Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag

gemäß Art. 28 Datenschutz-Grundverordnung (DS-GVO)

Stand: April 2026

Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil des Nutzungsvertrags zwischen dem Kunden (Auftraggeber/Verantwortlicher) und der EUCERTA AG (Auftragnehmer/Auftragsverarbeiter). Er wird durch Abschluss des Nutzungsvertrags für app.eucerta.eu / cockpit.eucerta.eu automatisch akzeptiert. Eine gesonderte Unterschrift ist gemäß Art. 28 Abs. 9 DS-GVO nicht erforderlich.

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien gemäß Art. 28 DS-GVO. Er gilt für alle Tätigkeiten, bei denen EUCERTA AG als Auftragsverarbeiter personenbezogene Daten des Auftraggebers im Rahmen der Nutzung der Plattformen app.eucerta.eu und cockpit.eucerta.eu verarbeitet.

EUCERTA AG verarbeitet personenbezogene Daten ausschließlich gemäß den Weisungen des Auftraggebers und im Einklang mit der DS-GVO sowie dem Schweizer Datenschutzgesetz (nDSG).

§ 1 – Vertragsparteien

Auftraggeber (Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO):

Das Unternehmen bzw. die natürliche oder juristische Person, die den Nutzungsvertrag mit EUCERTA AG abgeschlossen hat (nachfolgend „Auftraggeber“ oder „Kunde“).

Auftragnehmer (Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO):

EUCERTA AG, eingetragen im Handelsregister der Schweiz

E-Mail: support@eucerta.eu | Web: www.eucerta.eu

(nachfolgend „EUCERTA“ oder „Auftragnehmer“)

§ 2 – Gegenstand und Dauer der Verarbeitung

(1)   Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der SaaS-Plattformen app.eucerta.eu (Managementsystem für ISO-Zertifizierungsprozesse) und cockpit.eucerta.eu (Verwaltungsportal) für den Auftraggeber.

(2)   Dieser AVV gilt für die gesamte Dauer des Nutzungsvertrags. Er endet automatisch mit Beendigung des Nutzungsvertrags, vorbehaltlich der Regelungen zu Datenspeicherung und -löschung in § 8 dieses AVV.

§ 3 – Art und Zweck der Verarbeitung

EUCERTA verarbeitet im Rahmen der beauftragten Leistungserbringung folgende Kategorien personenbezogener Daten:

Datenkategorie

Verarbeitungszweck

Speicherort

Kontodaten (Name, E-Mail, Unternehmensname, Adresse)

Zugang zur Plattform, Kommunikation, Vertragsabwicklung

app.eucerta.eu (Server EU)

Audit-Daten (hochgeladene Dokumente, Formularantworten, Nachweise)

Durchführung ISO-Zertifizierungsprozess

app.eucerta.eu (Server EU)

Zertifikatsdaten (Nummer, Geltungsbereich, Datum)

Ausstellung und Verwaltung von Zertifikaten

cockpit.eucerta.eu (Server EU)

Nutzungsdaten (IP-Adresse, Login-Daten, Aktivitätslog)

IT-Sicherheit, Plattformbetrieb, Fehlerbehebung

Server-Logdateien (automatisch nach 30 Tagen gelöscht)

KI-verarbeitete Inhalte (via Anthropic Claude API)

KI-gestützte Dokumentenerstellung, Auditunterstützung

Anthropic API – max. 7 Tage, kein Training mit Kundendaten

Betroffene Personen: Mitarbeiter, Geschäftsführer und sonstige Repräsentanten des Auftraggebers, die das System nutzen oder deren Daten im Rahmen des Zertifizierungsprozesses verarbeitet werden.

§ 4 – Pflichten des Auftragnehmers (EUCERTA)

4.1 Weisungsgebundenheit

(3)   EUCERTA verarbeitet personenbezogene Daten des Auftraggebers ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers sowie gemäß den Anforderungen dieses AVV.

(4)   Weisungen können schriftlich (inkl. E-Mail) erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(5)   Ist EUCERTA der Ansicht, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, wird EUCERTA den Auftraggeber unverzüglich informieren und die Durchführung der Weisung aussetzen, bis eine gesetzeskonforme Klärung erfolgt.

4.2 Vertraulichkeit

(6)   EUCERTA stellt sicher, dass alle Personen, die Zugang zu den personenbezogenen Daten des Auftraggebers haben, zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

(7)   EUCERTA verarbeitet die Daten ausschließlich für die beauftragten Zwecke. Eine Nutzung zu eigenen Zwecken oder für Dritte ist ausgeschlossen.

4.3 Technische und organisatorische Maßnahmen (Art. 32 DS-GVO)

(8)   EUCERTA trifft geeignete technische und organisatorische Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:

•       Verschlüsselung der Datenübertragung (TLS/SSL) und Speicherung sensibler Daten

•       Zugangs- und Berechtigungsmanagement (Least-Privilege-Prinzip)

•       Regelmäßige Sicherheitsupdates und Schwachstellenanalysen

•       Backup-Systeme und Disaster-Recovery-Verfahren

•       Physische Sicherheitsmaßnahmen am Serverstandort (Rechenzentrum in der EU)

(9)   Die aktuellen TOM können vom Auftraggeber jederzeit per E-Mail an support@eucerta.eu angefordert werden.

§ 5 – Meldepflichten bei Datenschutzverletzungen (Art. 33 und 34 DS-GVO)

Dieser Abschnitt erfüllt ausdrücklich die Anforderungen gemäß Art. 33 DS-GVO (Meldung an Aufsichtsbehörde) und Art. 34 DS-GVO (Benachrichtigung betroffener Personen).

(10)  EUCERTA wird den Auftraggeber unverzüglich und vollständig – spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden – über jede Verletzung des Schutzes personenbezogener Daten informieren, die zur Verletzung der Rechte und Freiheiten natürlicher Personen führen könnte.

(11)  Die Meldung an den Auftraggeber erfolgt per E-Mail an die im Nutzerkonto hinterlegte Adresse sowie zusätzlich an die im Nutzungsvertrag angegebene Kontaktperson. Die Benachrichtigung enthält mindestens folgende Angaben:

•       Beschreibung der Art der Verletzung (Kategorien und ungefähre Zahl betroffener Personen und Datensätze)

•       Name und Kontaktdaten der zuständigen Ansprechperson bei EUCERTA

•       Wahrscheinliche Folgen der Verletzung

•       Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Abmilderung

(12)  EUCERTA dokumentiert alle Datenschutzverletzungen intern gemäß Art. 33 Abs. 5 DS-GVO und stellt dem Auftraggeber auf Anfrage Zugang zu dieser Dokumentation zur Verfügung.

(13)  Die Pflicht zur Meldung der Verletzung an die zuständige Datenschutz-Aufsichtsbehörde (gemäß Art. 33 Abs. 1 DS-GVO) und die Benachrichtigung betroffener Personen (gemäß Art. 34 DS-GVO) obliegt dem Auftraggeber als Verantwortlichem. EUCERTA unterstützt den Auftraggeber dabei nach Kräften.

(14)  EUCERTA meldet auch solche Vorkommnisse, bei denen ein Datenschutzvorfall zunächst nur vermutet wird und sich die Vermutung später nicht bestätigt, wenn zum Zeitpunkt der Meldung hinreichende Anhaltspunkte für einen Vorfall vorlagen.

§ 6 – Unterstützungspflicht des Auftragnehmers (Art. 28 Abs. 3 lit. e DS-GVO)

Dieser Abschnitt erfüllt ausdrücklich die Anforderung der Unterstützungspflicht gemäß Art. 28 Abs. 3 lit. e DS-GVO.

(15)  EUCERTA unterstützt den Auftraggeber nach Art. 28 Abs. 3 lit. e DS-GVO bei der Erfüllung folgender datenschutzrechtlicher Pflichten durch geeignete technische und organisatorische Maßnahmen:

•       Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Datentragbarkeit gemäß Art. 15–22 DS-GVO)

•       Einhaltung der Sicherheitspflichten gemäß Art. 32 DS-GVO

•       Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33, 34 DS-GVO (s. § 5 dieses AVV)

•       Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO

•       Vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DS-GVO

(16)  Erhält EUCERTA eine Anfrage einer betroffenen Person, die sich auf Daten des Auftraggebers bezieht, leitet EUCERTA diese unverzüglich an den Auftraggeber weiter. EUCERTA beantwortet Anfragen betroffener Personen nicht in eigenem Namen, sondern nur nach Weisung des Auftraggebers.

(17)  Für die Unterstützung nach diesem § 6 stellt EUCERTA über die Plattformfunktionen von app.eucerta.eu und cockpit.eucerta.eu folgende Funktionen bereit, die der Auftraggeber selbständig nutzen kann:

•       Datenexport: vollständiger Export aller personenbezogenen Daten als CSV/JSON (Dateiformat gemäß § 9 dieses AVV)

•       Datenselbstlöschung: eigenständige Löschung einzelner Datensätze im System

•       Benutzeranfragen: direkter Kontakt über support@eucerta.eu für komplexe Betroffenenanfragen

§ 7 – Kontrollrecht des Auftraggebers (Art. 28 Abs. 3 lit. h DS-GVO)

Dieser Abschnitt erfüllt ausdrücklich das Kontrollrecht gemäß Art. 28 Abs. 3 lit. h DS-GVO.

(18)  Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses AVV sowie der geltenden Datenschutzvorschriften durch EUCERTA jederzeit im erforderlichen Umfang zu kontrollieren.

(19)  Das Kontrollrecht kann wie folgt ausgeübt werden:

•       Schriftliche Anfragen (per E-Mail an support@eucerta.eu): EUCERTA beantwortet Anfragen zur Datenverarbeitung, zu TOM und zu Sicherheitsmaßnahmen innerhalb von 10 Werktagen.

•       Vorlage von Nachweisen: EUCERTA stellt auf Anfrage einschlägige Zertifizierungen, Prüfberichte und Testate zur Verfügung (z.B. nach ISO 27001 oder vergleichbare Nachweise).

•       Vor-Ort-Kontrolle: Der Auftraggeber kann nach vorheriger Anmeldung mit einer Frist von mindestens 15 Werktagen eine Vor-Ort-Prüfung in den Geschäftsräumen von EUCERTA zu den gewöhnlichen Geschäftszeiten vornehmen. Kontrollen sind auf das erforderliche Mindestmaß zu beschränken.

•       Beauftragter Dritter: Der Auftraggeber kann einen qualifizierten Dritten (z.B. externen Datenschutzprüfer) mit der Kontrolle beauftragen, sofern dieser zur Vertraulichkeit verpflichtet ist.

(20)  EUCERTA ist verpflichtet, dem Auftraggeber alle für die Kontrolle erforderlichen Auskünfte zu erteilen und die entsprechenden Nachweise zur Verfügung zu stellen.

(21)  EUCERTA informiert den Auftraggeber unverzüglich, wenn eine Aufsichtsbehörde Kontrollmaßnahmen bei EUCERTA durchführt, soweit sich diese auf die Verarbeitung von Daten des Auftraggebers beziehen.

(22)  Die Kosten für Vor-Ort-Kontrollen nach Abs. 2 (dritter Spiegelstrich) trägt der Auftraggeber, soweit der Aufwand über das im Rahmen der vertraglich geschuldeten Dokumentation und Auskunftserteilung hinausgeht.

§ 8 – Datenlöschung und Rückgabe bei Vertragsende

(23)  Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Auftraggebers, die auf app.eucerta.eu und cockpit.eucerta.eu gespeichert sind, auf Anfrage des Auftraggebers gelöscht oder zurückgegeben.

(24)  Folgende Fristen gelten:

Datenkategorie

Löschfrist

Hinweis

Benutzerkonten, Kontaktdaten

30 Tage nach Vertragsende

Auf Anfrage auch sofort; Abruf per Datenexport möglich

Audit-Dokumente, Formularantworten

30 Tage nach Vertragsende

Vorheriger Export als PDF/CSV empfohlen

Zertifikatsdaten (Referenz)

30 Tage nach Vertragsende

Zertifikat-PDF bleibt beim Kunden; Löschung der Plattformreferenz

Server-Logdateien

30 Tage (automatisch)

Unabhängig von Vertragsende

Rechnungen, Zahlungsbelege

KEINE Löschung durch EUCERTA

Gesetzliche Aufbewahrungspflicht 10 Jahre (§ 257 HGB, § 147 AO); Daten bei Digistore24

Claude API (KI-Verarbeitung)

Max. 7 Tage (automatisch)

Verarbeitung durch Anthropic API – keine Nutzung für KI-Training

(25)  Auf Wunsch des Auftraggebers stellt EUCERTA vor der Löschung alle Daten in einem gängigen, maschinenlesbaren Format zum Download bereit (s. § 9 dieses AVV).

(26)  Nach erfolgter Löschung stellt EUCERTA dem Auftraggeber auf Anfrage einen schriftlichen Löschnachweis aus.

(27)  Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden über das Vertragsende hinaus aufbewahrt, soweit dies rechtlich erforderlich ist.

§ 9 – Datenexport durch den Auftraggeber (Recht auf Datenübertragbarkeit)

(28)  Der Auftraggeber kann seine personenbezogenen Daten sowie alle im Rahmen der Nutzung erstellten Daten jederzeit selbständig aus app.eucerta.eu und cockpit.eucerta.eu exportieren. Folgende Exportformate stehen zur Verfügung:

Datentyp

Format

Beschreibung

Zertifikate

PDF

Offizielles Zertifikat mit QR-Code zur Verifikation

Audit-Dokumentation & QM-Handbuch

PDF

Vollständige Dokumentation des Managementsystems

Formularantworten & Rohdaten

CSV

Alle eingegebenen Daten in tabellarischer Form (maschinenlesbar)

Vollständiger Datenexport (DSGVO Art. 20)

ZIP (PDF + CSV + JSON)

Alle personenbezogenen Daten und Dokumente als Gesamtpaket

(29)  Der Export ist über den Bereich „Mein Konto“ / „Einstellungen“ in app.eucerta.eu und cockpit.eucerta.eu durch den Auftraggeber selbst abrufbar – ohne Rücksprache mit EUCERTA erforderlich.

§ 10 – Einsatz von Unterauftragnehmern (Sub-Auftragsverarbeitern)

(30)  EUCERTA setzt zur Erbringung der beauftragten Leistungen folgende Unterauftragnehmer ein, denen personenbezogene Daten des Auftraggebers übermittelt werden können:

Unterauftragnehmer

Zweck

Standort / Datenschutzniveau

Anthropic PBC (Claude API)

KI-Unterstützung bei Dokumentenerstellung und Audit

USA – kommerzielle API-Bedingungen; kein Training mit Kundendaten; max. 7 Tage Speicherung

Hosting-Provider (EU-Rechenzentrum)

Serverinfrastruktur für app.eucerta.eu und cockpit.eucerta.eu

EU – DSGVO-konform, Serverstandort Deutschland/Schweiz

Digistore24 GmbH

Zahlungsabwicklung (kein Zugriff auf Audit-/Zertifikatsdaten)

Deutschland – DSGVO-konform; eigene Datenschutzerklärung

(31)  EUCERTA schließt mit allen Unterauftragnehmern, denen personenbezogene Daten übermittelt werden, eigene Auftragsverarbeitungsverträge ab, die ein dem vorliegenden AVV äquivalentes Datenschutzniveau gewährleisten.

(32)  Bei wesentlichen Änderungen hinsichtlich des Einsatzes von Unterauftragnehmern wird EUCERTA den Auftraggeber rechtzeitig informieren. Der Auftraggeber kann gegen einen geplanten Wechsel Einwand erheben, wenn sachliche Gründe vorliegen.

§ 11 – Pflichten des Auftraggebers

(33)  Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im Sinne der DS-GVO verantwortlich.

(34)  Der Auftraggeber stellt sicher, dass er über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügt, bevor diese in die Plattform eingegeben werden.

(35)  Der Auftraggeber informiert EUCERTA unverzüglich über Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten, die ihm bekannt werden.

(36)  Die aus Art. 33 Abs. 1 DS-GVO resultierende Meldepflicht gegenüber der Aufsichtsbehörde obliegt dem Auftraggeber.

§ 12 – Haftung und Schlussbestimmungen

(37)  Die Haftungsregelungen zwischen den Parteien richten sich nach Art. 82 DS-GVO sowie den im Nutzungsvertrag getroffenen Haftungsvereinbarungen.

(38)  Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland, ergänzt durch die einschlägigen Bestimmungen des Schweizer Datenschutzgesetzes (nDSG).

(39)  Änderungen dieses AVV bedürfen der Textform. EUCERTA wird Änderungen mit einer Frist von mindestens 30 Tagen vorab anklündigen. Der Auftraggeber hat das Recht, bei wesentlichen Änderungen den Nutzungsvertrag außerordentlich zu kündigen.

(40)  Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(41)  Dieser AVV ist gemäß Art. 28 Abs. 9 DS-GVO in elektronischer Form gültig und wird durch Abschluss des Nutzungsvertrags für app.eucerta.eu bzw. cockpit.eucerta.eu von beiden Parteien akzeptiert. Eine Unterzeichnung in Papierform ist nicht erforderlich.

Akzeptiert durch Vertragsschluss:

Auftraggeber (Verantwortlicher)

Das Unternehmen / die Person gemäß Nutzungsvertrag

Akzeptiert: durch Vertragsschluss (Online, gemäß AGB)

Auftragnehmer (Auftragsverarbeiter)

EUCERTA AG, Zürich, Schweiz

Vertreten durch: Christian Paredes, Geschäftsführer

Dieser AVV ist unter eucerta.eu/avv abrufbar. Stand: April 2026.

Eucerta
So funktioniert'sVorteilePreiseInsightsFAQKontakt
Jetzt starten
Jetzt starten
Menu
So funktioniert'sVorteilePreiseInsightsFAQKontakt
Sprache
Konto
Eucerta

Die Revolution der ISO-Zertifizierung

  • So funktioniert's
  • Vorteile
  • Preise
  • Insights
  • FAQ
  • Kontakt
  • Impressum
  • Datenschutz
  • AGB
  • AVV
  • Qualität
© 2026 EUCERTA.EU - eine Marke der EUCERTA AG - Schweiz
v1.0.148 (75b317e)