Trendafyl — Lorik Sadiku
Am Leonhardspark 3
90439 Nürnberg, Deutschland
datenschutz@mhdapp.com
USt-IdNr. DE368866029
Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO
auf Grundlage der Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021)
Stand der Anhänge: 13. Juli 2026
Präambel
Dieser Vertrag wird geschlossen zwischen dem nachstehend bezeichneten Kunden (dem Verantwortlichen) und Trendafyl — Lorik Sadiku (dem Auftragsverarbeiter). Es gelten die Standardvertragsklauseln der Europäischen Kommission für die Auftragsverarbeitung (Durchführungsbeschluss (EU) 2021/915) in ihrer amtlichen deutschen Fassung. Die Klauseln werden unverändert übernommen; gemäß Klausel 2 („Unabänderbarkeit der Klauseln“) ist eine inhaltliche Änderung unzulässig. Der amtliche Klauseltext ist diesem Vertrag als Anlage 0 beigefügt und unter eur-lex.europa.eu — CELEX 32021D0915 abrufbar.
Für die nach den Klauseln zu treffenden Festlegungen gilt:
- Klausel 7.7 (Unterauftragsverarbeiter): Es wird die allgemeine schriftliche Genehmigung nach lit. b vereinbart. Änderungen werden mindestens 30 Tage im Voraus in Textform mitgeteilt; der Verantwortliche kann innerhalb dieser Frist widersprechen.
- Klausel 9 (Meldung von Datenschutzverletzungen): Die Meldung an den Verantwortlichen erfolgt unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung.
- Klausel 5 (Kopplungsklausel): findet keine Anwendung.
- Klausel 10: Es gilt deutsches Recht; Gerichtsstand ist Nürnberg.
Anhang I — Liste der Parteien
Verantwortlicher (Kunde)
Tätigkeit: Nutzung der SaaS-Anwendung MHD App zur Überwachung von Mindesthaltbarkeitsdaten im eigenen Betrieb.
Auftragsverarbeiter (Anbieter)
| Name | Trendafyl — Lorik Sadiku (Einzelunternehmen) |
|---|---|
| Anschrift | Am Leonhardspark 3, 90439 Nürnberg, Deutschland |
| Kontaktperson | Lorik Sadiku |
| Kontaktdaten | datenschutz@mhdapp.com · +49 (0) 176 262 208 30 |
| USt-IdNr. | DE368866029 |
| Datenschutzbeauftragte(r) | Nicht bestellt — die Voraussetzungen des § 38 BDSG liegen nicht vor. Kontakt für Datenschutzfragen: datenschutz@mhdapp.com |
| Tätigkeit | Bereitstellung und Betrieb der SaaS-Anwendung MHD App |
Anhang II — Beschreibung der Verarbeitung
Kategorien betroffener Personen
- Mitarbeitende, Inhaber und sonstige Nutzer des Kunden, die ein Konto in einem Arbeitsbereich des Kunden besitzen.
- Personen, die vom Kunden per E-Mail zur Mitarbeit in einen Arbeitsbereich eingeladen werden.
Kategorien personenbezogener Daten
| Kontodaten | Vorname, Nachname, E-Mail-Adresse, Passwort-Hash (bcrypt), Avatar-Farbe, Position im Arbeitsbereich |
|---|---|
| Rollen und Berechtigungen | Zugehörigkeit zu Arbeitsbereichen, Rolle (Inhaber / Administrator / Bearbeiter / Betrachter) |
| Abonnement- und Zahlungsdaten | Stripe-Kunden-ID, Stripe-Abonnement-ID, Kartenendziffern. Vollständige Zahlungsdaten werden ausschließlich bei Stripe verarbeitet und erreichen den Anbieter nicht. |
| Nutzungsdaten | IP-Adresse, Browser-User-Agent, Spracheinstellung, Zeitstempel |
| Log- und Fehlerdaten | Request-ID, Fehlerspur, Rate-Limit-Kennung |
| Inhaltsdaten | Vom Kunden erfasste Produkte inkl. Bezeichnung, Mindesthaltbarkeitsdatum, Kategorie, Menge, Preis, SKU/Barcode; Notizen |
| Kommunikationsdaten | Support-Anfragen, In-App-Notizen, versendete Transaktions-E-Mails |
| Einwilligungs- und Sitzungsdaten | Session-Token, CSRF-Token, Cookie-Consent-Datensatz (inkl. anonymisierter IP-Adresse, User-Agent, Zeitstempel) |
Sensible Daten (Art. 9 DSGVO)
Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet. Die Anwendung sieht hierfür keine Felder vor. Der Kunde verpflichtet sich, keine Daten nach Art. 9 DSGVO einzugeben.
Art der Verarbeitung
Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung an die in Anhang IV genannten Unterauftragsverarbeiter, Einschränken, Löschen und Vernichten.
Zweck der Verarbeitung
Bereitstellung und Betrieb der SaaS-Anwendung MHD App: Erfassung von Produkten (manuell, per Barcode-Scan oder Excel-Import), Überwachung von Mindesthaltbarkeitsdaten, Versand von Ablauf-Erinnerungen per E-Mail, Zusammenarbeit mehrerer Nutzer in einem Arbeitsbereich, Nutzerverwaltung sowie Abwicklung des Abonnements.
Eine Verarbeitung zu eigenen Zwecken des Anbieters — insbesondere zu Werbe-, Analyse-, Profiling- oder KI-Trainingszwecken — findet nicht statt.
Dauer der Verarbeitung
Für die Laufzeit des Nutzungsvertrags (Testphase bzw. Abonnement). Nach Vertragsende erfolgt die Löschung gemäß Klausel 8.5 der Standardvertragsklauseln (siehe Anhang III, „Löschkonzept“).
Anhang III — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Die nachfolgenden Maßnahmen wurden am 13. Juli 2026 anhand des tatsächlichen Systemstands verifiziert. Bekannte Einschränkungen sind am Ende offen benannt.
Pseudonymisierung und Verschlüsselung
- Übertragung: Sämtliche Verbindungen ausschließlich über TLS/HTTPS.
- E-Mail-Versand: Die Verbindung zum Versanddienstleister (Brevo, EU) erfolgt über STARTTLS mit mindestens TLS 1.2 und vollständiger Zertifikatsprüfung.
- Passwörter: Werden niemals im Klartext gespeichert, sondern ausschließlich als bcrypt-Hash.
- Sitzungs-Cookies:
Secure,HttpOnly, mit den Präfixen__Secure-bzw.__Host-; zusätzlicher CSRF-Token. - Backups: AES-256-verschlüsselt (GPG, symmetrisch). Der Schlüssel liegt getrennt von den Sicherungsdateien und ist ausschließlich für den Systembetreiber lesbar (Dateirechte 600).
- Zahlungsdaten: Vollständige Kartendaten werden ausschließlich bei Stripe (PCI-DSS Level 1) verarbeitet; sie erreichen die Systeme des Anbieters zu keinem Zeitpunkt.
Vertraulichkeit — Zutritts-, Zugangs- und Zugriffskontrolle
- Zutritt: Rechenzentrum der Hetzner Online GmbH in Deutschland (ISO/IEC 27001-zertifiziert); physischer Zutritt ausschließlich durch Hetzner kontrolliert.
- Zugang: Anmeldung ausschließlich per E-Mail und Passwort. Eine E-Mail-Verifizierung ist zwingend; unverifizierte Konten können sich nicht anmelden. Gesperrte Konten werden bei der Anmeldung abgewiesen. Externe Login-Anbieter (Google/Apple OAuth) werden nicht eingesetzt.
- Zugriff (rollenbasiert): Berechtigungen werden je Arbeitsbereich über ein Rollenmodell vergeben — Inhaber, Administrator, Bearbeiter, Betrachter. Jeder API-Zugriff wird serverseitig gegen die Mitgliedschaft im jeweiligen Arbeitsbereich geprüft.
- Datenbank: Die PostgreSQL-Instanz ist nur lokal erreichbar und nicht aus dem Internet exponiert.
- Geheimnisse: Zugangsdaten und Schlüssel liegen in einer Konfigurationsdatei mit Dateirechten 600.
Trennungskontrolle (Mandantentrennung)
Logische Mandantentrennung: Alle Inhaltsdaten sind einem Arbeitsbereich zugeordnet. Jede Datenbankabfrage wird auf die Arbeitsbereiche eingeschränkt, in denen der anfragende Nutzer eine aktive Mitgliedschaft besitzt.
Integrität — Eingabe- und Weitergabekontrolle
- Änderungshistorie: Änderungen an Produktdaten werden historisiert.
- Einwilligungsprotokollierung: Cookie- und Datenschutz-Einwilligungen werden revisionssicher protokolliert — mit Zeitstempel, anonymisierter IP-Adresse und User-Agent.
- Kein Tracking: Es sind keine Analyse-, Statistik- oder Marketing-Dienste eingebunden (kein Google Analytics, kein Facebook Pixel, keine Werbe-Cookies). Schriftarten werden selbst gehostet. Das eingebettete YouTube-Video wird erst nach ausdrücklichem Klick geladen (Zwei-Klick-Lösung).
- Interne Aufträge: Automatisierte Hintergrundprozesse sind durch ein Bearer-Token geschützt und nur lokal erreichbar.
Verfügbarkeit und Belastbarkeit
- Automatische Sicherung: Täglich um 03:15 Uhr wird ein vollständiger Datenbank-Dump erstellt, direkt AES-256-verschlüsselt und mit Dateirechten 600 abgelegt. Der unverschlüsselte Dump wird zu keinem Zeitpunkt auf die Festplatte geschrieben.
- Aufbewahrung: 14 Tage, danach automatische Löschung.
- Wiederherstellbarkeit: Die Wiederherstellung wurde am 13. Juli 2026 getestet (Entschlüsselung, Rückspielung in eine separate Testdatenbank, Datenbestand vollständig, keine Fehler).
Löschkonzept (Art. 28 Abs. 3 lit. g DSGVO)
- Der Kunde kann Produkt- und Kontodaten jederzeit selbst über die Anwendung exportieren (Excel), berichtigen und löschen.
- Kontolöschungen werden über einen dedizierten Prozess abgewickelt.
- Nach Beendigung des Nutzungsvertrags werden die Daten gelöscht; verschlüsselte Sicherungen laufen spätestens nach 14 Tagen turnusmäßig aus.
- Ausnahme: Rechnungs- und Zahlungsbelege werden gemäß § 257 HGB / § 147 AO aufbewahrt und bis zum Fristablauf gesperrt statt gelöscht.
Unterstützung des Verantwortlichen (Klausel 8)
- Der Anbieter meldet dem Kunden eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, in Textform.
- Wendet sich eine betroffene Person direkt an den Anbieter, wird das Anliegen unverzüglich an den Kunden weitergeleitet; der Anbieter beantwortet es nicht selbst.
- Der Anbieter unterstützt den Kunden bei Betroffenenrechten (Art. 15–22), Meldungen (Art. 33, 34) und Datenschutz-Folgenabschätzungen (Art. 35, 36) im Rahmen des Zumutbaren.
Offen benannte Einschränkungen
Diese Punkte werden bewusst offengelegt, statt beschönigt — unzutreffende Angaben zu den technischen und organisatorischen Maßnahmen wären selbst ein Datenschutzverstoß.
- Keine Geo-Redundanz der Sicherungen. Die verschlüsselten Backups liegen derzeit auf demselben Server wie die Produktivdatenbank. Sie schützen vor versehentlichem Löschen und fehlerhaften Migrationen, nicht vor einem Totalausfall des Servers. Geplante Maßnahme: Auslagerung auf eine getrennte Hetzner Storage Box.
- Keine Zwei-Faktor-Authentisierung für normale Nutzerkonten. Für den Administrationszugang des Anbieters ist 2FA (TOTP) aktiviert und verpflichtend.
- Kein Penetrationstest und kein zertifiziertes ISMS (ISO 27001) beim Anbieter selbst; die Zertifizierung betrifft ausschließlich das Rechenzentrum (Hetzner).
- Ein-Personen-Unternehmen: Es besteht kein Vier-Augen-Prinzip beim administrativen Zugriff.
Anhang IV — Liste der Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung gemäß Klausel 7.7 lit. b für den Einsatz der nachfolgenden Unterauftragsverarbeiter. Änderungen werden mindestens 30 Tage im Voraus in Textform mitgeteilt; der Verantwortliche kann innerhalb dieser Frist widersprechen.
| Unterauftragsverarbeiter | Anschrift | Verarbeitung | Ort |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Deutschland | Hosting der Anwendung und der PostgreSQL-Datenbank; Speicherung sämtlicher Konto- und Inhaltsdaten | Deutschland — kein Drittlandtransfer |
| Stripe Payments Europe, Ltd. | 1 Grand Canal Street Lower, Dublin 2, Irland | Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung; verarbeitet Name, E-Mail-Adresse und Zahlungsdaten | Irland (EU); Konzernübermittlung in die USA möglich |
| Sendinblue SAS (Marke: Brevo) | 17 rue Salneuve, 75017 Paris, Frankreich (RCS Paris 498 019 298) | Versand von Transaktions-E-Mails (Registrierung, E-Mail-Verifizierung, Einladungen, Ablauf-Erinnerungen); verarbeitet Name und E-Mail-Adresse | Frankreich (EU) — kein Drittlandtransfer |
| Open Food Facts | Frankreich (EU) | Abfrage von Produktdaten anhand des Barcodes. Es werden ausschließlich Barcodes übermittelt — keine personenbezogenen Daten | Frankreich (EU) |
Drittlandtransfers
Durch den E-Mail-Versand findet kein Drittlandtransfer statt. Der Versand von Transaktions-E-Mails erfolgt über Sendinblue SAS (Brevo) in Frankreich. Der zuvor eingesetzte US-Dienstleister wurde vollständig abgelöst.
Verbleibender Berührungspunkt mit einem Drittland: Stripe kann Daten konzernintern in die USA übermitteln und stützt dies auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln. Da Stripe für die Zahlungsabwicklung unverzichtbar ist, bleibt dieser Punkt bestehen.
Nachweis der Art.-28-Verträge
Mit jedem Unterauftragsverarbeiter besteht ein Vertrag mit denselben Datenschutzpflichten (Klausel 7.7): mit Hetzner ein Auftragsverarbeitungsvertrag, mit Stripe ein Data Processing Agreement als Bestandteil des Stripe Services Agreement, mit Sendinblue SAS (Brevo) das Data Protection Agreement (Annex 2 der General Terms and Conditions), das die Standardvertragsklauseln einschließt. Für Open Food Facts ist kein Vertrag erforderlich, da keine personenbezogenen Daten übermittelt werden.
Unterschriften
Verantwortlicher (Kunde)
Firma · Ort, Datum
Auftragsverarbeiter
Trendafyl — Lorik Sadiku · Nürnberg
Anlage 0: Standardvertragsklauseln der Europäischen Kommission, Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021, amtliche deutsche Fassung (unverändert beizufügen).