Auftragsverarbeitungsvertrag (DPA)

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch Trailmaker im Rahmen der Bereitstellung der SaaS-Plattform. Die Laufzeit entspricht der Laufzeit des Hauptvertrags.

2. Gegenstand der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zum Zweck der Bereitstellung der vertraglich vereinbarten Leistungen.

3. Art der verarbeiteten Daten

• Account-Daten der Team-Mitglieder (E-Mail, Name, Rolle)
• Brand- und Produkt-Daten die der Kunde in den Dienst einstellt
• Performance-Daten aus importierten Ad-Exports (keine Endkunden-PII)
• Nutzungs-Metadaten (Login-Zeiten, genutzte Features)

4. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Nach dessen Beendigung werden die Daten entsprechend der gesetzlichen Aufbewahrungspflichten gelöscht oder an den Kunden zurückgegeben.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf Weisung des Verantwortlichen, wahrt die Vertraulichkeit, stellt technisch-organisatorische Maßnahmen sicher (siehe § 8), unterstützt bei Anfragen Betroffener und bei Datenschutz-Folgenabschätzungen.

6. Sub-Auftragsverarbeiter

Der Auftragsverarbeiter setzt die in der Subprocessor-Liste aufgeführten Dritten als Sub-Auftragsverarbeiter ein. Änderungen werden dem Verantwortlichen mindestens 30 Tage im Voraus angekündigt. Die aktuelle Liste findest du unter Subprocessor-Übersicht.

7. Drittlandübermittlungen

Sofern Datenübermittlungen in Drittländer (insbesondere USA) erfolgen, basieren diese auf Standardvertragsklauseln (SCCs) der EU-Kommission sowie ergänzenden technisch-organisatorischen Maßnahmen (Verschlüsselung, Zugriffskontrolle).

8. Technisch-organisatorische Maßnahmen (TOM)

• Verschlüsselung im Transit (TLS 1.3) und at-rest (AES-256 durch Supabase/Cloud-Provider)
• Mehrstufige Zugriffskontrolle via Supabase-Auth (E-Mail + Passwort, optional MFA), rollenbasierte Berechtigungen auf Workspace-Ebene
• Mandanten-Isolation via Row-Level Security in der Datenbank (jede Tabelle prüft tenant_id = auth.uid().tenant_id) plus SECURITY-DEFINER-Trigger gegen Cross-Tenant-ID-Forgery
• Tägliche verschlüsselte Backups mit Point-in-Time-Recovery
• Vollständiges Audit-Logging sicherheitsrelevanter Ereignisse, Aufbewahrung 90 Tage

9. Meldung von Datenschutzvorfällen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden, nach Kenntnisnahme einer Datenschutzverletzung, die personenbezogene Daten des Verantwortlichen betrifft.

10. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Bearbeitung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

11. Löschung und Rückgabe

Nach Beendigung des Hauptvertrags werden die verarbeiteten Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

12. Kontakt

Anfragen zu diesem DPA richtest du bitte an dpa@trailmaker.app