Auftragsverarbeitungsvertrag (AVV)

Wenn Sie MHD App geschäftlich nutzen, verarbeiten wir personenbezogene Daten in Ihrem Auftrag — etwa die Konten Ihrer Mitarbeitenden. Artikel 28 DSGVO verlangt dafür einen Vertrag zwischen Ihnen und uns. Das ist dieser Vertrag.

Sie müssen nichts unterschreiben.

Art. 28 Abs. 9 DSGVO lässt die elektronische Form ausdrücklich zu. Sie schließen diesen Vertrag bereits bei der Registrierung ab — die Annahme wird mit Zeitstempel und Fassung protokolliert. Ein unterschriebenes PDF ist nicht erforderlich.

Manche Unternehmen verlangen für ihre eigenen Unterlagen dennoch ein unterzeichnetes Exemplar. Dafür können Sie unten Ihre Firmendaten eintragen, die Seite als PDF speichern und unterschrieben an datenschutz@mhdapp.com senden — Sie erhalten sie gegengezeichnet zurück.

Ihre Eingaben bleiben in Ihrem Browser und werden nicht an uns übertragen.

MHD App

Trendafyl — Lorik Sadiku

Am Leonhardspark 3

90439 Nürnberg, Deutschland

datenschutz@mhdapp.com

USt-IdNr. DE368866029

Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

auf Grundlage der Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021)

Stand der Anhänge: 13. Juli 2026

Präambel

Dieser Vertrag wird geschlossen zwischen dem nachstehend bezeichneten Kunden (dem Verantwortlichen) und Trendafyl — Lorik Sadiku (dem Auftragsverarbeiter). Es gelten die Standardvertragsklauseln der Europäischen Kommission für die Auftragsverarbeitung (Durchführungsbeschluss (EU) 2021/915) in ihrer amtlichen deutschen Fassung. Die Klauseln werden unverändert übernommen; gemäß Klausel 2 („Unabänderbarkeit der Klauseln“) ist eine inhaltliche Änderung unzulässig. Der amtliche Klauseltext ist diesem Vertrag als Anlage 0 beigefügt und unter eur-lex.europa.eu — CELEX 32021D0915 abrufbar.

Für die nach den Klauseln zu treffenden Festlegungen gilt:

  • Klausel 7.7 (Unterauftragsverarbeiter): Es wird die allgemeine schriftliche Genehmigung nach lit. b vereinbart. Änderungen werden mindestens 30 Tage im Voraus in Textform mitgeteilt; der Verantwortliche kann innerhalb dieser Frist widersprechen.
  • Klausel 9 (Meldung von Datenschutzverletzungen): Die Meldung an den Verantwortlichen erfolgt unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung.
  • Klausel 5 (Kopplungsklausel): findet keine Anwendung.
  • Klausel 10: Es gilt deutsches Recht; Gerichtsstand ist Nürnberg.

Anhang I — Liste der Parteien

Verantwortlicher (Kunde)

Tätigkeit: Nutzung der SaaS-Anwendung MHD App zur Überwachung von Mindesthaltbarkeitsdaten im eigenen Betrieb.

Auftragsverarbeiter (Anbieter)

NameTrendafyl — Lorik Sadiku (Einzelunternehmen)
AnschriftAm Leonhardspark 3, 90439 Nürnberg, Deutschland
KontaktpersonLorik Sadiku
Kontaktdatendatenschutz@mhdapp.com · +49 (0) 176 262 208 30
USt-IdNr.DE368866029
Datenschutzbeauftragte(r)Nicht bestellt — die Voraussetzungen des § 38 BDSG liegen nicht vor. Kontakt für Datenschutzfragen: datenschutz@mhdapp.com
TätigkeitBereitstellung und Betrieb der SaaS-Anwendung MHD App

Anhang II — Beschreibung der Verarbeitung

Kategorien betroffener Personen

  • Mitarbeitende, Inhaber und sonstige Nutzer des Kunden, die ein Konto in einem Arbeitsbereich des Kunden besitzen.
  • Personen, die vom Kunden per E-Mail zur Mitarbeit in einen Arbeitsbereich eingeladen werden.

Kategorien personenbezogener Daten

KontodatenVorname, Nachname, E-Mail-Adresse, Passwort-Hash (bcrypt), Avatar-Farbe, Position im Arbeitsbereich
Rollen und BerechtigungenZugehörigkeit zu Arbeitsbereichen, Rolle (Inhaber / Administrator / Bearbeiter / Betrachter)
Abonnement- und ZahlungsdatenStripe-Kunden-ID, Stripe-Abonnement-ID, Kartenendziffern. Vollständige Zahlungsdaten werden ausschließlich bei Stripe verarbeitet und erreichen den Anbieter nicht.
NutzungsdatenIP-Adresse, Browser-User-Agent, Spracheinstellung, Zeitstempel
Log- und FehlerdatenRequest-ID, Fehlerspur, Rate-Limit-Kennung
InhaltsdatenVom Kunden erfasste Produkte inkl. Bezeichnung, Mindesthaltbarkeitsdatum, Kategorie, Menge, Preis, SKU/Barcode; Notizen
KommunikationsdatenSupport-Anfragen, In-App-Notizen, versendete Transaktions-E-Mails
Einwilligungs- und SitzungsdatenSession-Token, CSRF-Token, Cookie-Consent-Datensatz (inkl. anonymisierter IP-Adresse, User-Agent, Zeitstempel)

Sensible Daten (Art. 9 DSGVO)

Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet. Die Anwendung sieht hierfür keine Felder vor. Der Kunde verpflichtet sich, keine Daten nach Art. 9 DSGVO einzugeben.

Art der Verarbeitung

Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung an die in Anhang IV genannten Unterauftragsverarbeiter, Einschränken, Löschen und Vernichten.

Zweck der Verarbeitung

Bereitstellung und Betrieb der SaaS-Anwendung MHD App: Erfassung von Produkten (manuell, per Barcode-Scan oder Excel-Import), Überwachung von Mindesthaltbarkeitsdaten, Versand von Ablauf-Erinnerungen per E-Mail, Zusammenarbeit mehrerer Nutzer in einem Arbeitsbereich, Nutzerverwaltung sowie Abwicklung des Abonnements.

Eine Verarbeitung zu eigenen Zwecken des Anbieters — insbesondere zu Werbe-, Analyse-, Profiling- oder KI-Trainingszwecken — findet nicht statt.

Dauer der Verarbeitung

Für die Laufzeit des Nutzungsvertrags (Testphase bzw. Abonnement). Nach Vertragsende erfolgt die Löschung gemäß Klausel 8.5 der Standardvertragsklauseln (siehe Anhang III, „Löschkonzept“).

Anhang III — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Die nachfolgenden Maßnahmen wurden am 13. Juli 2026 anhand des tatsächlichen Systemstands verifiziert. Bekannte Einschränkungen sind am Ende offen benannt.

Pseudonymisierung und Verschlüsselung

  • Übertragung: Sämtliche Verbindungen ausschließlich über TLS/HTTPS.
  • E-Mail-Versand: Die Verbindung zum Versanddienstleister (Brevo, EU) erfolgt über STARTTLS mit mindestens TLS 1.2 und vollständiger Zertifikatsprüfung.
  • Passwörter: Werden niemals im Klartext gespeichert, sondern ausschließlich als bcrypt-Hash.
  • Sitzungs-Cookies: Secure, HttpOnly, mit den Präfixen __Secure- bzw. __Host-; zusätzlicher CSRF-Token.
  • Backups: AES-256-verschlüsselt (GPG, symmetrisch). Der Schlüssel liegt getrennt von den Sicherungsdateien und ist ausschließlich für den Systembetreiber lesbar (Dateirechte 600).
  • Zahlungsdaten: Vollständige Kartendaten werden ausschließlich bei Stripe (PCI-DSS Level 1) verarbeitet; sie erreichen die Systeme des Anbieters zu keinem Zeitpunkt.

Vertraulichkeit — Zutritts-, Zugangs- und Zugriffskontrolle

  • Zutritt: Rechenzentrum der Hetzner Online GmbH in Deutschland (ISO/IEC 27001-zertifiziert); physischer Zutritt ausschließlich durch Hetzner kontrolliert.
  • Zugang: Anmeldung ausschließlich per E-Mail und Passwort. Eine E-Mail-Verifizierung ist zwingend; unverifizierte Konten können sich nicht anmelden. Gesperrte Konten werden bei der Anmeldung abgewiesen. Externe Login-Anbieter (Google/Apple OAuth) werden nicht eingesetzt.
  • Zugriff (rollenbasiert): Berechtigungen werden je Arbeitsbereich über ein Rollenmodell vergeben — Inhaber, Administrator, Bearbeiter, Betrachter. Jeder API-Zugriff wird serverseitig gegen die Mitgliedschaft im jeweiligen Arbeitsbereich geprüft.
  • Datenbank: Die PostgreSQL-Instanz ist nur lokal erreichbar und nicht aus dem Internet exponiert.
  • Geheimnisse: Zugangsdaten und Schlüssel liegen in einer Konfigurationsdatei mit Dateirechten 600.

Trennungskontrolle (Mandantentrennung)

Logische Mandantentrennung: Alle Inhaltsdaten sind einem Arbeitsbereich zugeordnet. Jede Datenbankabfrage wird auf die Arbeitsbereiche eingeschränkt, in denen der anfragende Nutzer eine aktive Mitgliedschaft besitzt.

Integrität — Eingabe- und Weitergabekontrolle

  • Änderungshistorie: Änderungen an Produktdaten werden historisiert.
  • Einwilligungsprotokollierung: Cookie- und Datenschutz-Einwilligungen werden revisionssicher protokolliert — mit Zeitstempel, anonymisierter IP-Adresse und User-Agent.
  • Kein Tracking: Es sind keine Analyse-, Statistik- oder Marketing-Dienste eingebunden (kein Google Analytics, kein Facebook Pixel, keine Werbe-Cookies). Schriftarten werden selbst gehostet. Das eingebettete YouTube-Video wird erst nach ausdrücklichem Klick geladen (Zwei-Klick-Lösung).
  • Interne Aufträge: Automatisierte Hintergrundprozesse sind durch ein Bearer-Token geschützt und nur lokal erreichbar.

Verfügbarkeit und Belastbarkeit

  • Automatische Sicherung: Täglich um 03:15 Uhr wird ein vollständiger Datenbank-Dump erstellt, direkt AES-256-verschlüsselt und mit Dateirechten 600 abgelegt. Der unverschlüsselte Dump wird zu keinem Zeitpunkt auf die Festplatte geschrieben.
  • Aufbewahrung: 14 Tage, danach automatische Löschung.
  • Wiederherstellbarkeit: Die Wiederherstellung wurde am 13. Juli 2026 getestet (Entschlüsselung, Rückspielung in eine separate Testdatenbank, Datenbestand vollständig, keine Fehler).

Löschkonzept (Art. 28 Abs. 3 lit. g DSGVO)

  • Der Kunde kann Produkt- und Kontodaten jederzeit selbst über die Anwendung exportieren (Excel), berichtigen und löschen.
  • Kontolöschungen werden über einen dedizierten Prozess abgewickelt.
  • Nach Beendigung des Nutzungsvertrags werden die Daten gelöscht; verschlüsselte Sicherungen laufen spätestens nach 14 Tagen turnusmäßig aus.
  • Ausnahme: Rechnungs- und Zahlungsbelege werden gemäß § 257 HGB / § 147 AO aufbewahrt und bis zum Fristablauf gesperrt statt gelöscht.

Unterstützung des Verantwortlichen (Klausel 8)

  • Der Anbieter meldet dem Kunden eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, in Textform.
  • Wendet sich eine betroffene Person direkt an den Anbieter, wird das Anliegen unverzüglich an den Kunden weitergeleitet; der Anbieter beantwortet es nicht selbst.
  • Der Anbieter unterstützt den Kunden bei Betroffenenrechten (Art. 15–22), Meldungen (Art. 33, 34) und Datenschutz-Folgenabschätzungen (Art. 35, 36) im Rahmen des Zumutbaren.

Offen benannte Einschränkungen

Diese Punkte werden bewusst offengelegt, statt beschönigt — unzutreffende Angaben zu den technischen und organisatorischen Maßnahmen wären selbst ein Datenschutzverstoß.

  1. Keine Geo-Redundanz der Sicherungen. Die verschlüsselten Backups liegen derzeit auf demselben Server wie die Produktivdatenbank. Sie schützen vor versehentlichem Löschen und fehlerhaften Migrationen, nicht vor einem Totalausfall des Servers. Geplante Maßnahme: Auslagerung auf eine getrennte Hetzner Storage Box.
  2. Keine Zwei-Faktor-Authentisierung für normale Nutzerkonten. Für den Administrationszugang des Anbieters ist 2FA (TOTP) aktiviert und verpflichtend.
  3. Kein Penetrationstest und kein zertifiziertes ISMS (ISO 27001) beim Anbieter selbst; die Zertifizierung betrifft ausschließlich das Rechenzentrum (Hetzner).
  4. Ein-Personen-Unternehmen: Es besteht kein Vier-Augen-Prinzip beim administrativen Zugriff.

Anhang IV — Liste der Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung gemäß Klausel 7.7 lit. b für den Einsatz der nachfolgenden Unterauftragsverarbeiter. Änderungen werden mindestens 30 Tage im Voraus in Textform mitgeteilt; der Verantwortliche kann innerhalb dieser Frist widersprechen.

UnterauftragsverarbeiterAnschriftVerarbeitungOrt
Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, DeutschlandHosting der Anwendung und der PostgreSQL-Datenbank; Speicherung sämtlicher Konto- und InhaltsdatenDeutschland — kein Drittlandtransfer
Stripe Payments Europe, Ltd.1 Grand Canal Street Lower, Dublin 2, IrlandZahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung; verarbeitet Name, E-Mail-Adresse und ZahlungsdatenIrland (EU); Konzernübermittlung in die USA möglich
Sendinblue SAS (Marke: Brevo)17 rue Salneuve, 75017 Paris, Frankreich (RCS Paris 498 019 298)Versand von Transaktions-E-Mails (Registrierung, E-Mail-Verifizierung, Einladungen, Ablauf-Erinnerungen); verarbeitet Name und E-Mail-AdresseFrankreich (EU) — kein Drittlandtransfer
Open Food FactsFrankreich (EU)Abfrage von Produktdaten anhand des Barcodes. Es werden ausschließlich Barcodes übermittelt — keine personenbezogenen DatenFrankreich (EU)

Drittlandtransfers

Durch den E-Mail-Versand findet kein Drittlandtransfer statt. Der Versand von Transaktions-E-Mails erfolgt über Sendinblue SAS (Brevo) in Frankreich. Der zuvor eingesetzte US-Dienstleister wurde vollständig abgelöst.

Verbleibender Berührungspunkt mit einem Drittland: Stripe kann Daten konzernintern in die USA übermitteln und stützt dies auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln. Da Stripe für die Zahlungsabwicklung unverzichtbar ist, bleibt dieser Punkt bestehen.

Nachweis der Art.-28-Verträge

Mit jedem Unterauftragsverarbeiter besteht ein Vertrag mit denselben Datenschutzpflichten (Klausel 7.7): mit Hetzner ein Auftragsverarbeitungsvertrag, mit Stripe ein Data Processing Agreement als Bestandteil des Stripe Services Agreement, mit Sendinblue SAS (Brevo) das Data Protection Agreement (Annex 2 der General Terms and Conditions), das die Standardvertragsklauseln einschließt. Für Open Food Facts ist kein Vertrag erforderlich, da keine personenbezogenen Daten übermittelt werden.

Unterschriften

Verantwortlicher (Kunde)

Firma · Ort, Datum

Auftragsverarbeiter

Trendafyl — Lorik Sadiku · Nürnberg

Anlage 0: Standardvertragsklauseln der Europäischen Kommission, Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021, amtliche deutsche Fassung (unverändert beizufügen).