Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Datenverarbeitungsvertrag

Version 3.0 · Zuletzt aktualisiert: 9. Mai 2026 · Sofort gültig

1. Parteien

Dieser Datenverarbeitungsvertrag ("DPA") wird zwischen dem Kunden ("Verantwortlicher") und YARDtwin Ltd, eingetragen in Irland ("Auftragsverarbeiter"), gemeinsam die "Parteien", geschlossen. Dieser DPA ist Bestandteil der YARDtwin Nutzungsbedingungen.

2. Anwendungsbereich & Zweck

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Bereitstellung der YARDtwin Yard-Management-Plattform: Dock-Planung, Toroperationen, digitale Zwilling-Hofvisualisierung, Carrier- und Fahrerverwaltung, GMP-konformer Prüfpfad, Analysen und Integrationen. Die Verarbeitung erfolgt für die Dauer des Abonnements des Verantwortlichen sowie etwaiger gemäß Abschnitt 11 erforderlicher Aufbewahrungsfristen.

3. Kategorien betroffener Personen

  • Mitarbeiter und Administratoren des Verantwortlichen (benannte Nutzer der Plattform)
  • Fahrer und Logistikpersonal, die an den Toren des Verantwortlichen eingecheckt sind
  • Carrier-Vertreter und Disposition-Ansprechpartner
  • Tor-Sicherheits- und Lageroperationspersonal

4. Arten personenbezogener Daten

  • Identitätsdaten: Namen, E-Mail-Adressen, Telefonnummern, Position/Berufsbezeichnung, Firmenname und -adresse
  • Authentifizierungsdaten: bcrypt-gehashte Passwörter (12 Runden), JWT-Zugriffs- & Refresh-Token, Sitzungs-Zeitstempel, IP-Adressen, SSO-Kennungen (Google, Microsoft)
  • Betriebsdaten: Termine, Dock-Zuweisungen, Trailerbewegungen, Inspektionsaufzeichnungen, Dokumente, Aufgabenzuweisungen, Fahrzeugzulassungen
  • Fahrerdaten: Führerscheinnummern, Führerscheinbilder, optionale Gesichtsbilder zur biometrischen Torzugangsprüfung (besondere Datenkategorie, Art. 9 GDPR – nur verarbeitet, wenn der Verantwortliche die biometrische Verifikation am Tor aktiviert und eine ausdrückliche Einwilligung zum Zeitpunkt der Erfassung eingeholt hat)
  • Auditdaten: Benutzeraktionen, Zeitstempel, IP-Adressen, User-Agent-Strings, Alt-/Neu-Wertdifferenzen, GMP-gekennzeichnete Datensätze

5. Pflichten des Auftragsverarbeiters

  • Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (die Plattform-Benutzeroberfläche und API gelten als dokumentierte Weisungen)
  • Sicherstellung, dass zur Datenverarbeitung befugte Personen Vertraulichkeitsverpflichtungen unterliegen
  • Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen (Art. 32) – siehe Abschnitt 7
  • Keine Beauftragung von Unterauftragsverarbeitern ohne vorherige schriftliche Genehmigung; 30 Tage Vorabinformation über jeden neuen Unterauftragsverarbeiter (Widerspruchsrecht)
  • Unterstützung des Verantwortlichen bei Betroffenenanfragen (Art. 15–22) über die in Abschnitt 9 beschriebenen DSAR-Endpunkte
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an den Verantwortlichen unverzüglich und innerhalb von 72 Stunden (Abschnitt 8)
  • Löschung oder Rückgabe aller personenbezogenen Daten bei Beendigung der Dienste (Abschnitt 11)
  • Bereitstellung aller Informationen, die zum Nachweis der Compliance erforderlich sind, sowie Unterstützung bei Audits (Abschnitt 12)

6. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein, die jeweils einem Auftragsverarbeitungsvertrag und (soweit anwendbar) den Standardvertragsklauseln 2021 unterliegen:

UnterauftragsverarbeiterZweckStandortSchutzmaßnahmen
Microsoft AzureHosting (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)EWR – Schweden Mitte + Norwegen OstMicrosoft Online Services DPA + EU SCCs, ISO 27001, SOC 2 Typ II, ISO 27018, EU-Datengrenze
StripeAbonnementabrechnung & Zahlungsabwicklung (keine Kartennummern werden von YARDtwin gespeichert)Stripe Ireland (EWR), teilweise US-SupportStripe DPA + EU SCCs + PCI DSS Level 1
ResendTransaktionale E-Mails (Willkommen, Testerinnerungen, DSAR-Antworten, Sicherheitswarnungen)USA (Delaware)Resend DPA + EU SCCs (Überprüfung ergänzender Maßnahmen gemäß FISA 702 in Bearbeitung – siehe GDPR Policy 11.6)
Google Cloud VisionFührerschein-OCR (nur wenn der Verantwortliche die Führerscheinprüfung am Tor aktiviert)EU-RegionenGoogle Cloud DPA + EU SCCs, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Single-Sign-On-Identitätstoken für Benutzer, die SSO verwendenEWR (Microsoft Entra ID) / Global (Google Workspace)Microsoft / Google Cloud DPAs
AnthropicClaude API für den produktinternen KI-Assistenten + Führerschein-OCR-TextanalyseUSA (Kalifornien)Anthropic DPA + Zero-Retention-Zusage + EU SCCs (Überprüfung ergänzender Maßnahmen gemäß FISA 702 in Bearbeitung)

Kunden werden mindestens 30 Tage vor der Hinzunahme eines neuen Unterauftragsverarbeiters informiert, mit dem Recht auf Widerspruch und Kündigung ohne Vertragsstrafe.

7. Sicherheitsmaßnahmen (Art. 32)

  • Verschlüsselung bei der Übertragung: TLS 1.2+ auf jedem Endpunkt; Zertifikate verwaltet durch Microsoft Azure (DigiCert)
  • Verschlüsselung im Ruhezustand: Transparente Datenverschlüsselung für Azure Postgres Flexible Server; Azure Blob Storage-Verschlüsselung
  • Feldebenen-Verschlüsselung: AES-256-GCM für biometrische Daten (Führerscheinbilder, Unterschriftenbilder), Schlüssel gespeichert in Azure Key Vault
  • Passwort-Hashing: bcrypt, 12 Runden
  • Authentifizierung: JWT-Zugriffstoken (1 Stunde Gültigkeit) + Refresh-Token (7 Tage Gültigkeit, Rotation bei Verwendung); SSO via Google und Microsoft als MFA-Äquivalent
  • Mandantentrennung: auf jeder API-Route durchgesetzt, bei jedem Release durch 25-Vektor-Cross-Tenant-Audit regressionsgetestet
  • Rollenbasierte Zugriffskontrolle: sechs Rollen (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), Middleware nach Least-Privilege-Prinzip
  • Web Application Firewall: Azure Front Door + verwaltete WAF (OWASP Core Rule Set, Bot-Schutz, L7 DDoS)
  • Rate-Limiting: routenspezifische Limits, strengere Beschränkungen auf Auth-Endpunkten; In-Memory- und persistentes Versuchsprotokoll
  • Auditprotokoll: auf Anwendungsebene nur erweiterbar (append-only), 6 Jahre Aufbewahrung, GMP-relevante Einträge gesondert gekennzeichnet, bei Löschanfragen nach Art. 17 pseudonymisiert (nicht gelöscht) gemäß Art. 17(3)(b)
  • Kontinuierliches Monitoring: Azure Application Insights, Schema-Drift-Alarm (15-Minuten-Fenster), End-to-End-/health/db-write-Probe, Anomalie-Worker zur Verletzungserkennung (Häufung fehlgeschlagener Logins, Multi-IP-Angriffe, Logins aus wechselnden Ländern, 5xx-Rate)
  • Software-Lieferkette: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP bei jedem PR. Secrets: Azure Key Vault, Zugriff über verwaltete App Service-Identität; keine Secrets im Code, in Env-Dateien oder Container-Images

8. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und spätestens 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft (Art. 33). Die Meldung umfasst Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personen, voraussichtliche Folgen, ergriffene oder geplante Maßnahmen sowie die Referenz im Verletzungsregister. Erkannte Anomalien werden an die Azure Monitor Action Group weitergeleitet yardtwin-breach-actions; bestätigte Vorfälle werden in der Verletzungsregister-Tabelle mit einem 72-Stunden-DPC-Countdown verfolgt.

9. Rechte der betroffenen Personen

Der Auftragsverarbeiter stellt dem Verantwortlichen folgende Endpunkte zur Verfügung, um die Rechte betroffener Personen innerhalb der 30-Tage-Frist gemäß Art. 12(3) zu erfüllen:

  • POST /api/v1/dsar/export/by-email — maschinenlesbarer Export gemäß Art. 15 (Auskunft) und Art. 20 (Datenübertragbarkeit)
  • POST /api/v1/dsar/erase/by-email — Pseudonymisierung in allen personenbezogenen Datentabellen, Auditprotokoll-Aufbewahrung gemäß Art. 17(3)(b) bleibt erhalten
  • Self-Service-Antragsportal unter /data-request

10. Internationale Datenübermittlungen

Betriebsdaten werden innerhalb des Europäischen Wirtschaftsraums gespeichert (Microsoft Azure, Schweden Mitte + Norwegen Ost). Weitergaben an Sub-Auftragsverarbeiter außerhalb des EWR (Resend, Anthropic) erfolgen auf Basis der Standardvertragsklauseln 2021 mit dokumentierten Transfer-Folgenabschätzungen. Stripe vertraglich über Stripe Ireland (EWR-Hauptsitz).

11. Laufzeit, Kündigung & Datenrückgabe

Dieser DPA bleibt für die Dauer der Servicevereinbarung in Kraft. Nach Beendigung gilt:

  • Der Verantwortliche kann alle seine Daten innerhalb von 30 Tagen über die produktinternen Exportfunktionen oder auf Anfrage exportieren
  • Nach 30 Tagen löscht der Auftragsverarbeiter alle operativen personenbezogenen Daten des Verantwortlichen
  • Auditprotokolle werden 6 Jahre nach dem Ereignis in pseudonymisierter Form aufbewahrt, wie von 21 CFR Part 11 / EU GMP Annex 11 gefordert (Pflichtaufbewahrung gemäß Art. 17(3)(b))
  • Backups werden innerhalb von 7 Tagen nach der operativen Löschung bereinigt, entsprechend dem Point-in-Time-Recovery-Fenster

12. Prüfungsrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung von Art. 28 GDPR nachzuweisen. Kunden können anfordern: Kopien relevanter Sicherheitszertifizierungen und Prüfberichte (sofern vorhanden), das aktuelle Sub-Auftragsverarbeiter-Verzeichnis, den aktuellen Mandantentrennungs-Regressionstestbericht, die aktuellste externe Penetrationstest-Zusammenfassung (sofern ausgestellt, siehe GDPR-Richtlinie 11.1) sowie Antworten auf einen Anbieter-Sicherheitsfragebogen. Angemessene Vor-Ort- oder Remote-Audits können mit mindestens 30 Tagen Vorlauf vereinbart werden, durchgeführt vom Verantwortlichen oder einem unabhängigen Dritten, der zur Vertraulichkeit verpflichtet ist. Der Auftragsverarbeiter räumt ISO 27001 / SOC 2 Type II-Berichten als Nachweisersatz Vorrang ein, sobald diese Zertifizierungen vorliegen.

13. Haftung & anwendbares Recht

Die Haftung im Rahmen dieses DPA unterliegt den Haftungsbeschränkungen, die in den YARDtwin Nutzungsbedingungen-Bedingungen festgelegt sind. Dieser DPA unterliegt dem irischen Recht und der EU-Datenschutz-Grundverordnung (GDPR). Streitigkeiten unterliegen der ausschließlichen Gerichtsbarkeit der irischen Gerichte.

14. Kontakt

Bei Fragen zu diesem DPA, zur Anforderung einer gegengezeichneten Kopie oder zur Ausübung der oben genannten Rechte wenden Sie sich an admin@yardtwin.com oder den Datenschutzbeauftragten unter dpo@yardtwin.com. Ein externer Teilzeit-DSB wird derzeit beauftragt (GDPR-Richtlinie 11.2); bis zur Ernennung werden E-Mails an dpo@yardtwin.com an admin@yardtwin.com weitergeleitet.

Mit der Annahme erklärt sich der Kunde als Verantwortlicher an diesen Datenverarbeitungsvertrag v3.0 gebunden.

Hallo! Starten Sie Ihre kostenlose Testversion in 2 Minuten – ich helfe Ihnen bei der Einrichtung!