DSGVO · Art. 28

Auftragsverarbeitungs­vertrag

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch Einfach Anfrage als Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

Vertragsparteien

Verantwortlicher

[Name des Tätowierers / Studio-Name]

[Straße, Hausnummer]

[PLZ Ort]

[E-Mail-Adresse]

(nachfolgend „Verantwortlicher")

Auftragsverarbeiter

Sandra Holm

Einfach Anfrage

Wielandstr. 11, 12159 Berlin

einfachanfrage@outlook.com

(nachfolgend „Auftragsverarbeiter")

Verantwortlicher und Auftragsverarbeiter werden nachfolgend gemeinsam auch als „Parteien" bezeichnet.

§ 1 Gegenstand, Art und Zweck der Verarbeitung

Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Rahmen des Dienstes „Einfach Anfrage" (SaaS-Anfrage-Widget für Tätowierer). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten der Kunden des Verantwortlichen (Tattoo-Interessenten, die über das Widget eine Anfrage stellen).

Die Verarbeitung erfolgt ausschließlich zur Ermöglichung folgender Funktionen:

Eine Verarbeitung zu anderen Zwecken – insbesondere zu Werbezwecken, für eigene Analysen oder zur Weitergabe an Dritte – findet nicht statt.

§ 2 Art der Daten und Kategorien der Betroffenen

2.1 Kategorien betroffener Personen

Personen, die über das Widget des Verantwortlichen eine Tattoo-Anfrage einreichen (Kunden des Verantwortlichen).

2.2 Verarbeitete Datenkategorien

Hinweis zu Gesundheitsdaten: Die freiwilligen Angaben zu Allergien und Hautunverträglichkeiten können im Sinne des Art. 9 DSGVO als Gesundheitsdaten einzustufen sein. Die Verarbeitung erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung der betroffenen Personen (Art. 9 Abs. 2 lit. a DSGVO), die im Widget eingeholt wird.

§ 3 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien bestehenden Nutzungsvertrags über den Dienst „Einfach Anfrage".

Nach Vertragsende werden die Daten gemäß den in der Datenschutzerklärung des Auftragsverarbeiters definierten Fristen automatisch gelöscht (wöchentlicher Bereinigungslauf). Auf ausdrücklichen Wunsch des Verantwortlichen erfolgt die Löschung früher.

§ 4 Pflichten des Auftragsverarbeiters

4.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall informiert er den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, sofern das jeweilige Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

Die Weisungen des Verantwortlichen ergeben sich aus dem Nutzungsvertrag, diesen AGB, diesem AVV und etwaigen ergänzenden schriftlichen Weisungen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

4.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

4.3 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO. Diese sind in Anlage 2 dieses Vertrags festgelegt. Der Auftragsverarbeiter ist berechtigt, die TOM weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

4.4 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt die in Anlage 1 aufgeführten Unterauftragsverarbeiter ein. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung für den Einsatz der dort genannten Unterauftragsverarbeiter.

Bei beabsichtigten Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig, mindestens jedoch vier (4) Wochen vor Wirksamwerden der Änderung. Der Verantwortliche kann Änderungen aus berechtigten, schriftlich darzulegenden Gründen widersprechen.

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter vertraglich gleichwertige Datenschutzverpflichtungen übernehmen wie diejenigen in diesem Vertrag.

4.5 Unterstützung bei Betroffenenrechten

Soweit möglich, unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Rechte der betroffenen Personen (Art. 15–22 DSGVO): insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.

Geht beim Auftragsverarbeiter direkt ein Antrag einer betroffenen Person ein, leitet er diesen unverzüglich an den Verantwortlichen weiter.

4.6 Unterstützung bei weiteren Pflichten des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO:

Im Falle einer Verletzung des Schutzes personenbezogener Daten unterrichtet der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden.

4.7 Löschung und Rückgabe von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen (Vertragsende) löscht der Auftragsverarbeiter alle personenbezogenen Daten im Rahmen der automatischen Bereinigungsroutine oder auf ausdrückliche Weisung des Verantwortlichen früher. Dies schließt alle Kopien ein, soweit nicht eine Verpflichtung nach Unionsrecht oder dem Recht eines Mitgliedstaats zur weiteren Aufbewahrung besteht.

4.8 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zur Nachweisführung der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten erforderlich sind. Er ermöglicht Überprüfungen durch den Verantwortlichen oder von diesem beauftragte Prüfer und trägt zu diesen bei.

Kontrollen werden mit angemessener Vorankündigung (mindestens 14 Tage) und während üblicher Geschäftszeiten durchgeführt, um den laufenden Betrieb nicht zu beeinträchtigen.

§ 5 Pflichten des Verantwortlichen

Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Anforderungen auf seiner Seite allein verantwortlich. Insbesondere stellt er sicher, dass:

§ 6 Haftung

Jede Partei haftet gegenüber der anderen Partei nach den allgemeinen gesetzlichen Bestimmungen, soweit diese durch einen Verstoß gegen ihre jeweiligen Pflichten aus diesem Vertrag entstanden sind.

Die Haftungsbeschränkungen aus § 10 der AGB gelten auch für diesen Vertrag, soweit die Haftung des Auftragsverarbeiters im Verhältnis zum Verantwortlichen betroffen ist.

Sofern ein Dritter (betroffene Person) gegen eine Partei Ansprüche geltend macht, die in der Verantwortung der anderen Partei liegen, ist die andere Partei verpflichtet, die erstzugenannte Partei von diesen Ansprüchen freizustellen.

§ 7 Schlussbestimmungen

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Änderungen oder Ergänzungen dieses Vertrags bedürfen der Textform.

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Dieser Vertrag ersetzt etwaige frühere Vereinbarungen der Parteien zur Auftragsverarbeitung.

Jetzt online bestätigen

Lies den Vertrag durch und bestätige deine Zustimmung unten. Die Online-Bestätigung gilt als Textform nach § 126b BGB und hat dieselbe Rechtswirkung wie eine Unterschrift. Du bekommst sofort eine Bestätigungs-E-Mail als Nachweis.

AVV bestätigt

Eine Bestätigungs-E-Mail ist unterwegs zu dir.
Du meldest dich bei mir, sobald du bereit bist.

Anlage 1 – Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden vom Auftragsverarbeiter zur Erbringung der Kernleistungen eingesetzt:

Anbieter Zweck Sitz / Serverstandort Übermittlungsgrundlage
Supabase Inc.
970 Toa Payoh North #07-04, Singapur
Speicherung der Anfragedaten (PostgreSQL-Datenbank) und der Referenzbilder (Objektspeicher) Server: EU (Frankfurt, AWS eu-central-1) Standardvertragsklauseln der EU-Kommission (SCCs)
supabase.com/privacy
Resend Inc.
2261 Market Street STE 5913, San Francisco, CA 94114, USA
Transaktionaler E-Mail-Versand (Benachrichtigungen an Tätowierer, Bestätigungen an Anfragende) USA Standardvertragsklauseln der EU-Kommission (SCCs)
resend.com/legal/privacy-policy
Vercel Inc.
340 Pine Street, Suite 701, San Francisco, CA 94104, USA
Hosting der Webanwendung, API-Endpunkte, Serverless Functions und automatische Bereinigungsroutinen USA (Edge-Netzwerk global; API-Logik primär EU-Region) Standardvertragsklauseln der EU-Kommission (SCCs)
vercel.com/legal/privacy-policy

Änderungen an dieser Liste werden dem Verantwortlichen gemäß § 4 Abs. 4 dieses Vertrags rechtzeitig mitgeteilt.

Anlage 2 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen werden laufend an den Stand der Technik angepasst.

Schutzziel Maßnahmen
Verschlüsselung der Übertragung Alle Datenübertragungen zwischen Nutzer und Server erfolgen ausschließlich über HTTPS/TLS (mindestens TLS 1.2). Das SSL-Zertifikat wird automatisch über Vercel bereitgestellt und erneuert.
Verschlüsselung der Speicherung Daten in der Supabase-Datenbank werden at rest verschlüsselt (AES-256, bereitgestellt durch AWS/Supabase). Referenzbilder im Objektspeicher werden ebenfalls verschlüsselt gespeichert.
Zugriffskontrolle – Tätowierer Zugang zum Dashboard erfolgt über individuelle Zugangsdaten (Slug + Passwort). Passwörter werden ausschließlich als bcrypt-Hash (Kostenfaktor 12) gespeichert; das Klartextpasswort ist dem Auftragsverarbeiter nicht bekannt. Nach dem Login wird ein kurzlebiges JWT-Token (sessionStorage, kein persistenter Cookie) verwendet.
Zugriffskontrolle – interne Systeme Zugang zur Datenbankverwaltung über Supabase Dashboard erfolgt ausschließlich mit dem Administrator-Account der Anbieterin (2FA aktiviert). API-Endpunkte für Verwaltungsoperationen sind durch ein separates TOKEN_SECRET geschützt.
Datensparsamkeit Das Widget erhebt nur die für die Anfrage notwendigen Daten. Alle nicht zwingend erforderlichen Felder sind als optional gekennzeichnet. Es werden keine Tracking-Cookies, keine Analytics-Skripte und keine Nutzerprofile erstellt.
Bilder / Dateizugang Referenzbilder werden in einem privaten Supabase-Bucket gespeichert. Der Direktzugriff auf Bucketdaten ist ohne gültige Authentifizierung nicht möglich. Bildvorschauen im Dashboard erfolgen über direkte HTTPS-URLs, die nur für authentifizierte Dashboard-Nutzer zugänglich sind.
Datentrennung Jeder Tätowierer sieht ausschließlich eigene Anfragen. Die Trennung wird auf Datenbankebene durch einen photographer_slug-Filter in allen Abfragen sowie auf API-Ebene durch die Token-Authentifizierung sichergestellt.
Löschung und Aufbewahrungsfristen Ein automatischer Bereinigungslauf (Cron-Job, wöchentlich sonntags 03:00 Uhr) löscht Datensätze gemäß den definierten Aufbewahrungsfristen (archiviert: 6 Monate; offen: 24 Monate; beauftragt: 36 Monate). Die Löschung umfasst sowohl Datenbankeinträge als auch zugehörige Dateien im Objektspeicher.
Sicherheitsupdates Abhängigkeiten (npm-Pakete) werden regelmäßig auf Sicherheitslücken geprüft und aktualisiert. Das Hosting durch Vercel stellt automatisch aktuelle Laufzeitumgebungen bereit.
Datensicherung Supabase erstellt tägliche automatische Backups der Datenbank (Point-in-time Recovery je nach Supabase-Plan). Für Objektspeicher-Daten (Bilder) wird keine separate Sicherungskopie erstellt; bei Verlust sind die Daten nicht wiederherstellbar.
Incident Response Bei Kenntnis einer Datenpanne informiert die Anbieterin den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden, per E-Mail. Die Meldung enthält Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl betroffener Personen und ergriffene Maßnahmen.

Stand: Mai 2026 · Version 1.0