Startseite / Datenschutz / Datenschutzhinweis - TRACE.Parser / AVV - TRACE.Parser

Auftragsverarbeitungsvertrag AVV - TRACE.Parser

Stand: Juni 2026 | Version 2.1 | gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag wird zwischen dem Kunden der TRACE.Parser-Funktion (nachfolgend: „Verantwortlicher“) und

TRACE Electricity GmbH, Hamburg, Deutschland
(nachfolgend: „Auftragsverarbeiter“)

geschlossen. Dieser AVV wird mit Abschluss der Nutzungsvereinbarung für TRACE.Parser automatisch Bestandteil des Vertragsverhältnisses und bedarf keiner gesonderten Unterzeichnung.

§1 Gegenstand und Dauer der Verarbeitung

  1. Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung des Dienstes TRACE.Parser (Analyse von Strom-Produktionsprofilen gemäß der Leistungsbeschreibung in den Nutzungsbedingungen (NB-Parser)).
  2. Die Verarbeitung erfolgt für die Dauer des bestehenden Vertragsverhältnisses. Nach Beendigung gelten die Regelungen des §10 dieses Vertrages.
  3. Dieser Vertrag geht allen früheren Vereinbarungen zwischen den Parteien über die Auftragsverarbeitung im Rahmen von TRACE.Parser vor.
  4. Die Beschreibung der Verarbeitungstätigkeiten ist in Anlage A zu diesem Vertrag niedergelegt, die Bestandteil dieses Vertrages ist.
  5. Dieser AVV ist abrufbar unter trace-electricity.com/de/avv-parser/.

Dieser AVV gilt ausschließlich für die Verarbeitung im Rahmen von TRACE.Parser. Für TRACE.App und TRACE.Konfigurator/Studio gelten separate Vereinbarungen.

§2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Dienstleistungen, insbesondere:

  • Analyse und Auswertung hochgeladener Strom-Produktionsprofile (CSV/Excel-Dateien)
  • Bereitstellung von Visualisierungen, Kennzahlen und Berichten auf Basis der hochgeladenen Daten
  • Speicherung und Verwaltung der Dateien und Ergebnisse im Nutzerkonto des Verantwortlichen
  • Technischer Betrieb der Plattform, Fehlerprotokollierung und Sicherheitsüberwachung
  • Nutzerkommunikation im Rahmen des Supportbetriebs

Eine Verarbeitung für eigene Zwecke des Auftragsverarbeiters findet nicht statt. Anonymisierte, nicht auf einzelne Personen rückführbare Nutzungsstatistiken (z. B. Anzahl der Uploads, durchschnittliche Dateigrößen) sind hiervon ausgenommen.

Konkretisierung: Zweck: Bereitstellung des TRACE.Parser-Dienstes (Analyse von Stromverbrauchsprofilen, Erzeugung von Auswertungsberichten). Kategorien betroffener Personen: Geschäftsführer, Mitarbeiter, Ansprechpartner des Verantwortlichen. Kategorien personenbezogener Daten: Name, E-Mail, Unternehmensdaten, Energieverbrauchsdaten.

Hinweis: Die im Rahmen der TRACE.Parser-Landingpage auf trace-electricity.com eingesetzten Website-Analyse-Tools (Google Analytics 4, Hotjar, LinkedIn Insight Tag) unterliegen nicht diesem Auftragsverarbeitungsvertrag; insoweit ist TRACE Electricity GmbH eigenständiger Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO. Näheres regelt der Datenschutzhinweis - TRACE.Parser.

§3 Art der personenbezogenen Daten und Kategorien betroffener Personen

Kategorien betroffener Personen

  • Nutzer des TRACE.Parser (Mitarbeiter, Beauftragte oder Repräsentanten des Verantwortlichen)
  • Ggf. in Produktionsprofilen enthaltene natürliche Personen (soweit die hochgeladenen Daten einen Personenbezug aufweisen)

Kategorien personenbezogener Daten

  • Nutzungsdaten: E-Mail-Adresse, Passwort-Hash, Sitzungsdaten, IP-Adresse (wird vor der dauerhaften Speicherung anonymisiert; eine vollständige IP-Adresse wird nicht persistiert)
  • Hochgeladene Dateien und deren Inhalte: Produktionsprofile und darin enthaltene Daten (personenbezogen, soweit vom Verantwortlichen entsprechend befüllt)
  • Analyse-Ergebnisse: Berichte und Visualisierungen, die auf Basis der hochgeladenen Dateien generiert wurden
  • Metadaten zu Uploads: Zeitstempel, Dateiname, Dateigröße, Verarbeitungsstatus
  • Technische Protokolldaten: Fehlerberichte, Zugriffszeiten (max. 90 Tage, danach automatische Löschung)

Der Verantwortliche ist allein dafür verantwortlich, dass er über eine geeignete Rechtsgrundlage gemäß Art. 6 DSGVO verfügt, personenbezogene Daten in den hochgeladenen Produktionsprofilen an den Auftragsverarbeiter zur Verarbeitung zu übermitteln.

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sind vom Gegenstand dieses Vertrages nicht umfasst und dürfen vom Verantwortlichen nicht in die Plattform eingestellt werden.

Der Verantwortliche stellt sicher, dass für die Übermittlung von Team-Nutzerdaten an TRACE eine geeignete Rechtsgrundlage besteht (z. B. § 26 BDSG für Beschäftigte).

§4 Rechtsstellung und Pflichten des Verantwortlichen

  1. Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenübermittlung und der Verarbeitung durch den Auftragsverarbeiter, insbesondere dafür, dass eine geeignete Rechtsgrundlage nach Art. 6 DSGVO für die Verarbeitung vorliegt.
  2. Weisungen werden in der Regel schriftlich (auch per E-Mail an privacy@trace-electricity.com) erteilt. Mündliche Weisungen werden unverzüglich schriftlich bestätigt. Der Verantwortliche ist berechtigt, jederzeit zusätzliche Weisungen zu erteilen. Weisungen sollen in Textform (E-Mail genügt) erteilt werden. TRACE dokumentiert erhaltene Weisungen und deren Ausführung.
  3. Der Verantwortliche unterrichtet den Auftragsverarbeiter unverzüglich, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten feststellt, die datenschutzrechtliche Relevanz haben können.
  4. Der Verantwortliche stellt sicher, dass alle an der Verarbeitung beteiligten Personen auf seiner Seite über die einschlägigen datenschutzrechtlichen Anforderungen informiert sind.

§5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen insbesondere:

Die technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO sind in der TOM-Dokumentation beschrieben, abrufbar: Technische und organisatorische Maßnahmen TRACE.Parser (TOM). TRACE ist berechtigt, die TOMs anzupassen, sofern das Schutzniveau nicht unterschritten wird.

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist hierzu durch das Recht der Europäischen Union oder der Mitgliedstaaten verpflichtet; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
  2. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und für Zwecke des Auftraggebers und nicht für eigene Geschäftszwecke, es sei denn, er ist gesetzlich dazu verpflichtet; in letzterem Fall informiert er den Auftraggeber unverzüglich, sofern rechtlich zulässig.
  3. Die zur Verarbeitung eingesetzten Personen zur Vertraulichkeit zu verpflichten oder zu gewährleisten, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. Alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO zur Gewährleistung der Sicherheit der Verarbeitung zu ergreifen (§7).
  5. Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung so weit wie möglich bei der Erfüllung seiner Pflicht zur Beantwortung von Anfragen betroffener Personen zu unterstützen (§9).
  6. Den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen, insbesondere bei der Datenschutz-Folgenabschätzung.
  7. Dem Verantwortlichen nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (§10).
  8. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen, einschließlich Inspektionen, zu ermöglichen (§11).

§6 Vertraulichkeit der Verarbeitung

  1. Der Auftragsverarbeiter gewährleistet, dass die bei der Verarbeitung eingesetzten Personen zur Wahrung der Vertraulichkeit verpflichtet sind. Entsprechende Vertraulichkeitsverpflichtungen werden schriftlich vereinbart und überwacht.
  2. Der Auftragsverarbeiter stellt sicher, dass nur solche Personen Zugang zu den Daten des Verantwortlichen erhalten, die dies für ihre Tätigkeit benötigen (Prinzip der minimalen Rechtevergabe / Need-to-Know).
  3. Diese Vertraulichkeitspflicht besteht auch nach Beendigung dieses Vertrages fort.
  4. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Unterauftragsvergabe an die in §8 gelisteten Subunternehmer. TRACE informiert den Verantwortlichen über geplante Änderungen mindestens 30 Tage vorab. Der Verantwortliche kann Änderungen widersprechen.

§7 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter hat vor Beginn der Verarbeitung und laufend technische und organisatorische Maßnahmen (TOM) getroffen, um ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO zu gewährleisten.

Die vollständige TOM-Dokumentation (Technische und organisatorische Maßnahmen TRACE.Parser (TOM)) gilt als Anlage B dieses AVV. TRACE ist berechtigt, die TOMs anzupassen, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.

§8 Inanspruchnahme von Unterauftragsverarbeitern

  1. Der Verantwortliche erteilt die allgemeine Genehmigung für die Inanspruchnahme der nachfolgend genannten Unterauftragsverarbeiter:
Unterauftragsverarbeiter Sitz Verarbeitungszweck Drittlandtransfer
Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855 Luxemburg Infrastruktur, Hosting, Datenspeicherung (Serverstandorte EU: Frankfurt/Irland); E-Mail-Versand über Amazon SES Kein Drittlandtransfer (EU-Standorte); ergänzend: EU-U.S. Data Privacy Framework (AWS zertifiziert) sowie Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO. AWS EMEA SARL setzt AWS Inc., 410 Terry Ave. North, Seattle, WA 98109, USA als weiteren Unterauftragsverarbeiter ein. Rechtsgrundlage: EU-SCCs (Beschluss 2021/914, Modul 4) i.V.m. EU-U.S. DPF.
Cloudflare Germany GmbH (Cloudflare, Inc.) Rosental 7, 80331 München (EU-Entität) CDN, DDoS-Schutz, TLS-Terminierung Kein Drittlandtransfer (EU-Entität); ergänzend: EU-U.S. Data Privacy Framework (Cloudflare zertifiziert) sowie Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO
Google Firebase / Google LLC 1600 Amphitheatre Parkway, Mountain View, CA, USA (EU-Verarbeitung über Google Cloud Frankfurt) App-Infrastruktur, Authentifizierung, Datenbankdienste (soweit im Rahmen von TRACE.Parser eingesetzt) Drittlandtransfer möglich; Absicherung durch EU-U.S. Data Privacy Framework (Google zertifiziert) sowie Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO
PagerDuty Inc. 600 Townsend St., San Francisco, CA 94103, USA Incident-Management und On-Call-Alerting EU-Standardvertragsklauseln (Beschluss 2021/914, Modul 4: AV→AV) i.V.m. EU-U.S. Data Privacy Framework (DPF)
  1. Über jede beabsichtigte Hinzuziehung neuer Unterauftragsverarbeiter oder Ersetzung bestehender Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig vorab (mindestens 30 Tage) per E-Mail an die hinterlegte Kontaktadresse.
  2. Dem Verantwortlichen steht ein Widerspruchsrecht gegen die Änderung zu. Widerspricht der Verantwortliche nicht innerhalb von 30 Tagen nach Zugang der Mitteilung, gilt die Änderung als genehmigt. Im Falle eines begründeten Widerspruchs wird dem Verantwortlichen ein Sonderkündigungsrecht eingeräumt. Der Auftragsverarbeiter wird in diesem Fall prüfen, ob der betreffende Unterauftragsverarbeiter durch einen gleichwertigen Anbieter ersetzt werden kann, der den Anforderungen des Verantwortlichen entspricht. Im Falle der Kündigung nach begründetem Widerspruch sorgt der Auftragsverarbeiter dafür, dass personenbezogene Daten des Verantwortlichen, die vom neuen Unterauftragsverarbeiter bereits verarbeitet wurden, unverzüglich nach Wirksamwerden der Kündigung gemäß den Regelungen in §10 (Löschung und Rückgabe) gelöscht oder zurückgegeben werden.
  3. Der Auftragsverarbeiter verpflichtet seine Unterauftragsverarbeiter vertraglich zu denselben Datenschutzverpflichtungen, wie in diesem Vertrag vereinbart, insbesondere hinsichtlich der Gewährleistung angemessener technischer und organisatorischer Maßnahmen.

Hinweis: GA4, Hotjar und LinkedIn Insight Tag werden von TRACE als eigenständiger Verantwortlicher für Marketingzwecke eingesetzt und sind nicht Gegenstand dieses AVV.

§9 Unterstützungspflichten des Auftragsverarbeiters

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere:

  1. Betroffenenrechte (Art. 15–22 DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Datenübertragbarkeits- und Widerspruchsanfragen betroffener Personen. Soweit diese Rechte durch Selbstverwaltungsfunktionen im Nutzerkonto direkt ausgeführt werden können, liegt die Umsetzung beim Verantwortlichen. Für darüber hinausgehende Unterstützung ist privacy@trace-electricity.com zu kontaktieren.
  2. Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Auf Anfrage des Auftraggebers unterstützt der Auftragnehmer die Durchführung einer Datenschutz-Folgeabschätzung sowie einer vorherigen Konsultation gemäß Art. 36 DSGVO, insbesondere durch Bereitstellung technischer Dokumentation, Risikoeinschätzungen und Informationen zu den eingesetzten Verarbeitungssystemen.
  3. Vorherige Konsultation (Art. 36 DSGVO): Bei Bedarf unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Konsultation der zuständigen Aufsichtsbehörde.
  4. Datensicherheit (Art. 32 DSGVO): Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage eine aktuelle Übersicht der getroffenen TOM zur Verfügung.

Unterstützungsleistungen, die über den vertragsgemäßen Leistungsumfang hinausgehen, werden nach Aufwand angemessen vergütet.

§10 Löschung und Rückgabe von Daten

  1. Nach endgültiger Kündigung oder Beendigung des Nutzerverhältnisses löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 90 Tagen unwiderruflich.
  2. Auf Verlangen des Verantwortlichen stellt der Auftragsverarbeiter die verarbeiteten Daten vor der Löschung in einem maschinenlesbaren Format (CSV oder JSON) zur Verfügung (Datenportabilität gemäß Art. 20 DSGVO). Der Auftragsverarbeiter stellt den Datenexport innerhalb von 14 Tagen nach Anforderung zum Download bereit; der Download-Link ist 30 Tage lang gültig. Nach Fristablauf oder nach Bestätigung des Verantwortlichen, dass kein Export gewünscht ist, beginnt die 90-tägige Löschfrist.
  3. Die Löschung erstreckt sich auf alle im Rahmen der Auftragsverarbeitung erstellten Kopien, einschließlich Datensicherungen. Gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters bleiben unberührt; in diesem Fall werden die betreffenden Daten bis zum Ablauf der Aufbewahrungsfrist in ihrer Verarbeitung eingeschränkt. Abrechnungsdaten werden gemäß § 147 AO und § 257 HGB bis zu 10 Jahre aufbewahrt.
  4. Auf Wunsch bestätigt der Auftragsverarbeiter die vollständige Löschung schriftlich per E-Mail.
  5. Die 90-tägige Aufbewahrungsfrist nach Vertragsende beginnt am Ende des letzten Abrechnungszeitraums. Innerhalb der ersten 14 Tage besteht eine Exportmöglichkeit. Maximale Gesamtdauer: 134 Tage.

§11 Kontrollrechte des Verantwortlichen

  1. Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Vereinbarungen in diesem Vertrag beim Auftragsverarbeiter und bei etwaigen Unterauftragsverarbeitern jederzeit zu kontrollieren.
  2. Kontrollen können durchgeführt werden durch:
    • Anforderung von Informationen und Dokumentationen (z. B. aktuelle TOM-Dokumentation, Unterauftragsverarbeiter-Liste)
    • Befragung des zuständigen Datenschutzbeauftragten oder beauftragter Mitarbeiter
    • Vor-Ort-Inspektionen (mit angemessener Vorankündigung von mindestens 5 Werktagen, ggf. nach Abschluss einer Vertraulichkeitsvereinbarung)
  3. Statt einer Vor-Ort-Inspektion kann der Auftragsverarbeiter dem Verantwortlichen aktuelle Zertifizierungen, Auditberichte (z. B. ISO 27001, SOC 2), soweit vorhanden, oder gleichwertige Nachweise (z. B. Eigenerklärung zum Stand der TOM gemäß §7 dieses Vertrages) übermitteln, sofern diese den Gegenstand der Kontrolle abdecken.
  4. Kosten für Vor-Ort-Inspektionen trägt der Verantwortliche, sofern nicht der Auftragsverarbeiter wesentliche Vertrags- oder Datenschutzverstöße zu verantworten hat.

§12 Mitteilungspflichten

  1. Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO, die in seinem Verantwortungsbereich eingetreten ist. Die Benachrichtigung hat alle nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben zu enthalten, soweit diese dem Auftragnehmer zum Zeitpunkt der Meldung bekannt sind; fehlende Informationen sind unverzüglich nachzureichen. Die Meldung gegenüber der zuständigen Datenschutzaufsichtsbehörde nach Art. 33 Abs. 1 DSGVO obliegt ausschließlich dem Auftraggeber als Verantwortlichem.
  2. Die Erstmeldung muss mindestens enthalten:
    • Eine Beschreibung der Art der Verletzung (soweit bekannt)
    • Die ungefähre Anzahl betroffener Personen und Datensätze
    • Die wahrscheinlichen Folgen der Verletzung
    • Bereits ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Risikominimierung
  3. Anfragen von Aufsichtsbehörden, die sich auf die Verarbeitung im Auftrag des Verantwortlichen beziehen, leitet der Auftragsverarbeiter unverzüglich an den Verantwortlichen weiter, ohne selbst inhaltlich darauf einzugehen, es sei denn, er ist durch geltendes Recht dazu verpflichtet.
  4. Erhält der Auftragsverarbeiter von betroffenen Personen Anfragen zu den im Rahmen dieses Vertrages verarbeiteten Daten, leitet er diese unverzüglich an den Verantwortlichen weiter.
  5. Wesentliche Änderungen dieses Vertrages, insbesondere Änderungen der Unterauftragsverarbeiter-Liste, werden dem Verantwortlichen gemäß §8 Abs. 2 mitgeteilt.

§13 Schlussbestimmungen

  1. Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Hamburg, Deutschland, sofern gesetzliche Regelungen nicht entgegenstehen. Gerichtsstand ist Hamburg.
  2. Drittlandtransfers (Art. 46 DSGVO): Für Transfers in Drittländer gelten die EU-Standardvertragsklauseln (Beschluss 2021/914). Für Transfers vom Verantwortlichen (Auftraggeber) zum Auftragsverarbeiter gilt Modul 2 (Verantwortlicher→AV); für Transfers zwischen Auftragsverarbeitern gilt Modul 4 (AV→AV).
  3. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, die unwirksame Regelung durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Regelung möglichst nahekommt.
  4. Änderungen und Ergänzungen dieses Vertrages sowie seiner Anlagen bedürfen der Textform (E-Mail genügt). Dies gilt auch für die Aufhebung dieses Formerfordernisses.
  5. Soweit Regelungen dieses Vertrages mit den Vorgaben der DSGVO unvereinbar sind, gehen die Vorgaben der DSGVO vor.
  6. TRACE Electricity GmbH benennt als Ansprechpartner für datenschutzrechtliche Fragen: privacy@trace-electricity.com. Weiterführende Informationen finden sich in der Datenschutzhinweis - TRACE.Parser sowie der allgemeinen Datenschutzerklärung.
  7. Der Auftragsverarbeiter führt gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die er im Auftrag von Verantwortlichen durchführt. Das Verzeichnis wird auf Anfrage des Verantwortlichen oder einer zuständigen Aufsichtsbehörde zur Verfügung gestellt.

§14 Haftung

Jede Partei haftet für Datenschutzverstöße, die sie selbst zu vertreten hat. Soweit eine betroffene Person gemäß Art. 82 DSGVO Schadensersatz von einer Partei verlangt, die den Schaden nicht oder nicht allein verursacht hat, ist die andere Partei verpflichtet, die leistende Partei im Innenverhältnis anteilig entsprechend dem jeweiligen Verschulden freizustellen. Der Auftragsverarbeiter haftet insbesondere dann, wenn er entgegen den Weisungen des Verantwortlichen oder entgegen den Pflichten aus Art. 28 DSGVO gehandelt hat. Der Verantwortliche haftet insbesondere dann, wenn der Schaden aus der Unrechtmäßigkeit seiner Weisungen resultiert. Die Geltendmachung weiterer gesetzlicher Ansprüche bleibt unberührt.

Anlage A — Beschreibung der Verarbeitungstätigkeit

Diese Anlage beschreibt gemäß Art. 28 Abs. 3 DSGVO den Gegenstand der Auftragsverarbeitung im Rahmen von TRACE.Parser.

MerkmalBeschreibung
GegenstandAnalyse und Auswertung von Strom-Produktionsprofilen (CSV/XLSX-Dateien) mittels TRACE.Parser
Art der VerarbeitungSpeicherung, Auswertung, Visualisierung, Bereitstellung von Berichten; technischer Betrieb der Plattform
ZweckBereitstellung und Betrieb des SaaS-Dienstes TRACE.Parser gemäß den Nutzungsbedingungen (NB-Parser)
Kategorien personenbezogener DatenNutzungsdaten (E-Mail, Passwort-Hash, Sitzungsdaten, IP-Adresse anonymisiert); hochgeladene Produktionsprofile und darin enthaltene Daten; Analyseergebnisse; technische Protokolldaten (max. 90 Tage)
Kategorien betroffener PersonenNutzer von TRACE.Parser (Mitarbeiter / Beauftragte des Verantwortlichen); ggf. natürliche Personen, deren Daten in Produktionsprofilen enthalten sind
VerarbeitungsortEU (AWS-Rechenzentren Frankfurt/Main und Dublin, Irland); kein Drittlandtransfer für Produktionsdaten
LaufzeitFür die Dauer des Nutzungsverträgs; nach Beendigung gemäß §10 dieses Vertrages