SchadenMelden24 LogoSchadenMelden24
DSGVO Art. 28

AV-Vertrag

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

ImpressumDatenschutzAGBAV-VertragWiderruf

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AV-Vertrag“) wird geschlossen zwischen dem Kunden der Plattform SchadenMelden24 (nachfolgend „Auftraggeber“) und der:

Triccon GmbH
Dammstraße 20
06667 Weißenfels
Deutschland

E-Mail: info@schadenmelden24.com
(nachfolgend „Auftragsverarbeiter“)

Der AV-Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Auftragsverarbeitung im Rahmen des Hauptvertrags (Nutzungsvertrag der Plattform SchadenMelden24) ergeben. Er findet Anwendung auf alle Tätigkeiten, bei denen der Auftragsverarbeiter und seine Beschäftigten oder durch den Auftragsverarbeiter Beauftragte personenbezogene Daten des Auftraggebers verarbeiten.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Plattform SchadenMelden24 zur digitalen Verwaltung und Kommunikation von Fahrzeugschäden zwischen Versicherungen und Werkstätten.

(2) Dauer: Die Verarbeitung beginnt mit der Registrierung des Auftraggebers auf der Plattform und endet mit der vollständigen Löschung bzw. Anonymisierung aller personenbezogenen Daten nach Vertragsende gemäß den in der Datenschutzerklärung beschriebenen Aufbewahrungsfristen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Benutzerprofilen und Zugangsdaten
  • Erfassung, Speicherung und Verwaltung von Schadensmeldungen (Claims)
  • Verarbeitung von Fahrzeug- und Kundendaten im Rahmen der Schadensabwicklung
  • Speicherung und Bereitstellung von hochgeladenen Dokumenten und Fotos
  • Verarbeitung von Kommunikationsdaten (Chat-Nachrichten zwischen den Parteien)
  • Abrechnung und Provisionsberechnung
  • Versand von Benachrichtigungen (E-Mail, Push, WhatsApp)
  • Bereitstellung des Kundenportals (token-basierter Auftragsstatus-Zugang)
  • Erstellung anonymisierter Statistiken und Berichte

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten sind Gegenstand der Verarbeitung:

  • Stammdaten: Firmenname, Ansprechpartner, Anschrift, Handelsregisterdaten
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer, Faxnummer
  • Authentifizierungsdaten: Passwort-Hash, Auth-Token, Session-Daten
  • Zahlungsdaten: Bankverbindung (via Stripe/PayPal), Rechnungsadresse, Transaktionshistorie
  • Vertragsdaten: Schadensmeldungen, Auftragsdaten, Reparaturdokumentation
  • Fahrzeugdaten: Kennzeichen, FIN/VIN, Fahrzeugtyp, Baujahr
  • Kundendaten (Versicherungsnehmer): Name, Adresse, Telefonnummer des Geschädigten
  • Kommunikationsdaten: Chat-Nachrichten, E-Mail-Inhalte
  • Mediendaten: Schadensfotos, Unterschriften, Dokumente
  • Gerätedaten (mobil): Geräte-ID, Plattform, Push-Token
  • Nutzungsdaten: Zugriffszeitpunkte, IP-Adressen, Browser-Informationen

§ 4 Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

  • Versicherungsmitarbeiter: Mitarbeiter der registrierten Versicherungsunternehmen, die die Plattform zur Schadensmeldung und -verwaltung nutzen
  • Werkstattmitarbeiter: Mitarbeiter der registrierten Werkstätten, die die Plattform zur Auftragsbearbeitung und Reparaturdokumentation nutzen
  • Endkunden (Versicherungsnehmer): Geschädigte Fahrzeughalter, deren Daten im Rahmen der Schadensmeldung erfasst werden und die ggf. über das Kundenportal den Auftragsstatus einsehen

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
  2. Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
  3. Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 7).
  4. Die in § 8 genannten Bedingungen für die Inanspruchnahme von Sub-Prozessoren einzuhalten.
  5. Den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen.
  6. Den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO) zu unterstützen.
  7. Den Auftraggeber unverzüglich zu informieren, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt.
  8. Datenschutzverletzungen unverzüglich (spätestens innerhalb von 24 Stunden nach Kenntnisnahme) an den Auftraggeber zu melden.

§ 6 Weisungsrecht des Auftraggebers

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Weisung des Auftraggebers. Die anfänglichen Weisungen ergeben sich aus diesem AV-Vertrag und dem Hauptvertrag. Weitere Weisungen können vom Auftraggeber in Textform (E-Mail ausreichend) erteilt werden.

(2) Der Auftragsverarbeiter hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstößt gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

(3) Weisungsberechtigte Personen des Auftraggebers: Weisungsberechtigt sind die Geschäftsführung des Auftraggebers sowie die von dieser benannten Personen. Weisungen sind an info@schadenmelden24.com zu richten.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

7.1 Verschlüsselung

  • Transport: TLS 1.3 für alle Datenübertragungen zwischen Client und Server
  • Speicherung: AES-256-Bit-Verschlüsselung für ruhende Daten (at rest) in der Datenbank und im Dateispeicher
  • Passwörter: Bcrypt-Hashing mit individuellem Salt (kein Klartextspeicherung)

7.2 Zugriffskontrolle

  • Row Level Security (RLS): Datenbankweite Zugriffskontrolle auf Zeilenebene, die sicherstellt, dass jeder Benutzer ausschließlich auf die ihm zugeordneten Daten zugreifen kann
  • Rollenbasierte Berechtigung: Drei strikt getrennte Rollen (Versicherung, Werkstatt, Administrator) mit jeweils definierten Zugriffsrechten
  • JWT-basierte Authentifizierung: Kurzlebige Access-Token mit automatischer Erneuerung
  • Multi-Standort-Isolation: Werkstätten mit mehreren Standorten können nur auf Daten ihrer eigenen Standorte zugreifen

7.3 Pseudonymisierung

  • Interne Identifikation über UUIDs statt Klarnamen
  • Auftragsnummern (Format: GS-YYYY-NNNN) als externe Referenz ohne direkten Personenbezug
  • Anonymisierung personenbezogener Daten bei Kontolöschung unter Beibehaltung anonymisierter Geschäftsdaten

7.4 Integrität und Verfügbarkeit

  • Audit-Logging: Lückenlose Protokollierung aller Änderungen an sensiblen Daten (alte und neue Werte, Zeitstempel, ausführender Benutzer)
  • Automatische Backups: Tägliche Sicherungskopien mit 30 Tagen Aufbewahrung
  • Verfügbarkeit: 99% Uptime-SLA durch redundante Cloud-Infrastruktur
  • Soft-Delete: Daten werden nicht physisch gelöscht, sondern zunächst als gelöscht markiert, um versehentlichen Datenverlust zu verhindern

7.5 Regelmäßige Überprüfung

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
  • Monitoring auf Sicherheitsvorfälle und ungewöhnliche Zugriffsmuster
  • Regelmäßige Updates und Patches der eingesetzten Software und Bibliotheken

§ 8 Sub-Prozessoren

(1) Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Sub-Prozessoren) hinzuzuziehen. Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Prozessoren und gibt dem Auftraggeber die Möglichkeit, gegen diese Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO).

(2) Der Auftragsverarbeiter stellt sicher, dass mit allen Sub-Prozessoren Auftragsverarbeitungsverträge geschlossen werden, die mindestens den gleichen Datenschutzverpflichtungen unterliegen wie dieser AV-Vertrag.

(3) Aktuelle Sub-Prozessoren-Liste:

DienstleisterZweckStandortGarantie Drittland
Supabase Inc.Datenbank, Authentifizierung, Dateispeicherung, Echtzeit-KommunikationSingapur (AWS)AV-Vertrag
Stripe Inc.Zahlungsabwicklung (Abonnements, Checkout)USASCC gem. Art. 46 DSGVO
PayPal (Europe) S.à r.l. et Cie, S.C.A.Alternative ZahlungsabwicklungLuxemburg / USASCC gem. Art. 46 DSGVO
Google LLC (Firebase Cloud Messaging)Push-BenachrichtigungenUSASCC gem. Art. 46 DSGVO
Google LLC (Places API)AdressvervollständigungUSASCC gem. Art. 46 DSGVO
Meta Platforms Inc. (WhatsApp Business API)KundenbenachrichtigungenUSASCC gem. Art. 46 DSGVO
SMTP-ProviderTransaktionale E-MailsEUAV-Vertrag

§ 9 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrags hat der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur weiteren Speicherung besteht.

(2) Datenexport: Der Auftraggeber kann vor Vertragsende alle personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON/ZIP) exportieren.

(3) Anonymisierung: Nach der Rückgabe bzw. dem Export werden alle personenbezogenen Daten anonymisiert. Anonymisierte Geschäftsdaten (ohne Personenbezug) werden gemäß den gesetzlichen Aufbewahrungsfristen (§257 HGB, §147 AO) für bis zu 10 Jahre aufbewahrt.

(4) Löschbestätigung: Der Auftragsverarbeiter bestätigt dem Auftraggeber die ordnungsgemäße Löschung bzw. Anonymisierung in Textform.

(5) Backup-Daten: Daten in Backup-Systemen werden spätestens 30 Tage nach der Anonymisierung überschrieben.

§ 10 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der in diesem AV-Vertrag getroffenen Regelungen zu überprüfen. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Durchführung von Audits und stellt die hierfür erforderlichen Informationen zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).

(2) Inspektionsrecht: Der Auftraggeber oder ein von ihm beauftragter Prüfer kann nach vorheriger Ankündigung (in der Regel 4 Wochen) die Einhaltung der technischen und organisatorischen Maßnahmen vor Ort oder durch Fernprüfung überprüfen.

(3) Auskunftsrecht: Der Auftragsverarbeiter erteilt dem Auftraggeber auf Anfrage alle Auskünfte, die zur Durchführung einer Kontrolle erforderlich sind.

(4) Kosten: Die Kosten für eine Vor-Ort-Inspektion trägt der Auftraggeber, sofern die Inspektion keine Verstöße gegen diesen AV-Vertrag ergibt.

§ 11 Haftung und Schadensersatz

(1) Die Haftung der Parteien richtet sich nach den Bestimmungen des Art. 82 DSGVO.

(2) Der Auftragsverarbeiter haftet gegenüber betroffenen Personen für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht werden, oder wenn er seinen speziell auferlegten Pflichten nicht nachgekommen ist.

(3) Die Haftung des Auftragsverarbeiters ist ausgeschlossen, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

§ 12 Schlussbestimmungen

(1) Dieser AV-Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Sollten einzelne Bestimmungen dieses AV-Vertrags unwirksam sein oder werden, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.

(3) Dieser AV-Vertrag tritt mit der Nutzung der Plattform SchadenMelden24 in Kraft und gilt für die gesamte Dauer der Vertragsbeziehung.

(4) Änderungen dieses AV-Vertrags bedürfen der Textform. Der Auftragsverarbeiter informiert den Auftraggeber über Änderungen mindestens 4 Wochen vor deren Inkrafttreten.

Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag wenden Sie sich bitte an:

Triccon GmbH
Datenschutzbeauftragter
Dammstraße 20
06667 Weißenfels
Deutschland

E-Mail: info@schadenmelden24.com

Stand: Februar 2026