Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen dem Kunden der FahrChat-Plattform (nachfolgend "Auftraggeber") und

Marco Mori, Birkachstraße 3, 88131 Lindau, Deutschland
E-Mail: info@fahrchat.de
(nachfolgend "Auftragnehmer")

Der Auftraggeber und der Auftragnehmer werden gemeinsam als "Parteien" bezeichnet.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der FahrChat-Plattform (SaaS) gemäß dem zwischen den Parteien geschlossenen Nutzungsvertrag (Hauptvertrag).

(2) Die Dauer dieser Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages.

(3) Gegenstand der Verarbeitung ist die Bereitstellung einer Plattform zur WhatsApp-basierten Kommunikation zwischen Fahrschulen und deren Fahrschülern, einschließlich automatisierter Terminverwaltung, Schülerverwaltung und Benachrichtigungen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung und Verwaltung von Fahrschülerdaten (Name, Telefonnummer, E-Mail)
• Verarbeitung von WhatsApp-Nachrichten zur automatisierten Terminbuchung
• Verwaltung von Terminen und Verfügbarkeiten
• Versand von Benachrichtigungen und Erinnerungen
• KI-gestützte Verarbeitung von Kundenanfragen
• Geocoding von Treffpunkt-Adressen

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

• Stammdaten (Vor- und Nachname)
• Kontaktdaten (Telefonnummer, E-Mail-Adresse)
• Kommunikationsdaten (WhatsApp-Nachrichten)
• Termindaten (Datum, Uhrzeit, Treffpunkt)
• Nutzungsdaten (Login-Zeiten, Dashboard-Nutzung)
• Standortdaten (Treffpunkt-Adressen, Geocoding-Koordinaten)

§ 4 Kategorien betroffener Personen

• Fahrschüler des Auftraggebers
• Fahrlehrer des Auftraggebers
• Mitarbeiter und Inhaber der Fahrschule

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, es sei denn, der Auftragnehmer ist durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7).

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei:

• Sicherheit der Verarbeitung (Art. 32 DSGVO)
• Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO)
• Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
• Vorherige Konsultation (Art. 36 DSGVO)

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.

(6) Nach Abschluss der Verarbeitung löscht der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Die Löschung erfolgt spätestens 30 Tage nach Vertragsbeendigung.

(7) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden.

§ 6 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter einzusetzen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.

(2) Folgende Unterauftragsverarbeiter werden zum Zeitpunkt des Vertragsschlusses eingesetzt:

(3) Der Auftragnehmer stellt sicher, dass jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden, die in diesem Vertrag festgelegt sind. Für das Verschulden von Unterauftragsverarbeitern haftet der Auftragnehmer wie für eigenes Verschulden.

(4) Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks (DPF) bzw. Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

§ 7 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft insbesondere folgende Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verschlüsselte Datenübertragung (TLS/HTTPS)
• Verschlüsselung der Datenbank (AES-256, Encryption at Rest)
• Zugriffskontrolle durch rollenbasierte Berechtigungen (Row Level Security)
• Authentifizierung über Supabase Auth mit verschlüsselten Passwörtern
• API-Schlüssel und Zugangsdaten werden in sicheren Umgebungsvariablen gespeichert

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Eingabevalidierung auf allen Systemgrenzen (API, Datenbank-Trigger)
• Automatisierte Datenbank-Backups
• Protokollierung von Datenänderungen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Hosting auf redundanter Cloud-Infrastruktur (Vercel Edge Network, Supabase Cloud)
• Automatische Skalierung bei erhöhter Last
• Regelmäßige Datenbank-Backups mit Wiederherstellungsmöglichkeit

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung der Zugriffsberechtigungen
• Sicherheitsupdates und Patches zeitnah einspielen
• Überwachung der Systeme auf unberechtigte Zugriffe

§ 8 Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung enthält mindestens:

• Eine Beschreibung der Art der Verletzung
• Die Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
• Eine Beschreibung der wahrscheinlichen Folgen
• Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

(2) Die Meldung erfolgt per E-Mail an die vom Auftraggeber hinterlegte E-Mail-Adresse.

§ 9 Rechte der betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 15–22 DSGVO durch geeignete technische und organisatorische Maßnahmen.

(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

(2) Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen Format exportiert und dem Auftraggeber zur Verfügung gestellt.

(3) Die Löschung erfolgt spätestens 30 Tage nach Vertragsbeendigung. Der Auftragnehmer bestätigt die vollständige Löschung auf Anfrage schriftlich.

§ 11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrages.

§ 12 Schlussbestimmungen

(1) Dieser AVV wird mit Abschluss des Hauptvertrages (Registrierung und Zustimmung zu den AGB) wirksam.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

(4) Es gilt das Recht der Bundesrepublik Deutschland.

Stand: März 2026