Startseite / Datenschutz / Datenschutzhinweis - TRACE.App / AVV - TRACE.App

Auftragsverarbeitungsvertrag AVV - TRACE.App

Stand: Juni 2026 | Version 1.0 | gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag wird zwischen dem Unternehmenskunden von TRACE.App (Arbeitgeber, der TRACE.App für eigene Mitarbeiterinnen und Mitarbeiter nutzt; nachfolgend: „Verantwortlicher") und

TRACE Electricity GmbH, Hamburg, Deutschland
(nachfolgend: „Auftragsverarbeiterin")

geschlossen. Dieser AVV wird mit Abschluss des TRACE.App-Unternehmensabos automatisch Bestandteil des Vertragsverhältnisses und bedarf keiner gesonderten Unterzeichnung. Er gilt ausschließlich für Unternehmenskonten, bei denen der Verantwortliche Mitarbeiterdaten in TRACE.App verarbeitet. Für Endverbraucher, die TRACE.App als Privatpersonen nutzen, ist TRACE Electricity GmbH eigenständig Verantwortliche gemäß Art. 4 Nr. 7 DSGVO.

§ 1 Gegenstand der Verarbeitung

  1. Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch die Auftragsverarbeiterin im Auftrag des Verantwortlichen im Rahmen der Nutzung von TRACE.App als Unternehmenskonto. Gegenstand ist insbesondere die Verarbeitung von Mitarbeiterdaten (z. B. Energieverbrauchsdaten, Nutzungsverhalten, Kommunikationsdaten) im Rahmen des betrieblichen Einsatzes der App.
  2. Die Verarbeitungstätigkeiten sind in Anlage A zu diesem Vertrag niedergelegt, die Bestandteil dieses Vertrages ist.
  3. Dieser AVV geht allen früheren Vereinbarungen zwischen den Parteien über die Auftragsverarbeitung im Rahmen von TRACE.App vor.
  4. Dieser AVV ist abrufbar unter trace-electricity.com/de/avv-app/.
  5. Dieser AVV gilt ausschließlich für die Verarbeitung im Rahmen des TRACE.App-Unternehmensabos. Für TRACE.Parser und TRACE.Konfigurator/Studio gelten separate Vereinbarungen.

§ 2 Dauer der Verarbeitung

  1. Die Verarbeitung personenbezogener Daten erfolgt für die Laufzeit des TRACE.App-Unternehmensabos zwischen dem Verantwortlichen und der Auftragsverarbeiterin.
  2. Nach Beendigung des Abos gelten die Regelungen des § 8 dieses Vertrages zur Datenlöschung und -rückgabe.
  3. Gesetzliche Aufbewahrungspflichten der Auftragsverarbeiterin bleiben unberührt.

§ 3 Weisungsbindung und Eigenverarbeitungsverbot

  1. Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (des Unternehmenskunden), es sei denn, sie ist durch das Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In einem solchen Fall teilt die Auftragsverarbeiterin dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
  2. Eigenverarbeitungsverbot: Eine Verarbeitung der im Rahmen dieses AVV übermittelten Mitarbeiterdaten für eigene Zwecke der Auftragsverarbeiterin findet ausdrücklich nicht statt. Anonymisierte, nicht auf einzelne Personen rückführbare Nutzungsstatistiken (z. B. aggregierte App-Nutzungsquoten auf Unternehmensebene) sind hiervon ausgenommen.
  3. Weisungen werden in der Regel schriftlich (auch per E-Mail an privacy@trace-electricity.com) erteilt. Mündliche Weisungen werden unverzüglich schriftlich bestätigt. Die Auftragsverarbeiterin dokumentiert erhaltene Weisungen und deren Ausführung.
  4. Der Verantwortliche ist berechtigt, jederzeit zusätzliche Weisungen zu erteilen. Die Auftragsverarbeiterin hat den Verantwortlichen unverzüglich zu informieren, wenn sie der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
  5. Der Verantwortliche stellt sicher, dass für die Übermittlung von Mitarbeiterdaten an TRACE eine geeignete Rechtsgrundlage besteht (z. B. § 26 BDSG für Beschäftigte oder eine informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO).

§ 4 Art der personenbezogenen Daten und Kategorien betroffener Personen

Kategorien betroffener Personen

  • Mitarbeiterinnen und Mitarbeiter des Verantwortlichen (Beschäftigte), die TRACE.App im Rahmen des betrieblichen Unternehmensabos nutzen
  • Ggf. sonstige vom Verantwortlichen eingeladene Personen (z. B. Freiberufler, Praktikanten)

Kategorien personenbezogener Daten

  • Stammdaten: Name, E-Mail-Adresse, Passwort-Hash, Profilinformationen
  • Energieverbrauchsdaten: Verbrauchsmessungen, Energiekosten, Einsparempfehlungen, Haushaltsdaten (soweit vom Mitarbeiter in der App hinterlegt)
  • Nutzungsdaten: App-Nutzungszeiten, aufgerufene Funktionen, Sitzungsdaten, Geräteinformationen
  • Kommunikationsdaten: Push-Benachrichtigungen (Firebase Cloud Messaging), In-App-Nachrichten
  • Technische Protokolldaten: IP-Adresse (wird vor dauerhafter Speicherung anonymisiert; eine vollständige IP-Adresse wird nicht persistiert), Zugriffszeiten, Fehlerberichte (max. 90 Tage, danach automatische Löschung)

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sind vom Gegenstand dieses Vertrages nicht umfasst und dürfen vom Verantwortlichen nicht über die App verarbeitet werden.

§ 5 Pflichten der Auftragsverarbeiterin

Die Auftragsverarbeiterin verpflichtet sich gegenüber dem Verantwortlichen insbesondere:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (§ 3 dieses Vertrages).
  2. Die zur Verarbeitung eingesetzten Personen zur Vertraulichkeit zu verpflichten oder zu gewährleisten, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zur Gewährleistung der Sicherheit der Verarbeitung zu ergreifen. Die vollständige TOM-Dokumentation (Technische und organisatorische Maßnahmen TRACE.App (TOM)) gilt als Anlage B dieses AVV. Die Auftragsverarbeiterin ist berechtigt, die TOMs anzupassen, sofern das Schutzniveau nicht unterschritten wird; wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.
  4. Firebase-spezifische Sicherheitsmaßnahmen sicherzustellen, insbesondere: Verschlüsselung aller Daten in transit (TLS 1.2+) und at rest (AES-256) in Google Cloud Platform europe-west1 (Frankfurt); Firebase Security Rules zur Zugriffskontrolle auf Firestore-Dokumente; Firebase Authentication mit sicherer Token-Verwaltung; regelmäßige Überprüfung der Sicherheitsregeln und Zugriffsrechte.
  5. Den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen zu unterstützen (§ 7).
  6. Den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen, insbesondere bei einer etwaigen Datenschutz-Folgenabschätzung (§ 14).
  7. Dem Verantwortlichen nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (§ 8).
  8. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen, einschließlich Inspektionen, zu ermöglichen (§ 9).

§ 6 Unterauftragsverarbeiter

  1. Der Verantwortliche erteilt hiermit die allgemeine Genehmigung für die Inanspruchnahme der nachfolgend genannten Unterauftragsverarbeiter:
Unterauftragsverarbeiter Sitz Verarbeitungszweck Drittlandtransfer
Google Ireland Limited (Google Firebase / Google Cloud Platform) Gordon House, Barrow Street, Dublin 4, Irland App-Infrastruktur (Firebase Hosting, Firestore-Datenbank, Firebase Authentication, Firebase Cloud Messaging), Datenspeicherung und -verarbeitung ausschließlich in der Region europe-west1 (Frankfurt, Deutschland) Primär kein Drittlandtransfer (EU-Standort Frankfurt); ergänzend abgesichert durch EU-U.S. Data Privacy Framework (Google LLC zertifiziert, abrufbar unter dataprivacyframework.gov) sowie EU-Standardvertragsklauseln 2021/914 gem. Art. 46 Abs. 2 lit. c DSGVO
Cloudflare Germany GmbH (Cloudflare, Inc.) Rosental 7, 80331 München (EU-Entität) CDN, DDoS-Schutz, TLS-Terminierung für die Website trace-electricity.com Kein Drittlandtransfer (EU-Entität); ergänzend: EU-U.S. Data Privacy Framework (Cloudflare, Inc. zertifiziert) sowie Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO
  1. Über jede beabsichtigte Hinzuziehung neuer Unterauftragsverarbeiter oder Ersetzung bestehender Unterauftragsverarbeiter informiert die Auftragsverarbeiterin den Verantwortlichen rechtzeitig vorab (mindestens 30 Tage) per E-Mail an die hinterlegte Kontaktadresse des Verantwortlichen.
  2. Dem Verantwortlichen steht ein Widerspruchsrecht gegen die Änderung zu. Widerspricht der Verantwortliche nicht innerhalb von 30 Tagen nach Zugang der Mitteilung, gilt die Änderung als genehmigt. Im Falle eines begründeten Widerspruchs wird dem Verantwortlichen ein Sonderkündigungsrecht eingeräumt. Die Auftragsverarbeiterin wird in diesem Fall prüfen, ob der betreffende Unterauftragsverarbeiter durch einen gleichwertigen Anbieter ersetzt werden kann. Im Falle der Kündigung nach begründetem Widerspruch sorgt die Auftragsverarbeiterin dafür, dass personenbezogene Daten des Verantwortlichen, die vom neuen Unterauftragsverarbeiter bereits verarbeitet wurden, unverzüglich nach Wirksamwerden der Kündigung gemäß § 8 gelöscht oder zurückgegeben werden.
  3. Die Auftragsverarbeiterin verpflichtet ihre Unterauftragsverarbeiter vertraglich zu denselben Datenschutzverpflichtungen, wie in diesem Vertrag vereinbart, insbesondere hinsichtlich der Gewährleistung angemessener technischer und organisatorischer Maßnahmen.
  4. Hinweis: GA4, Hotjar und LinkedIn Insight Tag werden von TRACE Electricity GmbH als eigenständige Verantwortliche für Marketingzwecke auf der Website eingesetzt und sind nicht Gegenstand dieses AVV. Näheres regelt der Datenschutzhinweis - TRACE.App.

§ 7 Betroffenenrechte

  1. Die Auftragsverarbeiterin unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen (Mitarbeiter) nach Art. 15 bis 22 DSGVO, insbesondere bei Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Datenübertragbarkeits- und Widerspruchsanfragen.
  2. Richten Mitarbeiterinnen oder Mitarbeiter des Verantwortlichen Anfragen zu ihren in TRACE.App verarbeiteten Daten direkt an die Auftragsverarbeiterin, leitet diese die Anfragen unverzüglich an den Verantwortlichen weiter, ohne selbst inhaltlich darauf einzugehen. Der Verantwortliche ist als datenschutzrechtlich Verantwortlicher für die Beantwortung zuständig.
  3. Soweit Betroffenenrechte durch Selbstverwaltungsfunktionen im App-Konto direkt ausgeführt werden können (z. B. Datenlöschung, Profilaktualisierung), liegt die organisatorische Umsetzung beim Verantwortlichen. Für darüber hinausgehende technische Unterstützung ist privacy@trace-electricity.com zu kontaktieren.
  4. Unterstützungsleistungen, die über den vertragsgemäßen Leistungsumfang hinausgehen, werden nach Aufwand angemessen vergütet.

§ 8 Datenlöschung und Datenrückgabe

  1. Nach endgültiger Kündigung oder Beendigung des TRACE.App-Unternehmensabos löscht die Auftragsverarbeiterin alle personenbezogenen Daten des Verantwortlichen (Mitarbeiterdaten) innerhalb von 30 Tagen nach Vertragsende unwiderruflich aus Firestore und allen verbundenen Firebase-Diensten.
  2. Auf Verlangen des Verantwortlichen stellt die Auftragsverarbeiterin die verarbeiteten Daten vor der Löschung in einem maschinenlesbaren Format (Firestore-Export im JSON-Format oder CSV) zur Verfügung. Der Datenexport wird innerhalb von 14 Tagen nach Anforderung bereitgestellt; der Download-Link ist 30 Tage lang gültig. Nach Fristablauf oder nach Bestätigung des Verantwortlichen, dass kein Export gewünscht ist, beginnt die 30-tägige Löschfrist.
  3. Die Löschung erstreckt sich auf alle im Rahmen der Auftragsverarbeitung erstellten Kopien, einschließlich Datensicherungen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Abrechnungsdaten werden gemäß § 147 AO und § 257 HGB bis zu 10 Jahre aufbewahrt; für diese Daten wird die Verarbeitung bis zum Ablauf der Aufbewahrungsfrist eingeschränkt.
  4. Auf Wunsch bestätigt die Auftragsverarbeiterin die vollständige Löschung schriftlich per E-Mail.

§ 9 Nachweise und Kontrollen

  1. Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Vereinbarungen in diesem Vertrag bei der Auftragsverarbeiterin und bei etwaigen Unterauftragsverarbeitern jederzeit zu kontrollieren.
  2. Kontrollen können durchgeführt werden durch:
    • Anforderung von Informationen und Dokumentationen (z. B. aktuelle Technische und Organisatorische Maßnahmen TOM - TRACE.App, Unterauftragsverarbeiter-Liste)
    • Befragung des zuständigen Datenschutzbeauftragten oder beauftragter Mitarbeiter
    • Vor-Ort-Inspektionen (mit angemessener Vorankündigung von mindestens 5 Werktagen, ggf. nach Abschluss einer Vertraulichkeitsvereinbarung)
  3. Statt einer Vor-Ort-Inspektion kann die Auftragsverarbeiterin dem Verantwortlichen aktuelle Zertifizierungen, Auditberichte (z. B. ISO 27001, SOC 2), soweit vorhanden, oder gleichwertige Nachweise (z. B. Eigenerklärung zum Stand der TOM) übermitteln, sofern diese den Gegenstand der Kontrolle abdecken.
  4. Kosten für Vor-Ort-Inspektionen trägt der Verantwortliche, sofern nicht die Auftragsverarbeiterin wesentliche Vertrags- oder Datenschutzverstöße zu verantworten hat.
  5. Die Auftragsverarbeiterin führt gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die sie im Auftrag von Verantwortlichen durchführt. Das Verzeichnis wird auf Anfrage des Verantwortlichen oder einer zuständigen Aufsichtsbehörde zur Verfügung gestellt.

§ 10 Datenpannen und Mitteilungspflichten

  1. Die Auftragsverarbeiterin teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten (Datenpannen) gemäß Art. 33 Abs. 2 DSGVO unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, mit. Die Meldung erfolgt per E-Mail an die vom Verantwortlichen hinterlegte Kontaktadresse. Die Verantwortung für die Meldung an die zuständige Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO, Frist: 72 Stunden) und für die Benachrichtigung betroffener Personen (Art. 34 DSGVO) liegt beim Verantwortlichen.
  2. Die Erstmeldung muss mindestens enthalten:
    • Eine Beschreibung der Art der Verletzung (soweit bekannt), einschließlich der betroffenen Firebase-Dienste (z. B. Firestore, Firebase Auth, Firebase Cloud Messaging)
    • Die ungefähre Anzahl betroffener Personen (Mitarbeiter) und Datensätze
    • Die wahrscheinlichen Folgen der Verletzung
    • Bereits ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und zur Risikominimierung
  3. Anfragen von Aufsichtsbehörden, die sich auf die Verarbeitung im Auftrag des Verantwortlichen beziehen, leitet die Auftragsverarbeiterin unverzüglich an den Verantwortlichen weiter, ohne selbst inhaltlich darauf einzugehen, es sei denn, sie ist durch geltendes Recht dazu verpflichtet.
  4. Wesentliche Änderungen dieses Vertrages, insbesondere Änderungen der Unterauftragsverarbeiter-Liste, werden dem Verantwortlichen gemäß § 6 Abs. 2 mitgeteilt.

§ 11 Auftragsende

  1. Nach Beendigung des Auftrags hat die Auftragsverarbeiterin sämtliche in ihrem Besitz befindlichen Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Verantwortlichen zurückzugeben oder nach vorheriger Bestätigung zu löschen (§ 8).
  2. Die Auftragsverarbeiterin ist verpflichtet, die Vertraulichkeit der ihr anvertrauten Daten auch nach Beendigung des Vertrages zu wahren.
  3. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind von der Auftragsverarbeiterin entsprechend den gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren und können ihr auf Anfrage übergeben werden.

§ 12 Schlussbestimmungen

  1. Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Hamburg, Deutschland, sofern gesetzliche Regelungen nicht entgegenstehen.
  2. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, die unwirksame Regelung durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Regelung möglichst nahekommt.
  3. Änderungen und Ergänzungen dieses Vertrages sowie seiner Anlagen bedürfen der Textform (E-Mail genügt). Dies gilt auch für die Aufhebung dieses Formerfordernisses.
  4. Soweit Regelungen dieses Vertrages mit den Vorgaben der DSGVO unvereinbar sind, gehen die Vorgaben der DSGVO vor.
  5. Jede Partei haftet für Datenschutzverstöße, die sie selbst zu vertreten hat. Soweit eine betroffene Person gemäß Art. 82 DSGVO Schadensersatz von einer Partei verlangt, die den Schaden nicht oder nicht allein verursacht hat, ist die andere Partei verpflichtet, die leistende Partei im Innenverhältnis anteilig entsprechend dem jeweiligen Verschulden freizustellen.
  6. TRACE Electricity GmbH benennt als Ansprechpartner für datenschutzrechtliche Fragen: privacy@trace-electricity.com. Weiterführende Informationen finden sich im Datenschutzhinweis - TRACE.App sowie der allgemeinen Datenschutzerklärung.

§ 13 Drittlandtransfers

  1. Die primäre Datenspeicherung und -verarbeitung erfolgt in der Google Cloud Platform Region europe-west1 (Frankfurt, Deutschland) und unterliegt damit dem Recht der Europäischen Union. Ein Drittlandtransfer im Sinne von Art. 44 ff. DSGVO ist für den Regelbetrieb nicht vorgesehen.
  2. Soweit im Rahmen des Firebase-Betriebs dennoch Daten in Drittländer (insbesondere in die USA) übertragen werden (z. B. bei technischem Support durch Google-Mitarbeiter außerhalb der EU), werden diese Transfers durch folgende Garantien gemäß Art. 46 DSGVO abgesichert:
    • EU-Standardvertragsklauseln (SCC) 2021/914 gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, abgeschlossen zwischen TRACE Electricity GmbH und Google Ireland Limited bzw. Google LLC
    • EU-U.S. Data Privacy Framework (DPF): Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert (abrufbar unter dataprivacyframework.gov). Das DPF wurde von der Europäischen Kommission mit Angemessenheitsbeschluss vom 10. Juli 2023 als gleichwertig anerkannt.
  3. Cloudflare Germany GmbH agiert als EU-Entität; ein Drittlandtransfer über Cloudflare ist für die Erbringung der CDN-Leistungen nicht erforderlich. Für den Fall, dass Cloudflare, Inc. (USA) als Muttergesellschaft Zugang zu Daten erhält, sind ebenfalls EU-SCCs 2021/914 und das EU-U.S. DPF (Cloudflare, Inc. ist zertifiziert) als Garantien vereinbart.
  4. Die Auftragsverarbeiterin informiert den Verantwortlichen unverzüglich über wesentliche Änderungen der Drittlandtransfer-Absicherungen.

§ 14 Unterstützung bei der Datenschutz-Folgenabschätzung (DSFA)

  1. Gemäß Art. 28 Abs. 3 lit. f DSGVO unterstützt die Auftragsverarbeiterin den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO, sofern der Verantwortliche eine solche für den betrieblichen Einsatz von TRACE.App für erforderlich hält.
  2. Die Unterstützung umfasst insbesondere:
    • Bereitstellung von Informationen über die Verarbeitungsvorgänge in TRACE.App (einschließlich Firebase-Infrastruktur, Datenflüsse, eingesetzte Unterauftragsverarbeiter)
    • Bereitstellung der TOM-Dokumentation (Technische und Organisatorische Maßnahmen TOM - TRACE.App) als Grundlage für die Risikobewertung
    • Beantwortung von Fragen zum Verarbeitungsumfang, zu Datenkategorien und zur Verarbeitungsinfrastruktur
    • Unterstützung bei der Bewertung der Notwendigkeit einer vorherigen Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO
  3. Unterstützungsleistungen, die über eine einfache Informationsbereitstellung hinausgehen, werden nach vorheriger Absprache nach Aufwand angemessen vergütet.
  4. Anfragen zur DSFA-Unterstützung sind zu richten an: privacy@trace-electricity.com.

Anlage A — Beschreibung der Verarbeitungstätigkeit

Diese Anlage beschreibt gemäß Art. 28 Abs. 3 DSGVO den Gegenstand der Auftragsverarbeitung im Rahmen von TRACE.App (Unternehmensabos).

MerkmalBeschreibung
GegenstandBereitstellung und Betrieb von TRACE.App als Unternehmensabo für den betrieblichen Einsatz; Verarbeitung von Mitarbeiterdaten im Auftrag des Unternehmenskunden
Art der VerarbeitungErhebung, Speicherung, Auswertung und Anzeige von Energieverbrauchsdaten und Nutzungsdaten; Authentifizierung; Push-Benachrichtigungen; technischer Betrieb der App
ZweckBetrieblicher Einsatz von TRACE.App zur Energieberatung und -analyse für Mitarbeiterinnen und Mitarbeiter des Verantwortlichen gemäß dem TRACE.App-Unternehmensabo
Kategorien personenbezogener DatenStammdaten (Name, E-Mail, Passwort-Hash); Energieverbrauchsdaten; Nutzungsdaten; Kommunikationsdaten (Push-Benachrichtigungen); technische Protokolldaten (max. 90 Tage)
Kategorien betroffener PersonenMitarbeiterinnen und Mitarbeiter sowie ggf. sonstige vom Verantwortlichen eingeladene Personen
VerarbeitungsortGoogle Cloud Platform, Region europe-west1, Frankfurt am Main, Deutschland (primärer Verarbeitungsort); Cloudflare-CDN (EU-Knoten)
Eingesetzte Firebase-DiensteFirebase Hosting, Cloud Firestore, Firebase Authentication, Firebase Cloud Messaging (FCM), Google Cloud Platform (GCP) europe-west1
LaufzeitFür die Dauer des TRACE.App-Unternehmensabos; nach Beendigung gemäß § 8 dieses Vertrages (Löschung innerhalb von 30 Tagen)