Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

Zwischen dem Nutzer der Software „Slotify“ (im Folgenden „Verantwortlicher“ genannt) und der PalatinAI Consulting - Kevin Rosenow, Slotify App, Mühlturmstr. 6, 67346 Speyer (im Folgenden „Auftragsverarbeiter“ genannt).

Dieser Vertrag wird mit der Akzeptanz der Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters automatisch wirksam und ist Bestandteil des Hauptvertrages.

§ 1 Gegenstand, Art und Zweck der Verarbeitung

(1) Gegenstand: Der Auftragsverarbeiter erbringt für den Verantwortlichen SaaS-Dienstleistungen (Software „Slotify“) zur intelligenten Terminbuchung und Routenoptimierung.

(2) Art der Verarbeitung: Über das Buchungs-Widget eingegebene personenbezogene Daten werden vom Auftragsverarbeiter erhoben, an den angebundenen Kalender (z. B. Google Calendar) des Verantwortlichen übermittelt und zusätzlich als Backup sowie zur Anzeige im passwortgeschützten Admin-Dashboard in einer dedizierten, vom Auftragsverarbeiter verwalteten Datenbank gespeichert.

(3) Zweck: Bereitstellung eines digitalen Buchungs-Widgets, automatisierte Terminvergabe, Vermeidung von Doppelbuchungen sowie statistische Auswertung der Buchungsstrecke für den Verantwortlichen.

(4) Nutzungsstatistiken: Das Verhalten im Buchungs-Widget (z.B. Aufrufe, Abbruchraten) wird erfasst, um die Nutzerfreundlichkeit zu verbessern und dem Verantwortlichen Statistiken bereitzustellen. Sofern keine personenbezogenen Formulardaten abgesendet werden, erfolgt die Erfassung dieser Klicks und Abbrüche vollständig anonymisiert. Eine Nutzung dieser Daten für Werbezwecke oder durch Drittanbieter ist strikt ausgeschlossen.

§ 2 Art der Daten und Kreis der Betroffenen

(1) Art der verarbeiteten Daten:

  • Stammdaten (Vorname, Nachname, Firma)
  • Kontaktdaten (Telefonnummer, E-Mail-Adresse)
  • Standortdaten (Einsatzadresse für die Routenberechnung)
  • Vertrags-/Termindaten (gebuchte Leistung, Zeitpunkt)

(2) Kategorien betroffener Personen:

  • Endkunden (Interessenten, Auftraggeber) des Verantwortlichen.

§ 3 Weisungsbefugnis des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen. Die vertraglich vereinbarte Nutzung der Software stellt die abschließende Weisung dar.

(2) Erkennt der Auftragsverarbeiter, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen.

§ 4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter sichert zu, dass alle mit der Datenverarbeitung betrauten Personen zur Vertraulichkeit verpflichtet wurden.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (z.B. Auskunft, Löschung). Der Verantwortliche kann Löschanfragen in der Regel selbst über sein Admin-Dashboard umsetzen. Sollte dies technisch nicht möglich sein, führt der Auftragsverarbeiter die Löschung nach dokumentierter Weisung des Verantwortlichen aus.

(3) Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten (Datenpannen) unverzüglich an den Verantwortlichen.

§ 5 Inanspruchnahme von Unterauftragsverarbeitern

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragnehmer) hinzuzuziehen.

(2) Aktuelle Unterauftragnehmer: Aktuell werden folgende Unterauftragnehmer für die Bereitstellung der Infrastruktur eingesetzt:

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

  • Tätigkeit: Bereitstellung der Server-Infrastruktur und des Rechenzentrums.
  • Serverstandort: Nürnberg, Deutschland.

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

  • Tätigkeit: Bereitstellung von Drittanbieter-Schnittstellen (Google Maps API zur Geodaten- und Routenberechnung sowie Google Calendar API zur Terminsynchronisation).
  • Garantien bei Drittlandtransfer: Die Datenverarbeitung findet primär im europäischen Wirtschaftsraum statt. Sofern eine Datenübermittlung an die US-Muttergesellschaft (Google LLC) erfolgt, ist dies datenschutzrechtlich durch den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) legitimiert, unter welchem Google LLC aktiv zertifiziert ist.

§ 6 Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat weitreichende technische und organisatorische Maßnahmen ergriffen, um die Sicherheit der Verarbeitung zu gewährleisten (Art. 32 DSGVO). Dazu gehören insbesondere:

  • Verschlüsselung: Alle Datenübertragungen (Schnittstellen, Web-Frontend) erfolgen durchgehend verschlüsselt (TLS/HTTPS).
  • Zugangskontrolle: Absicherung des Admin-Dashboards durch moderne Authentifizierungsverfahren (Magic-Link).
  • System-Isolierung: Hosting der Datenbanken und Workflows in gekapselten, stark abgesicherten Container-Umgebungen (Docker / Coolify).
  • Standort-Sicherheit: Ausschließliche Datenspeicherung auf Servern innerhalb Deutschlands in ISO-zertifizierten Rechenzentren.

§ 7 Löschung und Rückgabe von Daten

(1) Die in der Datenbank (Baserow) des Auftragsverarbeiters gespeicherten Endkundendaten werden für die Dauer des Vertrages aufbewahrt, damit der Verantwortliche diese in seinem Dashboard einsehen und verwalten kann.

(2) Soweit personenbezogene Daten temporär in Ausführungsprotokollen (Server-Logs) zur Fehlerbehebung abgelegt werden, werden diese automatisiert nach spätestens 14 Tagen unwiderruflich gelöscht. Rein anonymisierte Statistikdaten bleiben hiervon unberührt.

(3) Nach Beendigung des Hauptvertrages (Kündigung des Abos) löscht der Auftragsverarbeiter den Account des Verantwortlichen inklusive aller dort hinterlegten Endkundendaten nach Ablauf einer Karenzzeit von 30 Tagen restlos.