Auftragsverarbeitung
Diese Übersicht beschreibt die Auftragsverarbeitung für Kundendaten in Smart Battery Pass und kann als Grundlage für ein separates Data Processing Agreement dienen.
1. Rollen
Der Kunde bleibt Verantwortlicher für personenbezogene Daten, die er in Smart Battery Pass verarbeitet. Smart Battery Pass verarbeitet diese Daten als Auftragsverarbeiter nach dokumentierter Weisung des Kunden. Für eigene Zwecke wie Website, Leads, Konto- und Abrechnungsverwaltung handelt Smart Battery Pass als Verantwortlicher.
2. Gegenstand, Dauer und Zweck
Gegenstand ist der Betrieb einer B2B-SaaS-Anwendung zur EU Battery Passport Readiness: Verwaltung von Batteriemodellen, Pflichtfeldern, Supplier Requests, Evidence-Dokumenten, Review-/Approval-Workflows, Audit Logs, Passport Previews, QR-Codes und Reports.
3. Datenarten und betroffene Personen
- Datenarten: Kontaktdaten, Rollen, Login- und Sicherheitsdaten, Supplier-Kontakte, Kommentare, Dokumente, Audit-Ereignisse, technische Metadaten, Rechnungs- und Vertragsreferenzen.
- Betroffene Personen: Kundenmitarbeiter, Supplier-Kontakte, Auditoren, Ansprechpartner von Interessenten und andere vom Kunden eingetragene Geschäftskontakte.
- Besondere Kategorien personenbezogener Daten sind nicht vorgesehen und dürfen nur nach gesonderter Vereinbarung verarbeitet werden.
4. Weisungen des Kunden
Smart Battery Pass verarbeitet Auftragsdaten nur nach dokumentierten Weisungen des Kunden, insbesondere durch Nutzung der Anwendung, Konfigurationen, Support-Anfragen oder schriftliche Weisungen.
5. Technische und organisatorische Maßnahmen
- Mandantentrennung über Organisationen und rollenbasierte Zugriffsrechte.
- Private S3/Supabase-Dateispeicherung, signierte Downloads und Zugriffskontrollen.
- Supplier Portal mit hochentropen Token-Links, Token-Hashing, Ablaufdatum und Rate Limits.
- Append-only Audit Logs mit Hash-Chain-Prüfung.
- HTTPS, sichere Cookies, Security Header, Fail2ban/UFW auf dem Server und Monitoring.
- Backup-Konzept mit lokalen und Offsite-Backups sowie Restore-Verfahren.
- Virus-Scan-Workflow für Uploads, Quarantäne-Status und blockierte Downloads bei ungeprüften Dateien.
6. Unterauftragsverarbeiter
Der Kunde erteilt eine allgemeine Genehmigung zum Einsatz der auf der Seite Auftragsverarbeiter genannten Unterauftragsverarbeiter. Smart Battery Pass informiert über wesentliche Änderungen mit angemessener Frist.
7. Unterstützung des Kunden
Smart Battery Pass unterstützt den Kunden im angemessenen Umfang bei Betroffenenanfragen, Datenschutz-Folgenabschätzungen, Sicherheitsvorfällen, Nachweisen und Audits, soweit dies für die Verarbeitung erforderlich ist.
8. Löschung und Rückgabe
Nach Vertragsende stellt Smart Battery Pass Export- oder Löschmöglichkeiten bereit. Aktive Produktdaten werden standardmäßig innerhalb von 30 Tagen gelöscht oder anonymisiert, sofern keine Pflichten oder abweichenden Vereinbarungen entgegenstehen. Backups werden im Rahmen der regulären Backup-Rotation gelöscht.
9. Kontrollrechte
Smart Battery Pass stellt auf Anfrage angemessene Informationen zur Einhaltung dieser Regelungen bereit. Audits erfolgen nach vorheriger Abstimmung und grundsätzlich durch Unterlagenprüfung oder externe Nachweise.