Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch Einfach Anfrage als Auftragsverarbeiter im Sinne des Art. 28 DSGVO.
[Name des Tätowierers / Studio-Name]
[Straße, Hausnummer]
[PLZ Ort]
[E-Mail-Adresse]
(nachfolgend „Verantwortlicher")
Sandra Holm
Einfach Anfrage
Wielandstr. 11, 12159 Berlin
(nachfolgend „Auftragsverarbeiter")
Verantwortlicher und Auftragsverarbeiter werden nachfolgend gemeinsam auch als „Parteien" bezeichnet.
Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Rahmen des Dienstes „Einfach Anfrage" (SaaS-Anfrage-Widget für Tätowierer). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten der Kunden des Verantwortlichen (Tattoo-Interessenten, die über das Widget eine Anfrage stellen).
Die Verarbeitung erfolgt ausschließlich zur Ermöglichung folgender Funktionen:
Eine Verarbeitung zu anderen Zwecken – insbesondere zu Werbezwecken, für eigene Analysen oder zur Weitergabe an Dritte – findet nicht statt.
Personen, die über das Widget des Verantwortlichen eine Tattoo-Anfrage einreichen (Kunden des Verantwortlichen).
Hinweis zu Gesundheitsdaten: Die freiwilligen Angaben zu Allergien und Hautunverträglichkeiten können im Sinne des Art. 9 DSGVO als Gesundheitsdaten einzustufen sein. Die Verarbeitung erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung der betroffenen Personen (Art. 9 Abs. 2 lit. a DSGVO), die im Widget eingeholt wird.
Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien bestehenden Nutzungsvertrags über den Dienst „Einfach Anfrage".
Nach Vertragsende werden die Daten gemäß den in der Datenschutzerklärung des Auftragsverarbeiters definierten Fristen automatisch gelöscht (wöchentlicher Bereinigungslauf). Auf ausdrücklichen Wunsch des Verantwortlichen erfolgt die Löschung früher.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall informiert er den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, sofern das jeweilige Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
Die Weisungen des Verantwortlichen ergeben sich aus dem Nutzungsvertrag, diesen AGB, diesem AVV und etwaigen ergänzenden schriftlichen Weisungen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO. Diese sind in Anlage 2 dieses Vertrags festgelegt. Der Auftragsverarbeiter ist berechtigt, die TOM weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.
Der Auftragsverarbeiter setzt die in Anlage 1 aufgeführten Unterauftragsverarbeiter ein. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung für den Einsatz der dort genannten Unterauftragsverarbeiter.
Bei beabsichtigten Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig, mindestens jedoch vier (4) Wochen vor Wirksamwerden der Änderung. Der Verantwortliche kann Änderungen aus berechtigten, schriftlich darzulegenden Gründen widersprechen.
Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter vertraglich gleichwertige Datenschutzverpflichtungen übernehmen wie diejenigen in diesem Vertrag.
Soweit möglich, unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Rechte der betroffenen Personen (Art. 15–22 DSGVO): insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.
Geht beim Auftragsverarbeiter direkt ein Antrag einer betroffenen Person ein, leitet er diesen unverzüglich an den Verantwortlichen weiter.
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO:
Im Falle einer Verletzung des Schutzes personenbezogener Daten unterrichtet der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden.
Nach Abschluss der Erbringung der Verarbeitungsleistungen (Vertragsende) löscht der Auftragsverarbeiter alle personenbezogenen Daten im Rahmen der automatischen Bereinigungsroutine oder auf ausdrückliche Weisung des Verantwortlichen früher. Dies schließt alle Kopien ein, soweit nicht eine Verpflichtung nach Unionsrecht oder dem Recht eines Mitgliedstaats zur weiteren Aufbewahrung besteht.
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zur Nachweisführung der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten erforderlich sind. Er ermöglicht Überprüfungen durch den Verantwortlichen oder von diesem beauftragte Prüfer und trägt zu diesen bei.
Kontrollen werden mit angemessener Vorankündigung (mindestens 14 Tage) und während üblicher Geschäftszeiten durchgeführt, um den laufenden Betrieb nicht zu beeinträchtigen.
Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Anforderungen auf seiner Seite allein verantwortlich. Insbesondere stellt er sicher, dass:
Jede Partei haftet gegenüber der anderen Partei nach den allgemeinen gesetzlichen Bestimmungen, soweit diese durch einen Verstoß gegen ihre jeweiligen Pflichten aus diesem Vertrag entstanden sind.
Die Haftungsbeschränkungen aus § 10 der AGB gelten auch für diesen Vertrag, soweit die Haftung des Auftragsverarbeiters im Verhältnis zum Verantwortlichen betroffen ist.
Sofern ein Dritter (betroffene Person) gegen eine Partei Ansprüche geltend macht, die in der Verantwortung der anderen Partei liegen, ist die andere Partei verpflichtet, die erstzugenannte Partei von diesen Ansprüchen freizustellen.
Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Änderungen oder Ergänzungen dieses Vertrags bedürfen der Textform.
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
Dieser Vertrag ersetzt etwaige frühere Vereinbarungen der Parteien zur Auftragsverarbeitung.
Lies den Vertrag durch und bestätige deine Zustimmung unten. Die Online-Bestätigung gilt als Textform nach § 126b BGB und hat dieselbe Rechtswirkung wie eine Unterschrift. Du bekommst sofort eine Bestätigungs-E-Mail als Nachweis.
Eine Bestätigungs-E-Mail ist unterwegs zu dir.
Du meldest dich bei mir, sobald du bereit bist.
Folgende Unterauftragsverarbeiter werden vom Auftragsverarbeiter zur Erbringung der Kernleistungen eingesetzt:
| Anbieter | Zweck | Sitz / Serverstandort | Übermittlungsgrundlage |
|---|---|---|---|
| Supabase Inc. 970 Toa Payoh North #07-04, Singapur |
Speicherung der Anfragedaten (PostgreSQL-Datenbank) und der Referenzbilder (Objektspeicher) | Server: EU (Frankfurt, AWS eu-central-1) | Standardvertragsklauseln der EU-Kommission (SCCs) supabase.com/privacy |
| Resend Inc. 2261 Market Street STE 5913, San Francisco, CA 94114, USA |
Transaktionaler E-Mail-Versand (Benachrichtigungen an Tätowierer, Bestätigungen an Anfragende) | USA | Standardvertragsklauseln der EU-Kommission (SCCs) resend.com/legal/privacy-policy |
| Vercel Inc. 340 Pine Street, Suite 701, San Francisco, CA 94104, USA |
Hosting der Webanwendung, API-Endpunkte, Serverless Functions und automatische Bereinigungsroutinen | USA (Edge-Netzwerk global; API-Logik primär EU-Region) | Standardvertragsklauseln der EU-Kommission (SCCs) vercel.com/legal/privacy-policy |
Änderungen an dieser Liste werden dem Verantwortlichen gemäß § 4 Abs. 4 dieses Vertrags rechtzeitig mitgeteilt.
Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen werden laufend an den Stand der Technik angepasst.
| Schutzziel | Maßnahmen |
|---|---|
| Verschlüsselung der Übertragung | Alle Datenübertragungen zwischen Nutzer und Server erfolgen ausschließlich über HTTPS/TLS (mindestens TLS 1.2). Das SSL-Zertifikat wird automatisch über Vercel bereitgestellt und erneuert. |
| Verschlüsselung der Speicherung | Daten in der Supabase-Datenbank werden at rest verschlüsselt (AES-256, bereitgestellt durch AWS/Supabase). Referenzbilder im Objektspeicher werden ebenfalls verschlüsselt gespeichert. |
| Zugriffskontrolle – Tätowierer | Zugang zum Dashboard erfolgt über individuelle Zugangsdaten (Slug + Passwort). Passwörter werden ausschließlich als bcrypt-Hash (Kostenfaktor 12) gespeichert; das Klartextpasswort ist dem Auftragsverarbeiter nicht bekannt. Nach dem Login wird ein kurzlebiges JWT-Token (sessionStorage, kein persistenter Cookie) verwendet. |
| Zugriffskontrolle – interne Systeme | Zugang zur Datenbankverwaltung über Supabase Dashboard erfolgt ausschließlich mit dem Administrator-Account der Anbieterin (2FA aktiviert). API-Endpunkte für Verwaltungsoperationen sind durch ein separates TOKEN_SECRET geschützt. |
| Datensparsamkeit | Das Widget erhebt nur die für die Anfrage notwendigen Daten. Alle nicht zwingend erforderlichen Felder sind als optional gekennzeichnet. Es werden keine Tracking-Cookies, keine Analytics-Skripte und keine Nutzerprofile erstellt. |
| Bilder / Dateizugang | Referenzbilder werden in einem privaten Supabase-Bucket gespeichert. Der Direktzugriff auf Bucketdaten ist ohne gültige Authentifizierung nicht möglich. Bildvorschauen im Dashboard erfolgen über direkte HTTPS-URLs, die nur für authentifizierte Dashboard-Nutzer zugänglich sind. |
| Datentrennung | Jeder Tätowierer sieht ausschließlich eigene Anfragen. Die Trennung wird auf Datenbankebene durch einen photographer_slug-Filter in allen Abfragen sowie auf API-Ebene durch die Token-Authentifizierung sichergestellt. |
| Löschung und Aufbewahrungsfristen | Ein automatischer Bereinigungslauf (Cron-Job, wöchentlich sonntags 03:00 Uhr) löscht Datensätze gemäß den definierten Aufbewahrungsfristen (archiviert: 6 Monate; offen: 24 Monate; beauftragt: 36 Monate). Die Löschung umfasst sowohl Datenbankeinträge als auch zugehörige Dateien im Objektspeicher. |
| Sicherheitsupdates | Abhängigkeiten (npm-Pakete) werden regelmäßig auf Sicherheitslücken geprüft und aktualisiert. Das Hosting durch Vercel stellt automatisch aktuelle Laufzeitumgebungen bereit. |
| Datensicherung | Supabase erstellt tägliche automatische Backups der Datenbank (Point-in-time Recovery je nach Supabase-Plan). Für Objektspeicher-Daten (Bilder) wird keine separate Sicherungskopie erstellt; bei Verlust sind die Daten nicht wiederherstellbar. |
| Incident Response | Bei Kenntnis einer Datenpanne informiert die Anbieterin den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden, per E-Mail. Die Meldung enthält Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl betroffener Personen und ergriffene Maßnahmen. |
Stand: Mai 2026 · Version 1.0