repair.dspatcha
Trust Center

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen

Christoph C. Kermer, handelnd unter „repair dspatcha" Pettenkoferstr. 9 10247 Berlin Deutschland Telefon: +49 170 120 1613 E-Mail: datenschutz@repair.dspatcha.com

– nachfolgend „Auftragsverarbeiter" oder „dspatcha" –

und

dem Kunden, der die SaaS-Plattform „repair dspatcha" nutzt (im Folgenden gemäß den Stammdaten des Hauptvertrags definiert)

– nachfolgend „Verantwortlicher" oder „Kunde" –

– gemeinsam die „Parteien" –

Stand: 29.04.2026 · Version 1.0

Präambel

Die Parteien haben einen Hauptvertrag über die Nutzung der SaaS-Plattform „repair dspatcha" geschlossen (nachfolgend „Hauptvertrag"). Im Rahmen der Erbringung der vertraglichen Leistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO und gilt zusätzlich zum Hauptvertrag. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags in datenschutzrechtlichen Fragen vor.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen ausschließlich zum Zweck der Bereitstellung und des Betriebs der SaaS-Plattform „repair dspatcha" gemäß Hauptvertrag.

(2) Dauer: Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Die Vorgaben dieses Vertrags zur Rückgabe und Löschung der Daten (§ 11) bleiben über das Vertragsende hinaus gültig.

§ 2 Art und Zweck der Verarbeitung

(1) Zweck: Bereitstellung einer Werkstatt-Management-Plattform für Reparaturbetriebe, einschließlich:

  • Verwaltung von Reparaturaufträgen und Geräteinformationen
  • Kommunikation mit Endkunden des Verantwortlichen (z. B. Statusupdates, Kostenvoranschläge, Rechnungen)
  • Werkstattorganisation, Mitarbeiter- und Kapazitätsmanagement
  • Erstellung kaufmännischer Dokumente (Auftragsbestätigung, KVA, Rechnung)
  • Statistik- und Reporting-Funktionen für den Verantwortlichen

(2) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten – jeweils im Rahmen der Plattformfunktionalität.

§ 3 Art der personenbezogenen Daten

Verarbeitet werden insbesondere folgende Datenkategorien:

Endkunden des Verantwortlichen:

  • Stamm- und Kontaktdaten (Name, Anschrift, E-Mail, Telefon)
  • Gerätedaten (Hersteller, Modell, Seriennummer, IMEI, Schadensbild)
  • Auftrags- und Vorgangsdaten (Auftragsnummer, Status, Historie, Preise)
  • Kommunikationsdaten (E-Mails, Nachrichten, Statusabfragen via QR-Code)
  • E-Mail-Versand-Metadaten (Zustellstatus, Bounces, Öffnungs- und Klick-Ereignisse, soweit vom Verantwortlichen aktiviert)
  • Zahlungs- und Rechnungsdaten (Rechnungsnummer, Betrag, Zahlart – ohne Speicherung von Bankdaten oder vollständigen Kreditkartennummern beim Auftragsverarbeiter)
  • Gegebenenfalls Foto-Uploads (Gerätezustand, Schäden)

Mitarbeiter des Verantwortlichen:

  • Anmeldedaten (Name, E-Mail, Rollenzuweisung)
  • Aktivitätsdaten (Login-Zeitpunkte, durchgeführte Statusänderungen, IP-Adressen in Logs)

§ 4 Kategorien betroffener Personen

  • Endkunden des Verantwortlichen (Auftraggeber von Reparaturen)
  • Mitarbeiter und Hilfspersonen des Verantwortlichen
  • Gegebenenfalls vom Verantwortlichen benannte Dritte (z. B. Abholberechtigte)

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Recht der Union oder der Mitgliedstaaten zu einer anderen Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen die rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt. Er ist berechtigt, die Durchführung der entsprechenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

(3) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(4) Der Auftragsverarbeiter ergreift sämtliche gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM); diese sind in Anlage 1 beschrieben.

(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung folgender Pflichten:

  • a) Beantwortung von Anträgen betroffener Personen (Art. 12–22 DSGVO)
  • b) Sicherheit der Verarbeitung (Art. 32 DSGVO)
  • c) Meldung von Datenschutzverletzungen (Art. 33–34 DSGVO)
  • d) Datenschutz-Folgenabschätzung und vorherige Konsultation (Art. 35–36 DSGVO)

(6) Der Auftragsverarbeiter benennt – sofern gesetzlich verpflichtet – einen Datenschutzbeauftragten und teilt dessen Kontaktdaten dem Verantwortlichen mit. Sofern keine gesetzliche Pflicht zur Bestellung besteht, benennt der Auftragsverarbeiter eine datenschutzrechtliche Ansprechperson: Christoph C. Kermer, datenschutz@repair.dspatcha.com.

(7) Der Auftragsverarbeiter führt ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt es dem Verantwortlichen auf Anfrage zur Verfügung.

§ 6 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte betroffener Personen. Er stellt sicher, dass für jede Verarbeitung personenbezogener Daten in der Plattform eine geeignete Rechtsgrundlage gemäß Art. 6 (und ggf. Art. 9) DSGVO besteht.

(2) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er bei der Auftragsausführung Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Bestimmungen feststellt.

(3) Der Verantwortliche ist verpflichtet, seinen gesetzlichen Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO) eigenverantwortlich nachzukommen. Diese Pflichten treffen ihn als Verantwortlichen und werden vom Auftragsverarbeiter nicht übernommen. Der Auftragsverarbeiter stellt die hierfür erforderlichen Datenexport-Funktionen gemäß Hauptvertrag bereit.

(4) Der Verantwortliche benennt eine Ansprechperson für datenschutzrechtliche Fragen: [Pflicht zur Hinterlegung in der Plattform / oder separat per Textform mitzuteilen].

§ 7 Weisungsbefugnis

(1) Der Verantwortliche hat das Recht, jederzeit Weisungen zur Verarbeitung der Daten zu erteilen.

(2) Weisungen erfolgen grundsätzlich in Textform (E-Mail genügt). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Innerhalb der Plattform vorgenommene Konfigurationen und Einstellungen gelten ebenfalls als Weisung.

(3) Weisungsberechtigt sind die im Hauptvertrag benannten Ansprechpersonen des Verantwortlichen oder von ihm bevollmächtigte Personen.

(4) Der Auftragsverarbeiter dokumentiert alle erteilten Weisungen.

§ 8 Subunternehmer (Subprozessoren)

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter mit Abschluss dieses Vertrags eine allgemeine schriftliche Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Subprozessoren) gemäß Art. 28 Abs. 2 Satz 2 DSGVO.

(2) Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subprozessoren sind in Anlage 2 abschließend gelistet, einschließlich Name, Anschrift, Verarbeitungszweck und Verarbeitungsort.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mit einer Vorlaufzeit von mindestens vier (4) Wochen in Textform (z. B. per E-Mail an die hinterlegte Datenschutz-Ansprechperson oder durch Benachrichtigung in der Plattform).

(4) Der Verantwortliche kann der Beauftragung innerhalb dieser Frist aus wichtigem datenschutzrechtlichen Grund in Textform widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt.

(5) Im Fall eines berechtigten Widerspruchs werden sich die Parteien um eine einvernehmliche Lösung bemühen. Kommt eine Einigung nicht zustande, ist der Auftragsverarbeiter berechtigt, den Hauptvertrag mit einer Frist von einem Monat zum Monatsende zu kündigen, sofern der Subprozessor für die Erbringung der Leistungen wesentlich ist.

(6) Der Auftragsverarbeiter erlegt jedem Subprozessor vertraglich Datenschutzpflichten auf, die den Pflichten dieses Vertrags entsprechen, insbesondere im Hinblick auf die in Art. 28 Abs. 3 DSGVO genannten Anforderungen.

(7) Die Verarbeitung durch Subprozessoren findet primär innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) statt. Soweit einzelne Subprozessoren oder deren Sub-Subprozessoren konzerninterne Funktionen (z. B. Support, Konzernverwaltung, technische Sub-Infrastrukturdienste) auch in Drittländern, insbesondere den USA, ausführen, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (insbesondere Standardvertragsklauseln gem. Durchführungsbeschluss (EU) 2021/914) und/oder unter dem EU-US Data Privacy Framework gemäß Art. 45 DSGVO (Angemessenheitsbeschluss vom 10. Juli 2023). Die konkreten Verarbeitungsorte und etwaige Drittlandbezüge sind für jeden Subprozessor in Anlage 2 dokumentiert.

§ 9 Technische und organisatorische Maßnahmen (TOM)

(1) Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO zu gewährleisten.

(2) Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter ist berechtigt, alternative Maßnahmen zu implementieren, sofern das Schutzniveau der vereinbarten Maßnahmen dadurch nicht unterschritten wird. Wesentliche Änderungen werden dem Verantwortlichen in Textform mitgeteilt.

§ 10 Datenschutzverletzungen, Unterstützungspflichten

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von vierundzwanzig (24) Stunden nach Kenntnisnahme.

(2) Die Meldung erfolgt in Textform an die hinterlegte Datenschutz-Ansprechperson und enthält mindestens:

  • a) Beschreibung der Art der Verletzung (Datenkategorien, Anzahl betroffener Personen, Anzahl betroffener Datensätze)
  • b) Name und Kontaktdaten der Ansprechperson beim Auftragsverarbeiter
  • c) Beschreibung der wahrscheinlichen Folgen
  • d) Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Eindämmung

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber Aufsichtsbehörden (Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO).

(4) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter zur Geltendmachung ihrer Rechte, leitet der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiter.

§ 11 Rückgabe und Löschung der Daten

(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen oder auf Weisung des Verantwortlichen löscht oder gibt der Auftragsverarbeiter sämtliche personenbezogenen Daten zurück.

(2) Datenexport: Der Verantwortliche kann während der Vertragslaufzeit jederzeit einen vollständigen Export seiner Daten in einem strukturierten, gängigen und maschinenlesbaren Format über die Plattform vornehmen.

(3) Auslaufphase: Nach Vertragsende wird dem Verantwortlichen für dreißig (30) Tage weiterhin die Möglichkeit zum Datenexport eingeräumt.

(4) Löschung: Nach Ablauf der Frist gemäß Abs. 3 werden alle personenbezogenen Daten des Verantwortlichen einschließlich Sicherungskopien gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten des Auftragsverarbeiters einer Löschung entgegenstehen.

(5) Die Löschung wird auf Anfrage des Verantwortlichen in Textform bestätigt.

§ 12 Kontroll- und Überprüfungsrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung der Vorschriften dieses Vertrags und der gesetzlichen Datenschutzbestimmungen durch den Auftragsverarbeiter zu überprüfen.

(2) Die Überprüfung erfolgt vorrangig durch:

  • a) Vorlage aktueller Zertifikate, Audit-Berichte oder vergleichbarer Nachweise (z. B. ISO 27001, BSI C5, SOC 2),
  • b) Selbstauskunft des Auftragsverarbeiters auf Basis eines schriftlichen Fragenkatalogs.

(3) Bei berechtigtem Anlass kann der Verantwortliche – nach vorheriger Anmeldung mit angemessener Frist von mindestens vier (4) Wochen, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs – eine Vor-Ort-Prüfung durchführen oder durch einen geeigneten Dritten durchführen lassen, der nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht.

(4) Die Kosten der Überprüfung trägt der Verantwortliche. Sofern die Prüfung wesentliche Verstöße aufdeckt, trägt der Auftragsverarbeiter die Kosten.

(5) Auf Anfrage einer Aufsichtsbehörde hin gewährt der Auftragsverarbeiter dieser den nach DSGVO erforderlichen Zugang.

§ 13 Haftung

Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags sowie die gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Die Haftungsregelungen des Hauptvertrags werden durch diesen Vertrag nicht eingeschränkt, soweit dies datenschutzrechtlich zulässig ist.

§ 14 Vertragsdauer, Kündigung

(1) Dieser Vertrag tritt mit Vertragsschluss des Hauptvertrags in Kraft und endet mit dessen Beendigung.

(2) Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere bei wesentlichen, trotz Aufforderung nicht abgestellten Verstößen gegen diesen Vertrag oder gegen Datenschutzrecht vor.

§ 15 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. An die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Vertragsübertragung: Der Auftragsverarbeiter ist berechtigt, sämtliche Rechte und Pflichten aus diesem Vertrag ohne gesonderte Zustimmung des Verantwortlichen auf einen Dritten zu übertragen, wenn

  • a) es sich bei dem Dritten um ein mit dem Auftragsverarbeiter verbundenes Unternehmen i. S. d. §§ 15 ff. AktG handelt oder um eine Gesellschaft, an der der Auftragsverarbeiter mehrheitlich beteiligt ist oder die der Auftragsverarbeiter kontrolliert (insbesondere bei Umwandlung des Einzelunternehmens in eine Kapitalgesellschaft), oder
  • b) die Übertragung im Rahmen einer Umwandlung nach dem Umwandlungsgesetz oder eines Asset-Deals im Zuge eines Unternehmensverkaufs erfolgt und der übernehmende Rechtsträger sämtliche Pflichten aus diesem Vertrag in unveränderter Form übernimmt.

Der Auftragsverarbeiter wird den Verantwortlichen über die Übertragung mit einer Frist von vier (4) Wochen in Textform informieren. Im Fall einer Übertragung nach lit. b steht dem Verantwortlichen ein Sonderkündigungsrecht zum Wirksamkeitsdatum der Übertragung zu.

(4) Es gilt das Recht der Bundesrepublik Deutschland.

(5) Gerichtsstand ist – sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist – Berlin.

Berlin, 29.04.2026

__________________________________ Auftragsverarbeiter (dspatcha)

__________________________________ Verantwortlicher (Kunde)

Anlage 1 – Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Schutz vor unbefugtem Zutritt zu den Datenverarbeitungsanlagen.

  • Hosting in zertifizierten Rechenzentren in Deutschland (ISO 27001-zertifiziert)
  • Mehrstufige physische Zutrittskontrolle durch den Hosting-Provider (Zutrittsausweise, Vereinzelungsanlagen, Videoüberwachung, 24/7-Sicherheitspersonal)
  • Keine physischen Server beim Auftragsverarbeiter selbst (reines Cloud-Setup)

1.2 Zugangskontrolle

Schutz vor unbefugter Systemnutzung.

  • Authentifizierung über individuelle Benutzerkonten mit Passwortpflicht (Mindestkomplexität, regelmäßige Rotation für administrative Zugänge)
  • Two-Factor-Authentication (2FA) für administrative Zugänge verpflichtend
  • Automatisches Sperren von Sitzungen bei Inaktivität
  • Verschlüsselte Datenübertragung via TLS 1.2+ (HTTPS) für alle Plattform-Zugänge
  • Schutz administrativer Zugänge durch SSH-Keys, kein Passwort-Login auf Servern

1.3 Zugriffskontrolle

Sicherstellung, dass nur berechtigte Personen auf die ihnen zugewiesenen Daten zugreifen.

  • Rollen- und Rechtekonzept innerhalb der Plattform (Mandantentrennung)
  • Multi-Tenancy mit Row-Level Security (RLS) auf Datenbankebene – Mandantendaten sind technisch voneinander isoliert
  • Need-to-know-Prinzip für Mitarbeiter des Auftragsverarbeiters
  • Protokollierung administrativer Zugriffe
  • Dokumentiertes Berechtigungsmanagement

1.4 Trennungskontrolle

Getrennte Verarbeitung von Daten mit unterschiedlichen Zwecken.

  • Logische Trennung der Mandantendaten in der Datenbank (RLS)
  • Getrennte Umgebungen für Produktion, Staging und Entwicklung
  • Keine Verwendung produktiver personenbezogener Daten in Test- und Entwicklungsumgebungen

1.5 Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

  • Verschlüsselung der Datenübertragung (TLS 1.2+)
  • Verschlüsselung der Datenspeicherung (Encryption at Rest auf Datenträger- und Datenbankebene)
  • Passwörter werden ausschließlich als Hash mit modernem Algorithmus (z. B. bcrypt, Argon2) gespeichert

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

Schutz bei elektronischer Übertragung.

  • Verschlüsselte Datenübertragung (TLS 1.2+) bei allen Verbindungen zwischen Client und Server sowie zwischen Servern
  • Verschlüsselter Versand von Transaktions-E-Mails (TLS, soweit vom Empfangsserver unterstützt)

2.2 Eingabekontrolle

Nachvollziehbarkeit, wer wann welche Daten verändert hat.

  • Audit-Logs für sicherheitsrelevante Aktionen (Anmeldungen, Statusänderungen, administrative Eingriffe)
  • Nachvollziehbarkeit von Statusänderungen über das Event-Log der Plattform
  • Aufbewahrung der Logs für mindestens 90 Tage

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Verfügbarkeitskontrolle

Schutz vor Zerstörung und Verlust.

  • Tägliche automatisierte Backups der Datenbank
  • Redundante Speicherung der Backups in geografisch getrenntem Rechenzentrum innerhalb Deutschlands / EU
  • Aufbewahrung der Backups für mindestens 30 Tage rollierend
  • Einsatz redundanter Systemkomponenten (u. a. Load Balancer, Datenbank-Replikation, sofern vom Setup vorgesehen)
  • Schutz vor DDoS-Angriffen durch Hosting-Provider
  • Anti-Malware-Schutz auf Servern, regelmäßige Sicherheitsupdates

3.2 Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

  • Dokumentierte Wiederherstellungsprozesse
  • Regelmäßige Tests der Backup-Wiederherstellung

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

4.1 Datenschutz-Management

  • Schriftliche Datenschutzrichtlinien für Mitarbeiter
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis und die Vertraulichkeit
  • Regelmäßige Schulung der Mitarbeiter
  • Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO

4.2 Incident-Response-Management

  • Dokumentierter Prozess zur Erkennung und Behandlung von Sicherheitsvorfällen
  • Meldekette bei Datenschutzverletzungen (siehe § 10 dieses Vertrags)

4.3 Auftragskontrolle

  • Sorgfältige Auswahl von Subprozessoren
  • Vertragliche Verpflichtung der Subprozessoren auf gleichwertiges Datenschutzniveau
  • Regelmäßige Überprüfung der Subprozessoren

4.4 Datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)

  • Privacy by Design und Privacy by Default
  • Datensparsame Verarbeitung
  • Kurze Aufbewahrungsfristen, soweit gesetzlich zulässig

Anlage 2 – Liste der Subprozessoren

Stand: 29.04.2026

SubprozessorAnschriftVerarbeitungszweckVerarbeitungsort
Hetzner Online GmbHIndustriestraße 25, 91710 Gunzenhausen, DeutschlandHosting der Plattform-Infrastruktur (Marketing-Website, Delivery-Server, Datenbank, Backups)Deutschland (Rechenzentren in Nürnberg und/oder Falkenstein)
Mailjet GmbH (Sinch-Gruppe)Alt-Moabit 2, 10557 Berlin, DeutschlandVersand von Transaktions-E-Mails an den Verantwortlichen (Plattform-Benachrichtigungen, Rechnungen) sowie an dessen Endkunden (Auftragsbestätigungen, Statusupdates, Kostenvoranschläge, Rechnungen, sonstige auftragsbezogene Kommunikation), inkl. Verarbeitung der zugehörigen Versand-MetadatenHauptverarbeitung: EU (Rechenzentren in Frankreich und Belgien). Konzerninterne Sub-Subprozesse (Support, Konzernverwaltung) können Sinch-Konzerngesellschaften in Drittländern berühren (insb. Sinch America Inc., USA – DPF-zertifiziert, abgesichert über SCCs).
Stripe Payments Europe Ltd.The One Building, 1 Grand Canal Street Lower, Dublin 2, D02 H210, IrlandAbwicklung von Zahlungsvorgängen für die Plattformnutzung (Abonnement-Gebühren des Verantwortlichen ggü. dspatcha)EU (Irland)

Hinweise:

  • Die Hauptverarbeitung sämtlicher Subprozessoren findet innerhalb der EU/des EWR statt.
  • Konzerninterne Sub-Sub-Prozesse einzelner Anbieter (insbesondere bei Mailjet/Sinch und ggf. Stripe) können Drittlandgesellschaften berühren. Diese Übermittlungen sind durch den EU-US Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO) und/oder Standardvertragsklauseln gem. Art. 46 DSGVO abgesichert.
  • Stripe verarbeitet keine Endkundendaten des Verantwortlichen, sondern ausschließlich die Zahlungsdaten des Verantwortlichen selbst gegenüber dem Auftragsverarbeiter.
  • Mit allen Subprozessoren bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Aktualisierung dieser Anlage: Änderungen werden gemäß § 8 dieses Vertrags mit einer Vorlaufzeit von vier (4) Wochen in Textform mitgeteilt.