AVV, SCC & Transfer Impact Assessment

1. Rechtlicher Rahmen und Zweck

Diese Seite beschreibt technische und organisatorische Compliance-Standards für Auftragsverarbeitung und internationale Datenübermittlungen im Kontext der prokodo Marketplace-Plattform.

Sie dient als transparente technische Dokumentation, ist nicht Teil der Vertragsdokumente, enthält keine eigenständige Leistungszusage und keine Garantie; maßgeblich bleiben die vertraglich einbezogenen Dokumente (insbesondere AGB, Seller-Bedingungen, Verification Policy und Refund & Dispute Policy).

Bei Widersprüchen zwischen dieser Seite und den Vertragsdokumenten gehen die Vertragsdokumente vor.

Rechtliche Bezugspunkte: Art. 5 DSGVO (Grundsätze), Art. 6 (Rechtsgrundlagen), Art. 28 (Auftragsverarbeiter), Art. 32 (Sicherheit der Verarbeitung) und Art. 44 ff. DSGVO (Drittlandübermittlungen).

Diese Vorgaben gelten für alle Teams, die an der Verarbeitung personenbezogener Daten beteiligt sind, insbesondere Engineering, Platform, Security, Product, Support, Legal und Compliance.

Alle Angaben beziehen sich auf den Stand 16. Februar 2026 und unterliegen der Änderungskontrolle.

2. Definitionen

Zur Vermeidung von Missverständnissen gelten in diesem Dokument folgende Begriffsbestimmungen:

Auftragsverarbeiter (Processor): Natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)
Übermittlung (Transfer): Jede Bereitstellung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation (Art. 44 ff. DSGVO)
Evidenzpaket: Gesamtheit aus DPA, SCC, TIA, TOM-Nachweis und interner Freigabedokumentation für einen Verarbeiter
Angemessenheit (Adequacy): Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO
Ergänzende Maßnahmen (Supplementary Measures): Technische, organisatorische oder vertragliche Maßnahmen zur Erreichung eines im Wesentlichen gleichwertigen Schutzniveaus bei Drittlandübermittlungen
Interner Validierungshinweis (ohne vertragliche Zusage): Die Rolle von prokodo (Verantwortlicher oder Auftragsverarbeiter) ist je Verarbeitungszweck noch nicht final juristisch bewertet und wird intern festgelegt sowie dokumentiert.

3. Pflichtdokumente je Verarbeiter

Vor produktivem Einsatz eines Verarbeiters müssen folgende Dokumente vollständig vorliegen und intern freigegeben sein. Ohne vollständiges Evidenzpaket ist ein produktiver Einsatz nicht zulässig.

Unterzeichneter DPA (Auftragsverarbeitungsvertrag) mit Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie Kategorien betroffener Personen und Daten gemäß Art. 28 Abs. 3 DSGVO
SCC (Standardvertragsklauseln) im passenden Modul und in aktueller Fassung, sofern Übermittlung an Empfänger in Drittländern ohne Angemessenheitsbeschluss stattfindet
TIA (Transfer Impact Assessment) mit dokumentierter Rechtslage des Empfängerlandes, Zugriffsszenarien durch staatliche Stellen, Restrisikobewertung und ergänzenden Maßnahmen
TOM-Nachweis (Technisch-Organisatorische Maßnahmen): Zugriffskontrolle, Verschlüsselung, Protokollierung, Incident-Handling, Löschkonzept — soweit diese nachweislich implementiert sind
Interner Owner (Team/Rolle), Review-Intervall und Evidenzablage im zentralen Register
Evidenzreferenz: Verweis auf konkreten Ablageort im internen Vertrags- und Prüfarchiv

4. SCC-/TIA-Prüfstandard (Kontinuierliche Überprüfung)

SCC und TIA sind nicht als einmalige Prüfung zu verstehen, sondern als fortlaufender Kontrollprozess. Die Wirksamkeit der ergänzenden Maßnahmen ist regelmäßig zu validieren.

Reassessment mindestens jährlich sowie anlassbezogen bei Anbieter-, Region-, Rechts- oder Zweckänderung
Dokumentationspflicht für: Transfergrund, übermittelte Datenkategorien, Empfängertyp, angewandte Schutzmaßnahmen
Abweichungen sind als Compliance-Risiko zu dokumentieren mit: Risikoklasse, Owner, Frist, Maßnahmenplan
Ohne dokumentierte Freigabe verbleibt jede neue oder geänderte Integration im Rollout-Stop
Bei Widerruf oder Änderung eines Angemessenheitsbeschlusses: sofortige Neubewertung der betroffenen Transfers

5. Ergänzende Maßnahmen (Supplementary Measures)

Soweit ein Transfer in ein Drittland ohne Angemessenheitsbeschluss erfolgt, sind ergänzende technische und organisatorische Maßnahmen zu dokumentieren. Die folgenden Angaben basieren auf der aktuellen Infrastrukturkonfiguration:

Verschlüsselung: Google-managed Encryption at Rest für Firestore und Cloud Storage ist standardmäßig aktiv. Terraform-Zustandsdaten werden mit Cloud KMS (europe-west3) verschlüsselt. Interner Validierungshinweis (ohne vertragliche Zusage): CMEK-/CSEK-Konfiguration für Datenbanken und Datenträger wird intern evaluiert und ggf. dokumentiert.
Transportverschlüsselung: TLS ist für alle externen Verbindungen konfiguriert (Typesense via Caddy Reverse Proxy, HTTPS-only; Vercel Edge; Firebase APIs). Interner Validierungshinweis (ohne vertragliche Zusage): TLS-Mindestversion und Cipher-Suites werden intern dokumentiert.
Zugriffskontrolle: Firestore und Storage Rules setzen Default-Deny. Admin-Zugriffe sind auf server-seitige Cloud Functions (Admin SDK) beschränkt. SSH-Zugang zu VMs ausschließlich über IAP-Tunnel. OS Login ist aktiviert. Shielded VM mit vTPM und Integritätsmonitoring
Schlüsselmanagement: Sensible Credentials werden in GCP Secret Manager gespeichert (Replikation europe-west4). Registrierungs-Auth-Token werden mit AES-256 verschlüsselt. Interner Validierungshinweis (ohne vertragliche Zusage): Schlüsselrotationsrichtlinie wird intern bestätigt bzw. nachgezogen.
Netzwerksicherheit: Benutzerdefinierte VPC mit privaten Subnetzen und NAT-Gateway. VPC Flow Logs sind aktiviert (0,5 Sampling-Rate). Keine öffentliche IP für Compute-Worker
Protokollierung: Admin-Lesezugriffe werden in dedizierter Audit-Kollektion erfasst (dort festgehalte Felder: Akteur, Zeitpunkt, Aktion, Zweck). Erasure-Audit-Events werden separat protokolliert mit automatischer Geheimnis-Bereinigung

6. Verbindung zum Kontolöschverfahren und Retention

Das Löschverfahren unterscheidet zwei rechtlich relevante Zustände:

erased_core: Kernidentitäten im primären Nutzerprofil und Auth-System sind entfernt/anonymisiert. Externe Konnektoren (Stripe, Mailchimp, Typesense, Storage) können noch ausstehen
erased_complete: Alle sechs konfigurierten Löschziele (Firestore-Kerndaten, Auth-Identität, Typesense-Index, Storage-Objekte, Stripe-Verknüpfung, Newsletter-Abonnement) sind terminal (succeeded oder skipped/NOT_APPLICABLE). Evidenz ist im Erasure-Job dokumentiert
Aufbewahrungsfristen: Erasure-Jobs 90 Tage, Audit-Events 180 Tage, Dead-Letters 180 Tage, Tombstones 365 Tage — jeweils TTL-durchgesetzt in Firestore (per Terraform-Ressource konfiguriert)
Backups und Log-Streams unterstützen keine Einzelobjektlöschung. Entfernung erfolgt über konfigurierte Aufbewahrungsfenster (Firestore-Backups: 14 Wochen; Cloud Logging: gemäß Senkeneinstellung; Fehlertelemetrie: gemäß Anbietereinstellung)
Soweit gesetzliche Aufbewahrungspflichten bestehen, ist ausschließlich ein rechtlich erforderliches Datenminimum zulässig; Rechtsgrundlage und Aufbewahrungsdauer müssen dokumentiert sein

7. Verantwortlichkeiten und Freigaben (Drei-Linien-Modell)

Die operative Verantwortung ist als Drei-Linien-Verteidigungsmodell ausgestaltet. Dieses Modell soll eine gegenseitige Kontrollstruktur sicherstellen.

1st Line (Engineering/Platform): Technische Umsetzung, Erstellung und Pflege der Nachweise, laufender Betrieb
2nd Line (Security/Privacy/Compliance): Kontrollprüfung, Risikoentscheidung, Auflagen, Freigabe oder Ablehnung
3rd Line (Audit/Management Review): Periodische Wirksamkeitskontrolle, unabhängige Stichprobenprüfung
Freigabe neuer oder geänderter Transfers ist nur bei vollständiger Nachweislage (Evidenzpaket) zulässig
Rollout-Stop-Bedingung: Fehlende oder unvollständige Dokumentation blockiert die Produktivnahme

8. Transparenz und Kundeninformation

Informationen zur Auftragsverarbeitung und zu eingesetzten Subprozessoren werden auf dieser Legal-&-Compliance-Seite veröffentlicht; die technische Verarbeiterübersicht ist in der Subprozessoren-Dokumentation einsehbar.

Änderungen an der Verarbeiterliste oder wesentliche Änderungen an Transferkontexten werden auf dieser Seite aktualisiert. Interner Validierungshinweis (ohne vertragliche Zusage): Ein Benachrichtigungsmechanismus für Kunden bei wesentlichen Änderungen (z. B. E-Mail-Notification, Changelog-Feed) wird intern geprüft.

Die Liste der technisch aktiven Verarbeiterklassen ist auf der Subprozessoren-Seite einsehbar.

Zurück zur Legal-Übersicht

1. Rechtlicher Rahmen und Zweck

Diese Seite beschreibt technische und organisatorische Compliance-Standards für Auftragsverarbeitung und internationale Datenübermittlungen im Kontext der prokodo Marketplace-Plattform.

Bei Widersprüchen zwischen dieser Seite und den Vertragsdokumenten gehen die Vertragsdokumente vor.

Rechtliche Bezugspunkte: Art. 5 DSGVO (Grundsätze), Art. 6 (Rechtsgrundlagen), Art. 28 (Auftragsverarbeiter), Art. 32 (Sicherheit der Verarbeitung) und Art. 44 ff. DSGVO (Drittlandübermittlungen).

Diese Vorgaben gelten für alle Teams, die an der Verarbeitung personenbezogener Daten beteiligt sind, insbesondere Engineering, Platform, Security, Product, Support, Legal und Compliance.

Alle Angaben beziehen sich auf den Stand 16. Februar 2026 und unterliegen der Änderungskontrolle.

2. Definitionen

Zur Vermeidung von Missverständnissen gelten in diesem Dokument folgende Begriffsbestimmungen:

Auftragsverarbeiter (Processor): Natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)
Übermittlung (Transfer): Jede Bereitstellung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation (Art. 44 ff. DSGVO)
Evidenzpaket: Gesamtheit aus DPA, SCC, TIA, TOM-Nachweis und interner Freigabedokumentation für einen Verarbeiter
Angemessenheit (Adequacy): Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO
Ergänzende Maßnahmen (Supplementary Measures): Technische, organisatorische oder vertragliche Maßnahmen zur Erreichung eines im Wesentlichen gleichwertigen Schutzniveaus bei Drittlandübermittlungen
Interner Validierungshinweis (ohne vertragliche Zusage): Die Rolle von prokodo (Verantwortlicher oder Auftragsverarbeiter) ist je Verarbeitungszweck noch nicht final juristisch bewertet und wird intern festgelegt sowie dokumentiert.

3. Pflichtdokumente je Verarbeiter

Vor produktivem Einsatz eines Verarbeiters müssen folgende Dokumente vollständig vorliegen und intern freigegeben sein. Ohne vollständiges Evidenzpaket ist ein produktiver Einsatz nicht zulässig.

Unterzeichneter DPA (Auftragsverarbeitungsvertrag) mit Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie Kategorien betroffener Personen und Daten gemäß Art. 28 Abs. 3 DSGVO
SCC (Standardvertragsklauseln) im passenden Modul und in aktueller Fassung, sofern Übermittlung an Empfänger in Drittländern ohne Angemessenheitsbeschluss stattfindet
TIA (Transfer Impact Assessment) mit dokumentierter Rechtslage des Empfängerlandes, Zugriffsszenarien durch staatliche Stellen, Restrisikobewertung und ergänzenden Maßnahmen
TOM-Nachweis (Technisch-Organisatorische Maßnahmen): Zugriffskontrolle, Verschlüsselung, Protokollierung, Incident-Handling, Löschkonzept — soweit diese nachweislich implementiert sind
Interner Owner (Team/Rolle), Review-Intervall und Evidenzablage im zentralen Register
Evidenzreferenz: Verweis auf konkreten Ablageort im internen Vertrags- und Prüfarchiv

4. SCC-/TIA-Prüfstandard (Kontinuierliche Überprüfung)

SCC und TIA sind nicht als einmalige Prüfung zu verstehen, sondern als fortlaufender Kontrollprozess. Die Wirksamkeit der ergänzenden Maßnahmen ist regelmäßig zu validieren.

Reassessment mindestens jährlich sowie anlassbezogen bei Anbieter-, Region-, Rechts- oder Zweckänderung
Dokumentationspflicht für: Transfergrund, übermittelte Datenkategorien, Empfängertyp, angewandte Schutzmaßnahmen
Abweichungen sind als Compliance-Risiko zu dokumentieren mit: Risikoklasse, Owner, Frist, Maßnahmenplan
Ohne dokumentierte Freigabe verbleibt jede neue oder geänderte Integration im Rollout-Stop
Bei Widerruf oder Änderung eines Angemessenheitsbeschlusses: sofortige Neubewertung der betroffenen Transfers

5. Ergänzende Maßnahmen (Supplementary Measures)

Verschlüsselung: Google-managed Encryption at Rest für Firestore und Cloud Storage ist standardmäßig aktiv. Terraform-Zustandsdaten werden mit Cloud KMS (europe-west3) verschlüsselt. Interner Validierungshinweis (ohne vertragliche Zusage): CMEK-/CSEK-Konfiguration für Datenbanken und Datenträger wird intern evaluiert und ggf. dokumentiert.
Transportverschlüsselung: TLS ist für alle externen Verbindungen konfiguriert (Typesense via Caddy Reverse Proxy, HTTPS-only; Vercel Edge; Firebase APIs). Interner Validierungshinweis (ohne vertragliche Zusage): TLS-Mindestversion und Cipher-Suites werden intern dokumentiert.
Zugriffskontrolle: Firestore und Storage Rules setzen Default-Deny. Admin-Zugriffe sind auf server-seitige Cloud Functions (Admin SDK) beschränkt. SSH-Zugang zu VMs ausschließlich über IAP-Tunnel. OS Login ist aktiviert. Shielded VM mit vTPM und Integritätsmonitoring
Schlüsselmanagement: Sensible Credentials werden in GCP Secret Manager gespeichert (Replikation europe-west4). Registrierungs-Auth-Token werden mit AES-256 verschlüsselt. Interner Validierungshinweis (ohne vertragliche Zusage): Schlüsselrotationsrichtlinie wird intern bestätigt bzw. nachgezogen.
Netzwerksicherheit: Benutzerdefinierte VPC mit privaten Subnetzen und NAT-Gateway. VPC Flow Logs sind aktiviert (0,5 Sampling-Rate). Keine öffentliche IP für Compute-Worker
Protokollierung: Admin-Lesezugriffe werden in dedizierter Audit-Kollektion erfasst (dort festgehalte Felder: Akteur, Zeitpunkt, Aktion, Zweck). Erasure-Audit-Events werden separat protokolliert mit automatischer Geheimnis-Bereinigung

6. Verbindung zum Kontolöschverfahren und Retention

Das Löschverfahren unterscheidet zwei rechtlich relevante Zustände:

erased_core: Kernidentitäten im primären Nutzerprofil und Auth-System sind entfernt/anonymisiert. Externe Konnektoren (Stripe, Mailchimp, Typesense, Storage) können noch ausstehen
erased_complete: Alle sechs konfigurierten Löschziele (Firestore-Kerndaten, Auth-Identität, Typesense-Index, Storage-Objekte, Stripe-Verknüpfung, Newsletter-Abonnement) sind terminal (succeeded oder skipped/NOT_APPLICABLE). Evidenz ist im Erasure-Job dokumentiert
Aufbewahrungsfristen: Erasure-Jobs 90 Tage, Audit-Events 180 Tage, Dead-Letters 180 Tage, Tombstones 365 Tage — jeweils TTL-durchgesetzt in Firestore (per Terraform-Ressource konfiguriert)
Backups und Log-Streams unterstützen keine Einzelobjektlöschung. Entfernung erfolgt über konfigurierte Aufbewahrungsfenster (Firestore-Backups: 14 Wochen; Cloud Logging: gemäß Senkeneinstellung; Fehlertelemetrie: gemäß Anbietereinstellung)
Soweit gesetzliche Aufbewahrungspflichten bestehen, ist ausschließlich ein rechtlich erforderliches Datenminimum zulässig; Rechtsgrundlage und Aufbewahrungsdauer müssen dokumentiert sein

7. Verantwortlichkeiten und Freigaben (Drei-Linien-Modell)

Die operative Verantwortung ist als Drei-Linien-Verteidigungsmodell ausgestaltet. Dieses Modell soll eine gegenseitige Kontrollstruktur sicherstellen.

1st Line (Engineering/Platform): Technische Umsetzung, Erstellung und Pflege der Nachweise, laufender Betrieb
2nd Line (Security/Privacy/Compliance): Kontrollprüfung, Risikoentscheidung, Auflagen, Freigabe oder Ablehnung
3rd Line (Audit/Management Review): Periodische Wirksamkeitskontrolle, unabhängige Stichprobenprüfung
Freigabe neuer oder geänderter Transfers ist nur bei vollständiger Nachweislage (Evidenzpaket) zulässig
Rollout-Stop-Bedingung: Fehlende oder unvollständige Dokumentation blockiert die Produktivnahme

8. Transparenz und Kundeninformation

Die Liste der technisch aktiven Verarbeiterklassen ist auf der Subprozessoren-Seite einsehbar.

Zurück zur Legal-Übersicht

DPA / SCC / TIA

1. Rechtlicher Rahmen und Zweck

2. Definitionen

3. Pflichtdokumente je Verarbeiter

4. SCC-/TIA-Prüfstandard (Kontinuierliche Überprüfung)

5. Ergänzende Maßnahmen (Supplementary Measures)

6. Verbindung zum Kontolöschverfahren und Retention

7. Verantwortlichkeiten und Freigaben (Drei-Linien-Modell)

8. Transparenz und Kundeninformation

DPA / SCC / TIA

1. Rechtlicher Rahmen und Zweck

2. Definitionen

3. Pflichtdokumente je Verarbeiter

4. SCC-/TIA-Prüfstandard (Kontinuierliche Überprüfung)

5. Ergänzende Maßnahmen (Supplementary Measures)

6. Verbindung zum Kontolöschverfahren und Retention

7. Verantwortlichkeiten und Freigaben (Drei-Linien-Modell)

8. Transparenz und Kundeninformation

Market

Market