEY-Umgebungsvariable, getrennt von Datenbank |
| Passwörter | bcryptjs, Cost-Factor 12 (irreversibler Hash, nicht entschlüsselbar) |
| Transport | TLS 1.3, Cipher-Suites gem. BSI-Empfehlung |
| Backups | gzip-Komprimierung; Transit über SFTP/SSH (DE → DE). At-Rest auf der Hetzner Storage Box ohne zusätzliche client-seitige Verschlüsselung — geschützt durch SSH-Key-Auth, Hetzner-Subprozessor-AVV und das Faktum, dass Geheimnisse in der DB bereits Hash- bzw. AES-256-GCM-Ciphertext sind. |
(5) Auftragskontrolle
- Schriftliche Auftragsverarbeitungsvereinbarung (diese Vereinbarung)
- Subprozessoren ausschließlich auf Basis schriftlicher AV-Vereinbarungen mit datenschutzrechtlichen Mindestpflichten
(6) Organisation
- Verpflichtung aller Mitarbeiter auf das Datengeheimnis
- Regelmäßige Sensibilisierungs-Maßnahmen
- Datenschutz-Vorfälle werden binnen 24 Stunden gemeldet (siehe § 7)
Anlage 3 — Subprozessoren
Der Auftragsverarbeiter setzt zum Zeitpunkt des Vertragsschlusses folgende Subprozessoren ein. Änderungen werden dem Verantwortlichen gemäß § 5 mitgeteilt.
| Subprozessor | Anschrift | Leistung | Datenkategorien | Verarbeitungs-Standort |
|---|---|---|---|---|
| Hetzner Online GmbH | Industriestraße 25, 91710 Gunzenhausen, DE | Server-Hosting (App-Container, PostgreSQL 16, Redis 7), Storage Box (Backups) | sämtliche durch ScanClusive verarbeitete Daten | ✅ Deutschland (Falkenstein) |
| Hostinger International Ltd. | 61 Lordou Vironos Street, 6023 Larnaca, Cyprus | Transactional E-Mail (SMTP) | E-Mail-Adressen und Inhalte transaktionaler Mails (Verifikation, 2FA-Codes, Benachrichtigungen) | ✅ EU (Litauen / Niederlande); Firmensitz Zypern |
| Stripe Payments Europe Ltd. | The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland | Zahlungsabwicklung (nur kostenpflichtige Pläne) | Name, E-Mail, Karten-Token (kein Karten-Klartext beim Auftragsverarbeiter) | ✅ EU (IE) — Konzern-intern Datentransfer in die USA an Stripe Inc. unter EU-US Data Privacy Framework + Standardvertragsklauseln |
Bestehende DPAs der Subprozessoren liegen vor und werden auf Anfrage geteilt.
Erstellt auf Basis von: Durchführungsbeschluss (EU) 2021/915, Branchen-Mustertexten BvD und BayLDA, sowie der DSGVO Art. 28 Abs. 3.
Versionsstand der Vorlage: v1.0 · zuletzt aktualisiert 9. Mai 2026. Bei Änderungen informieren wir Bestandskunden gemäß § 11 Abs. 2 dieser Vereinbarung.