Art. 28 DSGVO

Auftragsverarbeitungs­vertrag
(AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien aus dem Vertrag über die Nutzung der Software „DFA – Die Fahrschul-App" zwischen dem Kunden (Fahrschule) als Verantwortlichem im Sinne des Art. 4 Nr. 7 DSGVO und Philip Stanisic, Joachimstraße 12 B, 10119 Berlin, als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO (nachfolgend „Anbieter").

Dieser AVV ist Bestandteil des Nutzungsvertrags und wird mit der Registrierung bzw. mit der Zustimmung zu den AGB in elektronischer Form (Art. 28 Abs. 9 DSGVO) wirksam. Sie können diese Seite über die Druckfunktion Ihres Browsers als PDF speichern und Ihrer Datenschutz-Dokumentation beifügen.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden zum Zweck der Bereitstellung der Fahrschul-Verwaltungs- Software (SaaS) einschließlich Terminverwaltung, Schülerverwaltung, Prüfungsorganisation, Kommunikations- und Zahlungsverwaltungsfunktionen.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

§ 2 Art der Daten und Kategorien betroffener Personen

Kategorien personenbezogener Daten: Stammdaten (Name, Anschrift, Geburtsdatum), Kontaktdaten (E-Mail, Telefon), Ausbildungsdaten (Fahrstunden, Ausbildungsfortschritt, Prüfungsergebnisse, Führerscheinklassen), Zahlungs- und Rechnungsdaten, Kommunikationsdaten (Chat-Nachrichten, Benachrichtigungen), Dokumente (z. B. Verträge, Nachweise), Nutzungs- und Protokolldaten.

Kategorien betroffener Personen: Fahrschüler, Fahrlehrer und sonstige Mitarbeiter des Kunden sowie Interessenten des Kunden.

§ 3 Pflichten des Anbieters

(1) Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der Software-Funktionen durch den Kunden gilt als Weisung.

(2) Der Anbieter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.

(3) Der Anbieter ergreift alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 6).

(4) Der Anbieter unterstützt den Kunden mit geeigneten Mitteln dabei, Anträgen betroffener Personen (Art. 12–23 DSGVO) nachzukommen, insbesondere durch Export-, Berichtigungs- und Löschfunktionen in der Software.

(5) Der Anbieter unterstützt den Kunden bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung). Der Anbieter meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden.

(6) Nach Beendigung des Vertrags löscht der Anbieter alle im Auftrag verarbeiteten personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Kunde kann seine Daten zuvor über die Export-Funktion der Software sichern.

(7) Der Anbieter stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — die vom Kunden oder einem von diesem beauftragten Prüfer durchgeführt werden, nach vorheriger Ankündigung mit angemessener Frist.

§ 4 Unterauftragsverarbeiter

(1) Der Kunde erteilt dem Anbieter die allgemeine Genehmigung (Art. 28 Abs. 2 DSGVO) zur Einschaltung der folgenden Unterauftragsverarbeiter:

Vercel Inc., USA — Hosting und Anwendungsbetrieb sowie Datei-Speicher (Blob Storage); EU-Standardvertragsklauseln / EU-U.S. Data Privacy Framework
Neon Inc., USA (Serverstandort: EU/Frankfurt) — Datenbank; EU-Standardvertragsklauseln
Cloudflare Inc., USA — CDN, DNS und Web Application Firewall; EU-Standardvertragsklauseln / EU-U.S. Data Privacy Framework
Hetzner Online GmbH, Deutschland — ergänzende Server-Infrastruktur
Sendinblue GmbH (Brevo), Deutschland/Frankreich — Versand transaktionaler E-Mails
Stripe Payments Europe Ltd., Irland — Zahlungsabwicklung (soweit Zahlungsfunktionen genutzt werden)

(2) Der Anbieter informiert den Kunden über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern) in Textform. Der Kunde kann der Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen; im Fall des Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

(3) Mit allen Unterauftragsverarbeitern bestehen Verträge gemäß Art. 28 Abs. 4 DSGVO.

§ 5 Datenübermittlung in Drittländer

Eine Verarbeitung in Drittländern (insbesondere USA) erfolgt nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (EU-Standardvertragsklauseln, Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework). Die Datenbank mit den Ausbildungs- und Stammdaten wird in der EU (Region Frankfurt) betrieben.

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Anbieter trifft insbesondere folgende Maßnahmen gemäß Art. 32 DSGVO:

Verschlüsselung: Transportverschlüsselung (TLS/HTTPS) für sämtliche Verbindungen; Verschlüsselung der Datenbank im Ruhezustand; Passwörter werden ausschließlich als bcrypt-Hash gespeichert; Session-Cookies sind verschlüsselt
Zugangskontrolle: Rollenbasiertes Berechtigungskonzept (Inhaber, Fahrlehrer, Fahrschüler), mandantengetrennte Datenhaltung pro Fahrschule, Rate-Limiting auf Authentifizierungs-Endpunkten
Verfügbarkeitskontrolle: Redundante Cloud-Infrastruktur, kontinuierliche Datenbank-Sicherungen mit Point-in-Time-Recovery, Export-Funktion für den Kunden
Trennungskontrolle: Logische Trennung der Daten verschiedener Kunden auf Datenbankebene
Kontrolle und Protokollierung: Server- und Zugriffsprotokolle der Infrastruktur, Protokollierung sicherheitsrelevanter Ereignisse und Systemfehler

§ 7 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem AVV und den AGB gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

Stand: Juli 2026