RECHTLICHES · AUFTRAGSVERARBEITUNGSVERTRAG

Auftragsverarbeitungsvertrag

Der Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO zwischen Ihnen (Verantwortlicher) und EDMA Group (Auftragsverarbeiter). Er ist Bestandteil der Nutzungsbedingungen und bindet beide Parteien, wenn EDMA in TradeOS personenbezogene Daten in Ihrem Auftrag verarbeitet.

Version

v1.0

Gültig ab

25. Mai 2026

Zuletzt aktualisiert

23. Mai 2026

Status

v1.0 · kann sich ändern

HINWEIS IN KLARER SPRACHE

Dieses Dokument ist verständlich formuliert. Es ist ein verbindliches Rechtsdokument — bitte lesen Sie es sorgfältig. Bei Rückfragen schreiben Sie an [email protected] mit dem Betreff [Legal]. EDMA Group behält sich das Recht vor, dieses Dokument zu aktualisieren; wesentliche Änderungen werden mindestens 30 Tage im Voraus per E-Mail angekündigt und unter /newsroomveröffentlicht.

01 Hintergrund & Verhältnis

Diese Datenverarbeitungsvereinbarung („DPA”) ergänzt die Nutzungsbedingungen zwischen dem Kunden („Verantwortlicher”) und EDMA Group („Auftragsverarbeiter”) und gibt die Einigung der Parteien über die Verarbeitung personenbezogener Daten wieder, die EDMA im Auftrag des Verantwortlichen im Zusammenhang mit dem Dienst durchführt.

Diese DPA ist darauf ausgelegt, Artikel 28 der EU- und UK-Datenschutz-Grundverordnung („DSGVO”) sowie gleichwertige Anforderungen nach geltendem Datenschutzrecht zu erfüllen. Soweit die Standardvertragsklauseln der Europäischen Kommission (Modul 2: Verantwortlicher-zu-Auftragsverarbeiter) auf eine Übermittlung personenbezogener Daten Anwendung finden, werden diese Klauseln durch Verweis in diese DPA einbezogen und gehen im Konfliktfall vor.

02 Definitionen

In dieser DPA verwendete Begriffe haben die im Rahmen der DSGVO definierten Bedeutungen (einschließlich „personenbezogener Daten”, „Verarbeitung”, „betroffene Person”, „Verantwortlicher”, „Auftragsverarbeiter”, „Unterauftragsverarbeiter” und „Verletzung des Schutzes personenbezogener Daten”) sowie, soweit anwendbar, die entsprechenden Begriffe der UK-DSGVO, des California Consumer Privacy Act („CCPA”) und sonstiger anwendbarer Rechtsvorschriften.

Kundendaten haben die in den Nutzungsbedingungen festgelegte Bedeutung. Persönliche Kundendaten bezeichnet Kundendaten, die nach geltendem Recht personenbezogene Daten darstellen.

03 Gegenstand und Art der Verarbeitung

Gegenstand

EDMA verarbeitet personenbezogene Daten des Kunden, um dem Verantwortlichen den Dienst gemäß den Nutzungsbedingungen bereitzustellen.

Dauer

Für die Laufzeit der Nutzungsbedingungen und das in den Nutzungsbedingungen festgelegte Datensicherungsfenster nach Vertragsende zuzüglich etwaiger gesetzlich vorgeschriebener Aufbewahrungsfristen.

Art und Zweck der Verarbeitung

Hosting, Speicherung, Übertragung, Anzeige, Abfrage, Indexierung, Suche, Analyse, Berechnung (einschließlich Settlement-Wasserfälle) und Weiterleitung personenbezogener Daten zwischen den Vertragsparteien im Tenant des Verantwortlichen für die operativen, finanziellen und KI-gestützten Funktionen des Dienstes.

Kategorien personenbezogener Daten

  • Identifikationsdaten (Namen, berufliche E-Mail-Adressen, Berufsbezeichnungen, Organisationen) der Mitarbeiter, Lieferanten, Kunden, Financiers und sonstigen Vertragsparteien des Verantwortlichen;
  • Kontaktdaten (Telefonnummern, Adressen);
  • Handelsdaten (Auftragsdetails, Sendungsdaten, Dokumenten-Metadaten, Finanzunterlagen);
  • Kommunikationsdaten (über Portale ausgetauschte Nachrichten);
  • Authentifizierungsdaten (Kontodaten, IP-Adressen, Sitzungsidentifikatoren).

Der Dienst ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß GDPR Artikel 9 (z. B. Gesundheits-, biometrische, rassenbezogene oder religiöse Daten) oder Daten zu Straftaten und Verurteilungen ausgelegt. Der Verantwortliche verpflichtet sich, solche Daten nicht in den Dienst einzugeben, es sei denn, dies ist zwingend erforderlich und erfolgt nur mit angemessenen Schutzmaßnahmen.

Kategorien betroffener Personen

  • Mitarbeiter, Auftragnehmer und autorisierte Nutzer des Verantwortlichen;
  • Einzelpersonen bei den Lieferanten, Kunden, Logistikdienstleistern und Financiers des Verantwortlichen;
  • alle sonstigen Personen, deren personenbezogene Daten der Verantwortliche in den Dienst eingibt.

04 Pflichten des Verantwortlichen

Der Verantwortliche ist zuständig für:

  • die Festlegung einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten des Kunden, einschließlich der Einholung erforderlicher Einwilligungen und der Bereitstellung der gesetzlich vorgeschriebenen Informationen an betroffene Personen;
  • die Richtigkeit, Qualität, Rechtmäßigkeit und Integrität der personenbezogenen Daten des Kunden;
  • die Konfiguration von Zugriffskontrollen, Benutzerberechtigungen und Portal-Sichtbarkeitseinstellungen innerhalb des Dienstes entsprechend den Datenschutzanforderungen des Verantwortlichen;
  • die Beantwortung von Anfragen betroffener Personen, sofern EDMA diese gemäß §9 weiterleitet und der Verantwortliche der zuständige Controller ist;
  • die Einhaltung des anwendbaren Datenschutzrechts als Verantwortlicher.

05 EDMA-Pflichten

EDMA handelt als Auftragsverarbeiter und wird:

  • Kundenpersonaldaten ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten, einschließlich der Weisungen, die sich aus der Nutzung der Funktionen des Dienstes durch den Verantwortlichen implizit ergeben, sowie soweit dies nach geltendem Recht erforderlich ist (in diesem Fall wird EDMA den Verantwortlichen über diese gesetzliche Anforderung vor der Verarbeitung informieren, sofern das Gesetz eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses untersagt);
  • sicherstellen, dass Personen, die zur Verarbeitung von Kundenpersonaldaten befugt sind, angemessenen Vertraulichkeitspflichten unterliegen;
  • die in §7 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen umsetzen (Anhang II der SCCs wird durch §7 erfüllt);
  • Unterauftragsverarbeiter nur gemäß §6 einsetzen;
  • den Verantwortlichen bei der Erfüllung seiner Pflichten in Bezug auf Betroffenenanfragen, Sicherheit, Meldungen von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen unterstützen, unter Berücksichtigung der Art der Verarbeitung und der EDMA vorliegenden Informationen;
  • auf Wahl des Verantwortlichen alle Kundenpersonaldaten am Ende des Dienstes löschen oder zurückgeben, wie in §12 festgelegt;
  • dem Verantwortlichen die Informationen bereitstellen, die erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, vorbehaltlich §11.

Ist EDMA der Auffassung, dass eine Weisung des Verantwortlichen gegen geltendes Datenschutzrecht verstößt, wird EDMA den Verantwortlichen ohne unangemessene Verzögerung informieren.

06 Unterauftragsverarbeiter

Der Verantwortliche ermächtigt EDMA, die nachstehend aufgeführten Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Kundendaten zu beauftragen. EDMA verpflichtet jeden Unterauftragsverarbeiter zu Datenschutzanforderungen, die nicht weniger schutzwirksam sind als diese DPA.

Aktuelle Unterauftragsverarbeiter

UnterauftragsverarbeiterZweckRegion
Amazon Web ServicesHosting, Compute, Storage, DatenbankenEU (Frankfurt oder Irland)
CloudflareCDN, WAF, Bot-ManagementGlobales Edge-Netzwerk
ResendTransaktionaler E-Mail-VersandUS / EU
AnthropicKI-Inferenz (Atlas, Accounting AI) — Enterprise-Endpunkte ohne DatenspeicherungUS
OpenAIKI-Inferenz (Fallback) — Enterprise-Endpunkte ohne DatenspeicherungUS
Google Cloud (Vertex AI / Gemini)KI-Inferenz (Fallback)EU / US
StripeZahlungsabwicklungEU / US
SentryFehlerüberwachung, personenbezogene Daten werden an der Quelle bereinigtEU / US

Die maßgebliche Live-Liste wird unter edma.trade/legal/dpa (diese Seite) gepflegt. EDMA kann zusätzliche Unterauftragsverarbeiter einsetzen und benachrichtigt die Administrator-Kontakte des Verantwortlichen mindestens dreißig (30) Tage im Voraus. Der Verantwortliche kann während der Ankündigungsfrist auf Grundlage berechtigter datenschutzrechtlicher Einwände gegen einen neuen Unterauftragsverarbeiter Widerspruch einlegen; kann EDMA dem Widerspruch nicht abhelfen, ist der Verantwortliche berechtigt, den betroffenen Abonnementzeitraum mit anteiliger Rückerstattung nicht genutzter Gebühren zu kündigen.

07 Sicherheitsmaßnahmen

EDMA setzt folgende technische und organisatorische Maßnahmen (die „TOMs”) um, die gegebenenfalls Anhang II der SCCs bilden.

Verschlüsselung

  • TLS 1,2+ für alle Daten im Transit zwischen Client und Server sowie zwischen Server und Unterauftragsverarbeiter;
  • AES-256 (oder stärker) zur Verschlüsselung ruhender Daten in Primär- und Backup-Speicher;
  • verschlüsselte Datenbank-Snapshots; Schlüsselverwaltung über das verwaltete KMS des Hosting-Anbieters mit Rotationsrichtlinie.

Zugriffskontrolle

  • Multi-Faktor-Authentifizierung für alle EDMA-Mitarbeitenden mit Zugang zu Produktionsumgebungen;
  • rollenbasierte Zugriffskontrolle mit Least-Privilege-Standardeinstellungen;
  • Just-in-Time-Rechteerweiterung für sensible Vorgänge mit Audit-Logging;
  • logische Mandantentrennung; mandantenübergreifender Zugriff wird auf Anwendungsebene abgelehnt.

Netzwerk & Perimeter

  • WAF und DDoS-Schutz vor öffentlichen Endpunkten;
  • private Netzwerkkonnektivität zwischen Anwendungs- und Datenschicht;
  • Ausgangskontrollen für den ausgehenden Datenverkehr aus der Produktion.

Softwareentwicklung

  • Code-Review erforderlich für alle Produktionsänderungen;
  • Abhängigkeits-Scanning und Schwachstellenbehebung gemäß definierten SLAs;
  • Secrets-Management über den Secret Store des Hosting-Anbieters; keine Secrets im Quellcode.

Betrieb

  • strukturiertes Logging mit Schwärzung sensibler Felder an der Quelle;
  • kontinuierliches Monitoring und Alerting bei Sicherheitsereignissen;
  • jährliche Penetrationstests durch Dritte;
  • Incident-Response-Verfahren mit definierten Rollen und Eskalationspfaden;
  • Backup- und Disaster-Recovery-Verfahren mit dokumentierten RPO/RTO.

Personal

  • Hintergrundüberprüfungen für Mitarbeitende mit Zugang zur Produktion, soweit gesetzlich zulässig;
  • Sicherheitsschulungen bei Stellenantritt und mindestens jährlich danach;
  • vertragliche Vertraulichkeitspflichten für Mitarbeitende und Auftragnehmer;
  • unverzüglicher Entzug des Zugangs bei Ausscheiden.

08 Internationale Übermittlungen

Sofern personenbezogene Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in ein Land übermittelt werden, das kein angemessenes Schutzniveau bietet, stützen sich die Parteien auf:

  • die Standardvertragsklauseln der Europäischen Kommission (2021/914, Modul 2: Verantwortlicher zu Auftragsverarbeiter) sowie das UK-Addendum, sofern das UK GDPR Anwendung findet;
  • die technischen und organisatorischen Maßnahmen gemäß §7 als ergänzende Schutzmaßnahmen;
  • die Risikobewertung des Verantwortlichen hinsichtlich der Übermittlung unter Berücksichtigung der Rechts- und Verwaltungspraxis des Bestimmungslandes.

Soweit EDMA einen Unterauftragsverarbeiter außerhalb des EWR einsetzt, stellt EDMA sicher, dass für die Weiterübermittlung dieselben oder gleichwertige Schutzmaßnahmen gelten.

09 Rechte der betroffenen Personen

Erhält EDMA einen Antrag direkt von einer betroffenen Person, der sich auf Kundendaten bezieht (z. B. Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch), leitet EDMA diesen Antrag unverzüglich an den Verantwortlichen weiter und beantwortet ihn nicht direkt, es sei denn, der Verantwortliche weist EDMA dazu an oder eine gesetzliche Verpflichtung besteht.

EDMA unterstützt den Verantwortlichen — unter Berücksichtigung der Art der Verarbeitung und der EDMA vorliegenden Informationen — dabei, Anträge betroffener Personen innerhalb der geltenden gesetzlichen Fristen zu beantworten. Die Unterstützung umfasst die Bereitstellung technischer Mechanismen zum Zugriff auf, zum Export von sowie zur Löschung personenbezogener Daten innerhalb des Dienstes.

10 Verletzung des Schutzes personenbezogener Daten

EDMA benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden, nachdem EDMA Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die Kundendaten betrifft. Die Benachrichtigung enthält, soweit zu diesem Zeitpunkt bekannt:

  • die Art der Verletzung einschließlich der Kategorien und der ungefähren Anzahl betroffener Personen und betroffener Datensätze;
  • die voraussichtlichen Folgen;
  • die ergriffenen oder geplanten Maßnahmen zur Behebung der Verletzung und zur Minderung ihrer Auswirkungen;
  • Kontaktdaten für weitere Informationen.

EDMA stellt weitere Aktualisierungen bereit, sobald die Untersuchung fortschreitet, und kooperiert mit den Verpflichtungen des Verantwortlichen zur Reaktion auf Datenschutzverletzungen nach anwendbarem Recht. Die Benachrichtigung durch EDMA an den Verantwortlichen stellt kein Schuldanerkenntnis und keine Haftungsanerkenntnis dar.

11 Prüfungen & Inspektionen

EDMA stellt dem Verantwortlichen auf angemessene Anfrage, höchstens jedoch einmal innerhalb von zwölf Monaten (außer bei Anforderung durch eine Aufsichtsbehörde oder nach einer Datenschutzverletzung), Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser DPA nachzuweisen. EDMA erfüllt diese Verpflichtung durch Bereitstellung von:

  • dieser DPA und der jeweils aktuell veröffentlichten Fassung der Sicherheitsmaßnahmen;
  • Zusammenfassungen unabhängiger Drittprüfberichte, sofern verfügbar;
  • Antworten auf einen angemessenen Sicherheitsfragebogen.

Sollte das Vorstehende nicht ausreichen, kann eine Vor-Ort-Prüfung durchgeführt werden, vorbehaltlich (a) angemessener Vorankündigung; (b) Vertraulichkeitsverpflichtungen; (c) der Durchführung der Prüfung während der Geschäftszeiten ohne unangemessene Beeinträchtigung des Betriebs von EDMA; sowie (d) der Kostentragung durch den Verantwortlichen, sofern die Prüfung keine wesentliche Pflichtverletzung aufdeckt. Prüfungen können von einem von beiden Parteien vereinbarten unabhängigen Drittprüfer durchgeführt werden.

12 Rückgabe & Löschung

Nach Beendigung der Subscription Term stellt EDMA ein 30-tägiges Exportfenster bereit, in dem der Controller Kunden-personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format abrufen kann. Nach Ablauf dieses Fensters löscht EDMA Kunden-personenbezogene Daten innerhalb von 30 Tagen aus aktiven Systemen und aus Backups gemäß dem dokumentierten Backup-Aufbewahrungszyklus von EDMA (in der Regel innerhalb von 90 Tagen), sofern keine gesetzliche Aufbewahrungspflicht besteht.

Auf schriftlichen Antrag des Controllers vor Ablauf des Exportfensters stellt EDMA eine schriftliche Löschungsbestätigung aus.

13 Haftung & Rangfolge

Die Haftung jeder Partei im Rahmen dieser DPA oder in Verbindung damit unterliegt der Haftungsbeschränkung in den Nutzungsbedingungen. Soweit ein gesonderter Haftungshöchstbetrag für datenschutzrechtliche Ansprüche gilt, ist dieser in den Nutzungsbedingungen festgelegt.

Im Konfliktfall zwischen dieser DPA und den Nutzungsbedingungen hat diese DPA in datenschutzrechtlichen Angelegenheiten Vorrang. Soweit Standardvertragsklauseln einbezogen sind, haben diese Klauseln im Kollisionsfall Vorrang.

Diese DPA kann aktualisiert werden, um Änderungen im anwendbaren Recht, bei Unterauftragsverarbeitern oder technischen Maßnahmen zu berücksichtigen. Wesentliche Änderungen werden den Administrator-Kontakten des Controllers mindestens dreißig (30) Tage vor ihrem Inkrafttreten mitgeteilt.

FRAGEN

Schreiben Sie uns.

Bei Klärungsbedarf, Beschwerden oder zur Ausübung eines Datenrechts gemäß diesem Dokument — schreiben Sie an [email protected] mit Betreff [Legal]. Wir antworten innerhalb eines Werktages.

RECHTLICHE EINHEIT

EDMA Group

Die hinter TradeOS, dem Marktplatz und den weiteren Aktivitäten der EDMA Group stehende Einheit. Registrierte Unternehmensdaten sind auf Anfrage unter der obigen Adresse erhältlich. edma.co →

ARCHIV

Frühere Versionen.

Ältere Versionen dieses Dokuments sind archiviert. Um eine bestimmte Version anzufordern, schreiben Sie [email protected] mit Betreff [Legal archive].

Auftragsverarbeitungsvertrag | TradeOS