Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
zwischen dem Kunden der FahrChat-Plattform (nachfolgend "Auftraggeber") und
Marco Mori, Birkachstraße 3, 88131 Lindau, Deutschland
E-Mail: info@fahrchat.de
(nachfolgend "Auftragnehmer")
Der Auftraggeber und der Auftragnehmer werden gemeinsam als "Parteien" bezeichnet.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der FahrChat-Plattform (SaaS) gemäß dem zwischen den Parteien geschlossenen Nutzungsvertrag (Hauptvertrag).
(2) Die Dauer dieser Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages.
(3) Gegenstand der Verarbeitung ist die Bereitstellung einer Plattform zur WhatsApp-basierten Kommunikation zwischen Fahrschulen und deren Fahrschülern, einschließlich automatisierter Terminverwaltung, Schülerverwaltung und Benachrichtigungen.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Verwaltung von Fahrschülerdaten (Name, Telefonnummer, E-Mail)
- Verarbeitung von WhatsApp-Nachrichten zur automatisierten Terminbuchung
- Verwaltung von Terminen und Verfügbarkeiten
- Versand von Benachrichtigungen und Erinnerungen
- KI-gestützte Verarbeitung von Kundenanfragen
- Geocoding von Treffpunkt-Adressen
§ 3 Art der personenbezogenen Daten
Folgende Datenkategorien werden verarbeitet:
- Stammdaten (Vor- und Nachname)
- Kontaktdaten (Telefonnummer, E-Mail-Adresse)
- Kommunikationsdaten (WhatsApp-Nachrichten)
- Termindaten (Datum, Uhrzeit, Treffpunkt)
- Nutzungsdaten (Login-Zeiten, Dashboard-Nutzung)
- Standortdaten (Treffpunkt-Adressen, Geocoding-Koordinaten)
§ 4 Kategorien betroffener Personen
- Fahrschüler des Auftraggebers
- Fahrlehrer des Auftraggebers
- Mitarbeiter und Inhaber der Fahrschule
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, es sei denn, der Auftragnehmer ist durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7).
(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei:
- Sicherheit der Verarbeitung (Art. 32 DSGVO)
- Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO)
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
- Vorherige Konsultation (Art. 36 DSGVO)
(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.
(6) Nach Abschluss der Verarbeitung löscht der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Die Löschung erfolgt spätestens 30 Tage nach Vertragsbeendigung.
(7) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden. Der Auftraggeber kündigt Inspektionen mindestens 30 Tage im Voraus an. Die Kosten der Inspektion trägt der Auftraggeber.
§ 6 Unterauftragsverarbeiter
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter einzusetzen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.
(2) Folgende Unterauftragsverarbeiter werden zum Zeitpunkt des Vertragsschlusses eingesetzt:
| Unternehmen | Zweck | Sitz / Serverstandort |
|---|---|---|
| Vercel Inc. | Hosting der Webanwendung | USA (EU-Datenverarbeitung via Edge Network) |
| Supabase Inc. | Datenbank, Authentifizierung, Dateispeicher | USA / Server in Frankfurt, DE (EU) |
| Meta Platforms Ireland Ltd. | WhatsApp Business API (Nachrichtenversand) | Irland (EU) |
| OpenAI, L.L.C. | KI-Verarbeitung von Kundenanfragen | USA |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) |
| Resend Inc. | Transaktionaler E-Mail-Versand | USA |
| Functional Software Inc. (Sentry) | Fehlerüberwachung und Performance-Monitoring | USA (DPF-zertifiziert) |
| Twilio Inc. | WhatsApp Business Solution Provider (BSP), SMS-Versand | USA (DPF-zertifiziert) |
(3) Der Auftragnehmer stellt sicher, dass jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden, die in diesem Vertrag festgelegt sind. Für das Verschulden von Unterauftragsverarbeitern haftet der Auftragnehmer wie für eigenes Verschulden.
(4) Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks (DPF) bzw. Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
§ 7 Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft insbesondere folgende Maßnahmen gemäß Art. 32 DSGVO:
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verschlüsselte Datenübertragung (TLS/HTTPS)
- Verschlüsselung der Datenbank (AES-256, Encryption at Rest)
- Zugriffskontrolle durch rollenbasierte Berechtigungen (Row Level Security)
- Authentifizierung über Supabase Auth mit verschlüsselten Passwörtern
- API-Schlüssel und Zugangsdaten werden in sicheren Umgebungsvariablen gespeichert
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Eingabevalidierung auf allen Systemgrenzen (API, Datenbank-Trigger)
- Automatisierte Datenbank-Backups
- Protokollierung von Datenänderungen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Hosting auf redundanter Cloud-Infrastruktur (Vercel Edge Network, Supabase Cloud)
- Automatische Skalierung bei erhöhter Last
- Regelmäßige Datenbank-Backups mit Wiederherstellungsmöglichkeit
Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Überprüfung der Zugriffsberechtigungen
- Sicherheitsupdates und Patches zeitnah einspielen
- Überwachung der Systeme auf unberechtigte Zugriffe
§ 8 Meldepflicht bei Datenschutzverletzungen
(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung enthält mindestens:
- Eine Beschreibung der Art der Verletzung
- Die Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
- Eine Beschreibung der wahrscheinlichen Folgen
- Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
(2) Die Meldung erfolgt per E-Mail an die vom Auftraggeber hinterlegte E-Mail-Adresse.
§ 9 Rechte der betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 15–22 DSGVO durch geeignete technische und organisatorische Maßnahmen.
(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
§ 10 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.
(2) Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen Format exportiert und dem Auftraggeber zur Verfügung gestellt.
(3) Die Löschung erfolgt spätestens 30 Tage nach Vertragsbeendigung. Der Auftragnehmer bestätigt die vollständige Löschung unaufgefordert schriftlich.
§ 11 Haftung
(1) Der Auftraggeber ist als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er stellt sicher, dass er über eine gültige Rechtsgrundlage für die Verarbeitung der übermittelten personenbezogenen Daten verfügt.
(2) Der Auftraggeber stellt den Auftragnehmer von allen Ansprüchen Dritter frei, die auf einer rechtswidrigen Datenverarbeitung durch den Auftraggeber beruhen oder auf der Verletzung seiner Pflichten als Verantwortlicher.
(3) Die Haftung des Auftragnehmers aus diesem AVV ist — soweit gesetzlich zulässig — auf Vorsatz und grobe Fahrlässigkeit beschränkt. Bei leichter Fahrlässigkeit ist die Haftung auf den vertragstypisch vorhersehbaren Schaden begrenzt, maximal jedoch auf den Jahresnettoauftragswert des Hauptvertrages.
(4) Art. 82 DSGVO bleibt unberührt.
§ 12 Schlussbestimmungen
(1) Dieser AVV wird mit Abschluss des Hauptvertrages (Registrierung und Zustimmung zu den AGB) wirksam.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
(4) Es gilt das Recht der Bundesrepublik Deutschland.
Anlage 1: Kalender-Sync (ICS-Feed) — optionale Zusatzverarbeitung
(1) Diese Anlage gilt nur, wenn die Funktion "Kalender-Sync" für den Auftraggeber aktiviert ist. Andernfalls findet keine der hier beschriebenen Verarbeitungen statt.
(2) Zweck: Bereitstellung eines read-only Kalender-Abonnements (ICS-Feed) je Fahrlehrer zur Anzeige der Termindaten in externen Kalenderanwendungen (z. B. Google Calendar, Apple Kalender, Microsoft Outlook). Die Synchronisation erfolgt ausschließlich in eine Richtung (Server → Kalender-App des Fahrlehrers).
(3) Datenkategorien im Feed: Vorname und erster Buchstabe des Nachnamens (Initial) des Fahrschülers, Terminbeginn und -ende, Art der Fahrstunde, vereinbarter bzw. bestätigter Abholort, Fahrzeugbezeichnung und Getriebetyp sowie optionale Notizen. Der Feed enthält in der aktuellen Ausgestaltung bewusst keine vollständigen Nachnamen und keine Telefonnummern (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO). Eine Erweiterung des Datenumfangs wird dem Auftraggeber vorab mitgeteilt.
(4) Empfänger: Die im Feed enthaltenen Daten werden durch den vom Fahrlehrer gewählten Kalenderanbieter verarbeitet (Google LLC, USA; Apple Inc., USA; Microsoft Corporation, USA — je nach genutzter Anwendung). Die Übermittlung an diese Anbieter erfolgt nicht durch den Auftragnehmer, sondern durch den Fahrlehrer selbst, indem er den Feed in seiner privaten Kalenderanwendung abonniert. Der Auftragnehmer stellt lediglich den HTTPS-Feed bereit und sendet selbst keine Daten an die Kalenderanbieter; diese sind daher keine Unterauftragsverarbeiter des Auftragnehmers. Der Fahrlehrer nutzt den Feed eigenverantwortlich in seiner eigenen Kalenderanwendung und ist für diesen Verarbeitungsschritt — einschließlich der Wahl des Kalenderanbieters — datenschutzrechtlich selbst verantwortlich.
(5) Technische und organisatorische Maßnahmen: Zugriffskontrolle ausschließlich über ein kryptographisches Token (160 Bit Entropie) in der Feed-URL, HTTPS-only ohne Weiterleitungen, Cache-Control: private, no-store (kein Caching auf Zwischenservern/CDN), Rate-Limiting sowie Token-Rotation als Sofort-Widerruf (der alte Link wird unmittelbar ungültig). Das Token wird nicht in den Anwendungsprotokollen des Auftragnehmers gespeichert. Technisch bedingt erscheint das Token im URL-Pfad und kann daher in Hosting-Zugriffsprotokollen (Vercel) enthalten sein; der Zugriff hierauf ist auf den Auftragnehmer beschränkt. Eine weitergehende Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO) unterbleibt, weil der Verwendungszweck — die Erkennbarkeit von Schüler und Treffpunkt durch den jeweiligen Fahrlehrer — Klardaten erfordert; als mildere Maßnahme wird der Name auf Vorname und Initial reduziert. Die Maßnahmen werden mindestens jährlich überprüft.
(6) Drittlandübermittlung: Soweit der gewählte Kalenderanbieter Daten in den USA verarbeitet, erfolgt dies bei zertifizierten Anbietern auf Grundlage des EU-US Data Privacy Frameworks (Durchführungsbeschluss (EU) 2023/1795 i. V. m. Art. 45 Abs. 1 DSGVO), hilfsweise auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Google LLC, Apple Inc. und Microsoft Corporation sind unter dem DPF zertifiziert.
Stand: 14. Juni 2026 — Version 1.1