ScafLog Logo
ScafLog

Data Processing Addendum (Auftragsverarbeitung, Art. 28 DSGVO)

Stand: Mai 2026 · Betreiber: SwissZar LLC

1. Parteien

Verantwortlicher: Kunde laut Hauptvertrag (AGB).
Auftragsverarbeiter: SwissZar LLC, 30 N Gould St, Ste N, Sheridan, WY 82801, USA.

Dieses DPA ist Bestandteil der AGB und konkretisiert die datenschutzrechtlichen Pflichten nach Art. 28 DSGVO.

2. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten zur Bereitstellung der SaaS-Anwendung ScafLog. Die Dauer entspricht der Vertragslaufzeit gemäß AGB.

3. Art, Umfang, Zweck

Verarbeitet werden insbesondere Stamm-, Konto-, Baustellen-, Prüf-, Mängel-, Foto-, Signatur-, Kommunikations- und Audit-Daten zur Erbringung der vertraglich vereinbarten Leistungen.

4. Kategorien betroffener Personen

  • Mitarbeitende und Verantwortliche des Kunden (Nutzer der Software)
  • Ansprechpartner auf Baustellen, Subunternehmer und Auftraggeber des Kunden

5. Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit.
  • Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe Anlage TOM).
  • Unterstützung des Verantwortlichen bei Betroffenenrechten und Pflichten nach Art. 32–36 DSGVO im zumutbaren Rahmen.
  • Meldung von Datenschutzverletzungen unverzüglich nach Kenntniserlangung.
  • Nach Vertragsende Löschung oder Rückgabe der Daten gemäß Wahl des Verantwortlichen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

6. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

  • Supabase – Datenbank, Auth, Speicher (Hosting EU)
  • Cloudflare – Edge-Netz, DDoS-Schutz
  • Lovable – Build- und Deployment-Plattform
  • Digistore24 – Zahlungsabwicklung, Rechnungsstellung
  • E-Mail-Versanddienstleister für Transaktions- und Supportkommunikation

Eine aktuelle Liste wird auf Anfrage zur Verfügung gestellt. Änderungen werden mit einer Vorlaufzeit von mindestens 30 Tagen angekündigt; der Verantwortliche kann aus wichtigem Grund widersprechen.

7. Drittlandtransfers

Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies auf Basis der EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) und ergänzender Schutzmaßnahmen (z. B. Verschlüsselung, Zugriffskontrollen). Eine Risikoanalyse (TIA) wird vorgehalten.

8. Kontroll- und Auditrechte

Der Verantwortliche ist berechtigt, sich von der Einhaltung der Pflichten zu überzeugen. Audits erfolgen nach angemessener Vorankündigung in zumutbarem Umfang, in der Regel durch Vorlage aktueller Zertifizierungen, Penetrationstest-Berichte oder TOM-Dokumentation. Vor-Ort-Audits werden auf Vorabstimmung durchgeführt; Aufwände, die über das Übliche hinausgehen, werden dem Verantwortlichen in Rechnung gestellt.

Anlage: Technische und organisatorische Maßnahmen (TOM)

  • Transportverschlüsselung (TLS 1.2+), Verschlüsselung ruhender Daten (AES-256).
  • Rollenbasierte Zugriffskontrolle, Need-to-know-Prinzip, Mehrfaktor-Authentifizierung für administrative Zugriffe.
  • Zentrales Logging und Monitoring; manipulationsgesicherte Audit-Trails.
  • Tägliche Backups, geprüfte Wiederherstellungsverfahren.
  • Trennung von Test-, Staging- und Produktionsumgebung.
  • Patch-Management, Schwachstellenscans, kontinuierliche Sicherheitsupdates.
  • Schulung und Vertraulichkeitsverpflichtung der Mitarbeitenden.
  • Incident-Response-Prozess, Verfahren zur Meldung von Datenschutzverletzungen.