Auftragsverarbeitungsvertrag (AVV)

Nach Art. 28 DSGVO
Stand: 4. Mai 2026 — Version 3.2 (Korrigierte Release Edition)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien im Hinblick auf die Verarbeitung personenbezogener Daten, die im Rahmen der Nutzung der Software-as-a-Service-Plattform Augenblick-Control durch den Verantwortlichen entstehen.

Vertragsparteien sind:

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO: der Kunde, der die Plattform Augenblick-Control auf Grundlage der Allgemeinen Geschäftsbedingungen (AGB) des Anbieters nutzt (nachfolgend „Verantwortlicher" oder „Kunde").

Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO:
Augenblick-Effekt UG (haftungsbeschränkt)
Edisonstraße 8, 85716 Unterschleißheim, Deutschland
eingetragen im Handelsregister des Amtsgerichts München unter HRB 311945,
vertreten durch den Geschäftsführer Merab Tserodze
(nachfolgend „Auftragsverarbeiter" oder „Anbieter").

Hinweis zur doppelten Rolle des Anbieters: Im Rahmen der Plattformnutzung verarbeitet der Anbieter personenbezogene Daten in zwei unterschiedlichen Rollen:

• Als eigener Verantwortlicher verarbeitet der Anbieter Stamm- und Account-Daten des Kunden (Anmeldedaten, Vertragsdaten, Abrechnungsdaten). Diese Verarbeitung ist nicht Gegenstand dieses AVV, sondern in der Datenschutzerklärung des Anbieters geregelt.
• Als Auftragsverarbeiter im Sinne von Art. 28 DSGVO verarbeitet der Anbieter die vom Verantwortlichen in den Workspace eingebrachten Inhaltsdaten (Inspektionen, Objektdaten, Fotos, Subunternehmer-Daten, Gebäudedaten etc.). Ausschließlich diese Verarbeitung ist Gegenstand dieses AVV.

Dieser AVV ist Bestandteil der AGB des Anbieters (abrufbar unter https://augenblick-control.de/agb) und ergänzt diese um die nach Art. 28 DSGVO erforderlichen Regelungen. Im Falle von Widersprüchen zwischen diesem AVV und den AGB gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Plattform Augenblick-Control gemäß den AGB.

(2) Die Verarbeitung umfasst insbesondere:

• die Speicherung der vom Verantwortlichen eingebrachten Inhaltsdaten;
• die Bereitstellung dieser Daten zur Anzeige, Bearbeitung und zum Export für berechtigte Nutzer des Verantwortlichen;
• die Erstellung von DIN-konformen Prüfprotokollen aus den Inhaltsdaten;
• die Übermittlung von Benachrichtigungen (z. B. Push-Mitteilungen, E-Mails) im Auftrag und mit Inhalten des Verantwortlichen;
• die Datensicherung und Wiederherstellbarkeit gemäß den vereinbarten technischen Maßnahmen.

(3) Dauer der Verarbeitung: Die Auftragsverarbeitung beginnt mit der Aktivierung des kostenpflichtigen Tarifs gemäß den AGB und endet mit der Beendigung des Hauptvertrages, jedoch frühestens nach vollständiger Rückgabe oder Löschung der Daten gemäß § 16.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten — jeweils ausschließlich im Rahmen der Bereitstellung der Plattform Augenblick-Control.

(2) Zweck der Verarbeitung: Erbringung der vertraglich vereinbarten SaaS-Leistungen gemäß den AGB, insbesondere:

• digitale Verwaltung von Brandschutzprüfungen;
• Erstellung von DIN-konformen Prüfprotokollen;
• QR-Code-basierte Objekt- und Prüfgegenstandsverwaltung;
• Koordination zwischen Hauptauftragnehmer und Subunternehmern;
• Compliance-Archivierung und Audit-Trail (in den Tarifen Premium und Enterprise);
• Versand von Benachrichtigungen an Nutzer im Auftrag des Verantwortlichen.

(3) Eine Verarbeitung zu eigenen Zwecken des Anbieters — insbesondere zu Werbe-, Analyse- oder Profilingzwecken — findet nicht statt. Statistische Auswertungen erfolgen ausschließlich auf Basis vollständig anonymisierter Daten gemäß § 10 Abs. 3 der AGB.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:

• Identifikationsdaten: Vor- und Nachname, akademischer Titel, Funktion/Position;
• Kontaktdaten: dienstliche E-Mail-Adresse, dienstliche Telefonnummer;
• Authentifizierungsdaten: Login-Kennung, Passwort-Hash (PBKDF2, 600.000 Iterationen), Session-Token;
• Inhaltsdaten der Inspektionen: Prüfgegenstände, Prüfergebnisse, Mängelbeschreibungen, Hinweise, Fotos, digitale Unterschriften;
• Objekt- und Gebäudedaten: Adresse, Etagenpläne, Eigentümer-/Verwalter-Bezeichnungen (sofern vom Verantwortlichen erfasst);
• Kommunikationsdaten: Nachrichten innerhalb des Workspace-Chats, Aufgabenzuweisungen;
• Nutzungs- und Logdaten: IP-Adresse (anonymisiert nach 30 Tagen), Geräte-Hash für Trusted-Device-Authentifizierung (User-Agent, Sprache, Bildschirmauflösung — kein eindeutiges Hardware-Fingerprint), Zeitstempel, ausgeführte Aktionen;
• Geräte- und Browserdaten: Browser-Typ, Betriebssystem (zur Sicherstellung der App-Kompatibilität);
• Standortdaten (optional): GPS-Koordinaten bei Inspektionen, sofern der Nutzer dies aktiv freigibt.

Eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung) ist nicht vorgesehen. Sollte der Verantwortliche solche Daten in den Dienst einbringen, geschieht dies in seiner alleinigen Verantwortung.

§ 4 Kategorien betroffener Personen

Von der Verarbeitung sind insbesondere folgende Personengruppen betroffen:

• Mitarbeiter des Verantwortlichen (Brandschutzprüfer, Inspektoren, Teamleiter, Administratoren, Geschäftsführung);
• Subunternehmer des Verantwortlichen sowie deren Mitarbeiter, sofern in den Workspace eingebunden (verfügbar in den Tarifen Plus, Premium und Enterprise);
• Eigentümer, Verwalter und Auftraggeber von Gebäuden und Objekten, sofern deren Daten zur Erfüllung des Prüfauftrags erfasst werden (in der Regel: Name, Funktion, Kontaktdaten);
• Mieter oder Nutzer geprüfter Räumlichkeiten, soweit sie im Rahmen der Inspektion erscheinen oder benannt werden;
• Sonstige Personen, deren Daten der Verantwortliche oder seine Nutzer in den Dienst einbringen.

Der Verantwortliche stellt sicher, dass für sämtliche dieser Kategorien eine geeignete Rechtsgrundlage gemäß Art. 6 DSGVO sowie ggf. Informationspflichten gemäß Art. 13 oder 14 DSGVO erfüllt sind.

§ 5 Weisungsrecht des Verantwortlichen

(1) Der Anbieter verarbeitet die personenbezogenen Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Als dokumentierte Weisung gelten insbesondere:

• die Bestimmungen dieses AVV einschließlich seiner Anlagen;
• die Konfiguration des Workspace und die im System hinterlegten Einstellungen;
• die durch berechtigte Nutzer im System ausgeführten Aktionen;
• einzelne Weisungen, die der Verantwortliche in Textform an datenschutz@augenblick-control.de richtet.

(2) Der Anbieter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Vorschriften der Union oder der Mitgliedstaaten verstößt. Der Anbieter ist berechtigt, die Ausführung einer entsprechenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

(3) Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erfolgt nur auf Grundlage einer dokumentierten Weisung des Verantwortlichen oder, soweit der Anbieter hierzu nach Unionsrecht oder mitgliedstaatlichem Recht verpflichtet ist; in diesem Fall teilt der Anbieter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus Gründen eines wichtigen öffentlichen Interesses verbietet.

§ 6 Pflichten des Auftragsverarbeiters

Der Anbieter erfüllt sämtliche Pflichten eines Auftragsverarbeiters gemäß Art. 28 Abs. 3 DSGVO und verpflichtet sich insbesondere zu Folgendem:

(1) Verarbeitung nach Weisung (Art. 28 Abs. 3 lit. a): Die Verarbeitung erfolgt ausschließlich nach den Weisungen des Verantwortlichen gemäß § 5.

(2) Vertraulichkeit (Art. 28 Abs. 3 lit. b): Sämtliche zur Verarbeitung der Daten befugten Personen werden vom Anbieter zur Vertraulichkeit verpflichtet, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung gilt auch nach Beendigung des Beschäftigungs- oder Auftragsverhältnisses fort.

(3) Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c i.V.m. Art. 32): Der Anbieter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung gemäß Anlage 1 dieses AVV.

(4) Hinzuziehung weiterer Auftragsverarbeiter (Art. 28 Abs. 3 lit. d): Der Anbieter zieht weitere Auftragsverarbeiter ausschließlich unter den in § 10 dieses AVV geregelten Bedingungen heran.

(5) Mitwirkung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e): Der Anbieter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten gemäß Art. 12 bis 22 DSGVO gemäß § 12 dieses AVV.

(6) Mitwirkung bei Sicherheit, Datenschutzverletzungen und Folgenabschätzung (Art. 28 Abs. 3 lit. f): Der Anbieter unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Einzelheiten regeln § 13 (Datenschutzverletzungen) und § 14 (DSFA und Konsultation) dieses AVV.

(7) Rückgabe oder Löschung (Art. 28 Abs. 3 lit. g): Nach Beendigung der Auftragsverarbeitung gibt der Anbieter alle personenbezogenen Daten nach Wahl des Verantwortlichen zurück oder löscht sie gemäß § 16 dieses AVV.

(8) Nachweise und Audit (Art. 28 Abs. 3 lit. h): Der Anbieter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten zur Verfügung und ermöglicht Audit-Maßnahmen gemäß § 15 dieses AVV.

(9) Benennung eines Ansprechpartners für den Datenschutz: Der Anbieter benennt als zentrale Anlaufstelle für alle Datenschutzanfragen die E-Mail-Adresse datenschutz@augenblick-control.de. Anfragen werden grundsätzlich innerhalb von fünf (5) Werktagen beantwortet, im Falle eilbedürftiger Vorgänge unverzüglich.

§ 7 Pflichten des Verantwortlichen

(1) Der Verantwortliche bleibt im Rahmen dieses AVV der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Er ist insbesondere verpflichtet:

• für sämtliche von ihm in den Dienst eingebrachten personenbezogenen Daten eine geeignete Rechtsgrundlage gemäß Art. 6 DSGVO sicherzustellen;
• die Informationspflichten gemäß Art. 13 und 14 DSGVO gegenüber den betroffenen Personen zu erfüllen;
• seine Mitarbeiter, die Zugriff auf die Plattform haben, zur Vertraulichkeit zu verpflichten;
• Zugangsdaten sicher zu verwahren und Verlust oder unbefugten Zugriff unverzüglich an datenschutz@augenblick-control.de zu melden;
• nur die Inhalte in den Dienst einzustellen, zu denen er berechtigt ist;
• besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO nur mit angemessener Rechtsgrundlage und in eigener Verantwortung einzustellen.

(2) Der Verantwortliche benennt dem Anbieter auf Anforderung einen Ansprechpartner für datenschutzrechtliche Angelegenheiten.

(3) Werden Subunternehmer oder Eigentümer in den Workspace eingebunden, stellt der Verantwortliche sicher, dass diese auf die Verarbeitung ihrer Daten in geeigneter Weise hingewiesen werden und entsprechende Rechtsgrundlagen bestehen.

§ 8 Vertraulichkeit

(1) Der Anbieter verpflichtet alle Mitarbeiter, Erfüllungs- und Verrichtungsgehilfen, die Zugang zu den im Auftrag verarbeiteten Daten haben, zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b und Art. 29 DSGVO sowie § 53 BDSG. Die Verpflichtung wird in Textform dokumentiert und gilt auch nach Beendigung des Beschäftigungsverhältnisses fort.

(2) Der Anbieter stellt sicher, dass die zur Verarbeitung befugten Personen in geeigneter Weise zum Datenschutz geschult werden.

§ 9 Technische und organisatorische Maßnahmen (TOM)

(1) Der Anbieter trifft die in Anlage 1 dieses AVV beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese Maßnahmen entsprechen dem Stand der Technik und werden unter Berücksichtigung von Art und Umfang der Verarbeitung sowie des Risikos für die Rechte und Freiheiten der betroffenen Personen ausgewählt und regelmäßig überprüft.

(2) Der Anbieter ist berechtigt, die TOM weiterzuentwickeln und an den jeweiligen Stand der Technik anzupassen, soweit das Schutzniveau hierdurch nicht unterschritten wird. Wesentliche Änderungen werden dem Verantwortlichen in Textform mitgeteilt.

(3) Auf Anfrage stellt der Anbieter dem Verantwortlichen eine aktuelle Fassung der TOM zur Verfügung.

§ 10 Unterauftragsverarbeiter

(1) Die zum Zeitpunkt des Vertragsschlusses bestehenden Unterauftragsverarbeiter sind in Anlage 2 dieses AVV aufgelistet. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Abschluss dieses AVV zu.

(2) Der Anbieter ist berechtigt, weitere Unterauftragsverarbeiter zu beauftragen oder bestehende auszutauschen. Der Anbieter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder den Ersatz von Unterauftragsverarbeitern in Textform mindestens vierzehn (14) Kalendertage vor Wirksamwerden der Änderung.

(3) Der Verantwortliche kann der beabsichtigten Änderung innerhalb der Frist gemäß Absatz 2 in Textform aus berechtigten datenschutzrechtlichen Gründen widersprechen. Im Falle eines berechtigten Widerspruchs gilt Folgendes:

• Der Anbieter wird nach billigem Ermessen prüfen, ob die Änderung im konkreten Fall des Verantwortlichen vermieden oder durch alternative Maßnahmen ersetzt werden kann.
• Ist eine Vermeidung oder Alternative wirtschaftlich unzumutbar, steht dem Verantwortlichen ein Sonderkündigungsrecht des Hauptvertrages zum Wirksamwerden der Änderung zu.

(4) Der Anbieter verpflichtet jeden Unterauftragsverarbeiter durch einen schriftlichen Vertrag oder ein anderes Rechtsinstrument zur Einhaltung von Datenschutzpflichten, die denjenigen dieses AVV im Wesentlichen entsprechen, insbesondere zu hinreichenden Garantien hinsichtlich geeigneter technischer und organisatorischer Maßnahmen.

(4a) Back-to-Back-Verpflichtung für weitere Unterauftragsverarbeiter: Der Anbieter stellt sicher, dass jeder Unterauftragsverarbeiter seinerseits geeignete Garantien für die von ihm beauftragten weiteren Unterauftragsverarbeiter (sub-sub-processors) erbringt und diese ebenfalls auf vergleichbare Datenschutzpflichten verpflichtet (sog. Back-to-Back-Verpflichtung). Eine vollständige Liste der weiteren Unterauftragsverarbeiter der wesentlichen Subprozessoren ist über folgende Quellen abrufbar:

• Google Cloud: https://cloud.google.com/terms/subprocessors
• Stripe: https://stripe.com/legal/service-providers

(5) Erfüllt der Unterauftragsverarbeiter die ihm obliegenden Datenschutzpflichten nicht, haftet der Anbieter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Unterauftragsverarbeiters.

(6) Nicht als Unterauftragsverarbeitung im Sinne dieses § 10 gelten Nebenleistungen, die der Anbieter zur Erbringung der Hauptleistung in Anspruch nimmt (z. B. Telekommunikationsleistungen, Wartung und Reinigung der Geschäftsräume, Entsorgung von Datenträgern). Die Pflicht des Anbieters, in solchen Fällen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen, bleibt hiervon unberührt.

§ 11 Drittlandtransfer

(1) Die Hauptverarbeitung der Inhaltsdaten erfolgt ausschließlich auf Servern innerhalb der Europäischen Union, konkret in der Region europe-west3 (Frankfurt am Main, Deutschland) der Google Cloud Platform.

(2) Eine Übermittlung personenbezogener Daten in Drittländer im Sinne von Art. 44 ff. DSGVO findet ausschließlich in den in Anlage 2 ausdrücklich gekennzeichneten Fällen statt. Diese Übermittlungen werden auf folgende Garantien gestützt:

• EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023, Implementing Decision (EU) 2023/1795) für DPF-zertifizierte Empfänger;
• Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914 vom 04.06.2021), gegebenenfalls ergänzt durch zusätzliche Maßnahmen gemäß den EDPB-Empfehlungen 01/2020.

(3) Der Anbieter stellt sicher, dass für jede Drittlandübermittlung eine geeignete Rechtsgrundlage gemäß Art. 44 ff. DSGVO vorliegt und auf Anfrage des Verantwortlichen Nachweise hierüber vorgelegt werden können.

§ 12 Mitwirkung bei Betroffenenrechten

(1) Der Anbieter unterstützt den Verantwortlichen bei der Erfüllung von Anträgen betroffener Personen gemäß Art. 12 bis 22 DSGVO, insbesondere:

• Recht auf Auskunft (Art. 15);
• Recht auf Berichtigung (Art. 16);
• Recht auf Löschung — „Recht auf Vergessenwerden" (Art. 17);
• Recht auf Einschränkung der Verarbeitung (Art. 18);
• Recht auf Datenübertragbarkeit (Art. 20);
• Widerspruchsrecht (Art. 21);
• Rechte hinsichtlich automatisierter Entscheidungen (Art. 22 — derzeit nicht relevant, da keine automatisierten Einzelentscheidungen erfolgen).

(2) Wendet sich eine betroffene Person direkt an den Anbieter, leitet der Anbieter dieses Anliegen unverzüglich, in der Regel binnen drei (3) Werktagen, an den Verantwortlichen weiter. Der Anbieter beantwortet solche Anfragen nicht selbst, es sei denn, der Verantwortliche hat hierzu eine ausdrückliche Weisung erteilt. Die allgemeinen Antwortfristen gemäß § 6 Abs. 9 dieses AVV bleiben hiervon unberührt.

(3) Wendet sich der Verantwortliche mit einem Mitwirkungsersuchen an den Anbieter (z. B. zur Erfüllung eines Auskunftsersuchens), antwortet der Anbieter unverzüglich, in Standard-Fällen innerhalb von fünf (5) Werktagen. Bei komplexen Mitwirkungsersuchen, die einen erheblichen technischen oder rechtlichen Aufwand erfordern, kann sich die Antwortfrist auf bis zu zehn (10) Werktage verlängern; in diesem Fall informiert der Anbieter den Verantwortlichen unverzüglich über die Verlängerung und deren Gründe. In besonders eilbedürftigen Fällen verkürzen sich die Fristen auf das technisch und organisatorisch Mögliche, damit der Verantwortliche seine Pflichten gegenüber den betroffenen Personen gemäß Art. 12 Abs. 3 DSGVO (Antwortfrist eines Monats) einhalten kann.

(4) Die Plattform stellt dem Verantwortlichen folgende Self-Service-Funktionen zur Verfügung, die eine direkte Erfüllung von Betroffenenrechten ohne Mitwirkung des Anbieters ermöglichen:

• vollständiger Datenexport in maschinenlesbaren Formaten (PDF, Excel, JSON, ZIP);
• Bearbeitung und Berichtigung von Datensätzen;
• Löschung einzelner Datensätze sowie ganzer Workspaces (Soft-Delete mit 30-Tage-Frist).

(5) Aufwendungen, die dem Anbieter durch eine über die in Absatz 4 vorgesehenen Self-Service-Funktionen hinausgehende Mitwirkung entstehen, kann der Anbieter dem Verantwortlichen zu seinen jeweils aktuellen Stundensätzen in Rechnung stellen, soweit die zusätzliche Mitwirkung nicht auf einem Verstoß des Anbieters gegen seine Pflichten beruht.

§ 13 Datenschutzverletzungen

(1) Der Anbieter informiert den Verantwortlichen unverzüglich nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, spätestens jedoch innerhalb von achtundvierzig (48) Stunden nach Kenntniserlangung. Diese Frist berücksichtigt die für den Verantwortlichen geltende 72-Stunden-Meldefrist gemäß Art. 33 DSGVO und stellt sicher, dass dem Verantwortlichen ausreichend Zeit für eigene Bewertung und Meldung an die Aufsichtsbehörde verbleibt. Die Information erfolgt an die vom Verantwortlichen hinterlegte Datenschutz-Kontaktadresse oder, soweit nicht hinterlegt, an die Account-Hauptadresse.

(2) Die Meldung des Anbieters enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit dem Anbieter zum Zeitpunkt der Meldung verfügbar:

• Beschreibung der Art der Verletzung sowie soweit möglich Kategorien und ungefähre Anzahl der betroffenen Personen, Kategorien und ungefähre Anzahl der betroffenen Datensätze;
• Name und Kontaktdaten des Anbieter-Datenschutzansprechpartners;
• Beschreibung der wahrscheinlichen Folgen der Verletzung;
• Beschreibung der vom Anbieter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Begrenzung möglicher nachteiliger Folgen.

(3) Soweit nicht alle Informationen sofort verfügbar sind, übermittelt der Anbieter sie ohne unangemessene weitere Verzögerung in mehreren Schritten nach.

(4) Der Anbieter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 33 (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden) und Art. 34 (Benachrichtigung der betroffenen Personen) DSGVO.

(5) Der Anbieter dokumentiert sämtliche Verletzungen des Schutzes personenbezogener Daten und stellt diese Dokumentation auf Anfrage dem Verantwortlichen sowie der Aufsichtsbehörde zur Verfügung.

§ 14 Datenschutz-Folgenabschätzung und Konsultation

(1) Soweit die vom Verantwortlichen geplanten Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO oder eine vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO erfordern, unterstützt der Anbieter den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

(2) Die Unterstützung umfasst insbesondere:

• Bereitstellung von Informationen über Art, Umfang und Zwecke der Verarbeitung;
• Bereitstellung der TOM-Dokumentation gemäß Anlage 1;
• Bereitstellung der Liste der Unterauftragsverarbeiter gemäß Anlage 2;
• Beantwortung schriftlicher Fragen zu den getroffenen Schutzmaßnahmen.

(3) Über die Bereitstellung von Informationen hinausgehende Unterstützung (z. B. eigene Risikobewertungen, Empfehlungen) erbringt der Anbieter zu seinen jeweils aktuellen Stundensätzen.

§ 15 Kontroll- und Auditrechte

(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der Pflichten dieses AVV durch den Anbieter zu überzeugen. Die Überprüfung erfolgt nach Maßgabe der nachfolgenden Absätze auf drei Stufen.

(2) Stufe 1 — Dauerhaft verfügbare Informationen (kostenfrei):

• vollständige Dokumentation der TOM gemäß Anlage 1;
• aktuelle Liste der Unterauftragsverarbeiter gemäß Anlage 2;
• Nachweise über bestehende Zertifizierungen der wesentlichen Unterauftragsverarbeiter (insbesondere ISO 27001, SOC 2 von Google Cloud Platform);
• diese AVV sowie die Datenschutzerklärung des Anbieters in der jeweils aktuellen Fassung.

(3) Stufe 2 — Schriftliche Auskunft auf Anfrage (kostenfrei, einmal pro Kalenderjahr):

• schriftliche Beantwortung konkreter datenschutzrechtlicher Fragen durch den Anbieter;
• Bestätigung der Implementierung einzelner TOM-Maßnahmen;
• bei Tarifen Premium und Enterprise: Auszug aus dem Audit-Log auf Anfrage des Verantwortlichen für seinen eigenen Workspace;
• Antwortfrist: in der Regel zwanzig (20) Werktage nach Eingang der Anfrage.

(4) Stufe 3 — Vor-Ort-Audit:

• Frequenz: maximal einmal pro Kalenderjahr; Ausnahmen gelten bei dokumentierten Datenpannen oder behördlichen Anordnungen;
• Ankündigung: mindestens dreißig (30) Werktage in Textform vor dem geplanten Termin;
• Durchführungszeit: ausschließlich an Werktagen (Montag bis Freitag) zu üblichen Geschäftszeiten (09:00 bis 17:00 Uhr MEZ/MESZ);
• Prüfumfang: ausschließlich der für die konkrete Auftragsverarbeitung relevante Bereich; Geschäftsgeheimnisse, Daten anderer Kunden sowie nicht relevante interne Prozesse sind ausgenommen;
• Geheimhaltung: vor Beginn des Audits unterzeichnen alle Prüfer eine angemessene Vertraulichkeitsvereinbarung;
• Beauftragter Prüfer: muss von beiden Vertragsparteien unabhängig sein und darf kein Wettbewerber des Anbieters sein;
• Kostenbeteiligung: der dem Anbieter durch das Audit entstehende Aufwand wird zu marktüblichen Stundensätzen für IT-Datenschutzberatung abgerechnet. Diese liegen derzeit zwischen 120 und 200 EUR netto pro Stunde. Eine Schätzung des erwarteten Aufwands wird dem Verantwortlichen vor Beginn des Audits in Textform mitgeteilt. Hiervon ausgenommen sind Audits, die auf einen vom Anbieter zu vertretenden Verstoß zurückzuführen sind; in solchen Fällen trägt der Anbieter seinen eigenen Aufwand.

(5) Anstelle eines Vor-Ort-Audits kann sich der Verantwortliche auf den jeweils aktuellen Bericht eines unabhängigen Prüfers (z. B. ISO 27001-Zertifikat, SOC 2-Bericht eines wesentlichen Unterauftragsverarbeiters) beziehen, sofern dieser den konkreten Prüfgegenstand abdeckt.

§ 16 Rückgabe oder Löschung nach Vertragsende

(1) Nach Beendigung des Hauptvertrages gewährt der Anbieter dem Verantwortlichen für einen Zeitraum von dreißig (30) Tagen einen Read-Only-Zugriff auf den Workspace zur eigenständigen Datensicherung. Während dieser Zeit kann der Verantwortliche sämtliche Inhaltsdaten in maschinenlesbaren Formaten (PDF, Excel, JSON, ZIP) exportieren.

(2) Nach Ablauf der Frist gemäß Absatz 1 oder auf vorherige ausdrückliche Weisung des Verantwortlichen werden sämtliche personenbezogenen Daten des Verantwortlichen aus den Produktivsystemen des Anbieters endgültig und unwiederbringlich gelöscht.

(3) Aus den Backup-Systemen des Anbieters werden die Daten im Rahmen der jeweiligen Backup-Rotation spätestens nach neunzig (90) Tagen automatisch entfernt.

(4) Von der Löschung ausgenommen sind Daten, deren weitere Aufbewahrung aufgrund handels- oder steuerrechtlicher Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO — bis zu 10 Jahre) oder konkreter rechtlicher Auseinandersetzungen erforderlich ist. Solche Daten werden gesondert gespeichert, in der Verarbeitung eingeschränkt und nach Wegfall des Aufbewahrungsgrundes ebenfalls gelöscht.

(5) Auf schriftliche Anfrage bestätigt der Anbieter dem Verantwortlichen die erfolgte Löschung in Textform.

§ 17 Haftung

(1) Für die Haftung der Vertragsparteien gegenüber betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis zwischen den Vertragsparteien gelten ergänzend die nachfolgenden Regelungen.

(2) Die Haftungsregelungen des § 12 der AGB des Anbieters gelten für diesen AVV entsprechend, insbesondere die dort vereinbarte Haftungsbegrenzung pro Schadensfall und pro Kalenderjahr. Die Haftung für Vorsatz und grobe Fahrlässigkeit, für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie nach den Vorschriften des Produkthaftungsgesetzes bleibt unbeschränkt.

(3) Die Vertragsparteien stellen sich im Innenverhältnis nach Maßgabe ihres jeweiligen Verschuldens und Verursachungsbeitrags von Ansprüchen Dritter und Geldbußen frei. Eine Haftung des Anbieters für Geldbußen, die aufgrund einer rechtswidrigen Weisung des Verantwortlichen oder eines vom Verantwortlichen zu vertretenden Verstoßes gegen die DSGVO verhängt werden, ist ausgeschlossen.

(3a) Wechselseitige Freistellung: Der Anbieter stellt den Verantwortlichen von Ansprüchen Dritter und behördlichen Geldbußen frei, soweit diese nachweislich auf einer vom Anbieter zu vertretenden Pflichtverletzung dieses AVV beruhen. Der Umfang dieser Freistellung ist auf die Haftungsbegrenzung gemäß § 12 der AGB des Anbieters beschränkt; § 12 Abs. 3a der AGB bleibt unberührt.

(4) Für die Verjährung von Schadensersatzansprüchen aus diesem AVV gilt § 12 Abs. 7 der AGB des Anbieters.

§ 18 Vertragsdauer und Kündigung

(1) Dieser AVV beginnt mit Aktivierung des kostenpflichtigen Tarifs gemäß den AGB und endet, ohne dass es einer gesonderten Kündigung bedarf, mit der Beendigung des Hauptvertrages.

(2) Die Pflichten des Anbieters gemäß § 16 (Rückgabe oder Löschung), § 8 (Vertraulichkeit) sowie die nachvertraglichen Mitwirkungspflichten gelten über die Beendigung dieses AVV hinaus fort.

(3) Das Recht zur außerordentlichen Kündigung des Hauptvertrages aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Verantwortlichen insbesondere bei einem schwerwiegenden Verstoß des Anbieters gegen seine Pflichten aus diesem AVV vor, der nach Mahnung mit angemessener Frist nicht abgestellt wird.

§ 19 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist München, sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen ist.

(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(4) Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung; soweit eine solche fehlt, gilt diejenige Regelung als vereinbart, die dem wirtschaftlich Gewollten am nächsten kommt.

(5) Im Falle von Widersprüchen zwischen diesem AVV und den AGB des Anbieters gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

§ 20 Abschluss-Modalitäten

(1) Dieser AVV wird in folgenden Formen wirksam vereinbart:

(2) Online-Click-Vereinbarung (Standard für Tarife Basis und Plus): Mit Bestätigung dieses AVV im Rahmen der Registrierung oder bei der Aktivierung eines kostenpflichtigen Tarifs erkennt der Verantwortliche die Geltung dieses AVV verbindlich an. Die elektronische Annahme ist gemäß § 126b BGB textformwirksam.

(3) Unterschriebene PDF-Version (auf Anfrage für Tarife Premium und Enterprise): Verantwortliche, die einen unterzeichneten Vertrag bevorzugen, können eine unterschriftsfertige PDF-Version dieses AVV bei datenschutz@augenblick-control.de anfordern. Die unterschriebene Version ersetzt für den jeweiligen Verantwortlichen die Online-Click-Vereinbarung; im Übrigen ist sie inhaltlich identisch.

(4) Die jeweils aktuelle Fassung dieses AVV ist unter https://augenblick-control.de/avv abrufbar. Die Datenschutzerklärung der App ist unter https://app.augenblick-control.de/datenschutz abrufbar. Versionswechsel werden gemäß § 1 Abs. 4 der AGB mitgeteilt.

Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

Stand: 4. Mai 2026

Die folgenden technischen und organisatorischen Maßnahmen werden vom Anbieter zum Schutz der im Auftrag verarbeiteten personenbezogenen Daten getroffen. Die Maßnahmen entsprechen den Anforderungen von Art. 32 DSGVO und werden regelmäßig überprüft und an den Stand der Technik angepasst.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Da die Datenverarbeitung ausschließlich in Rechenzentren der Google Cloud Platform (Region europe-west3, Frankfurt am Main) erfolgt, gelten die Maßnahmen der physischen Zutrittskontrolle des Hosters:

• Mehrstufige Sicherheitskontrollen in den Rechenzentren (Biometrie, Zutrittskarten, mehrstufige Schleusen);
• 24/7-Videoüberwachung und Alarmsysteme;
• Zertifizierungen: ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1/2/3;
• Nachweise verfügbar unter: https://cloud.google.com/security/compliance

Die Geschäftsräume des Anbieters in Unterschleißheim verarbeiten keine produktiven Kundendaten. Alle Datenverarbeitung erfolgt remote über gesicherte Verbindungen zu den Cloud-Systemen.

1.2 Zugangskontrolle

• Authentifizierung der Nutzer per E-Mail/Passwort mit PBKDF2-SHA256 (600.000 Iterationen);
• JWT-basierte Sessions (HS256) mit Token-Rotation;
• Mehr-Faktor-Authentifizierung (MFA) verpflichtend für administrative Konten des Anbieters;
• Automatisches Sperren von Accounts nach mehreren Fehlversuchen (Brute-Force-Schutz);
• Sichere Passwort-Wiederherstellung nur über verifizierte E-Mail mit zeitlich begrenzten Tokens;
• Keine Speicherung von Klartextpasswörtern.

1.3 Zugriffskontrolle

• Rollenbasiertes Zugriffsmodell (RBAC) mit vier Rollen: Owner, Teamleiter, Admin, Inspector;
• Attribut-basierte Erweiterung (ABAC) für eingeschränkte Subunternehmer-Zugriffe;
• Prinzip der geringsten Rechte (Least Privilege);
• Trennung der Berechtigungen für administrative Mitarbeiter des Anbieters: nur ein begrenzter Personenkreis hat operativen Zugriff auf Produktivsysteme;
• Sämtliche administrativen Zugriffe werden protokolliert (Audit-Log).

1.4 Trennungskontrolle

• Multi-Tenant-Architektur mit logischer Trennung auf Datenbankebene (workspaces/{workspaceId}/...);
• Daten verschiedener Kunden werden niemals vermischt;
• Test- und Produktivsysteme sind strikt getrennt;
• Strikt getrennte Service Accounts für die jeweiligen Microservices.

1.5 Pseudonymisierung

• Verwendung von eindeutigen User-IDs anstelle von Klarnamen in Log-Dateien;
• Anonymisierung von IP-Adressen in Logs nach 30 Tagen;
• Test- und Entwicklungsumgebungen verwenden ausschließlich pseudonymisierte oder synthetische Daten.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle (Verschlüsselung)

• Verschlüsselung sämtlicher Datenübertragungen mit TLS 1.3 (HTTPS);
• HSTS (HTTP Strict Transport Security) für alle öffentlichen Domains aktiviert;
• Verschlüsselung gespeicherter Daten (Encryption at Rest) mit AES-256 durch Google Cloud Storage und Firestore;
• HMAC-SHA256-signierte Service-zu-Service-Kommunikation innerhalb der Backend-Infrastruktur;
• Magic-Bytes-Validierung hochgeladener Dateien zum Schutz vor Manipulation.

2.2 Eingabekontrolle

• Audit-Trail-Funktionalität in den Tarifen Premium und Enterprise: Aufzeichnung von Erstellung, Änderung und Löschung wesentlicher Datensätze mit Zeitstempel und ausführender Identität;
• Server-seitige Validierung sämtlicher Eingaben (Zod-Schema-Validierung);
• Schutz vor SQL-Injection durch ausschließliche Verwendung parametrisierter Abfragen / Firestore-API.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Auto-Scaling-Infrastruktur (Cloud Run, Firestore) mit redundantem Multi-Zone-Deployment;
• Geo-redundante Speicherung innerhalb der EU-Region;
• Point-in-Time Recovery (PITR) für Firestore mit einem Wiederherstellungsfenster von 7 Tagen;
• Tägliche Backup-Exports mit einer Aufbewahrungsdauer von 90 Tagen;
• Cloud Monitoring und Alerting (Google Cloud Operations Suite);
• Circuit Breaker, Retry-Mechanismen und Rate Limiting auf Microservice-Ebene;
• Notfall-Wiederherstellungsverfahren dokumentiert (Disaster Recovery Plan).

4. Wiederherstellbarkeit nach Vorfall (Art. 32 Abs. 1 lit. c DSGVO)

• Wiederherstellung aus PITR innerhalb von wenigen Stunden möglich;
• Wiederherstellung aus täglichen Backups innerhalb eines Werktages möglich;
• Regelmäßige Wiederherstellungstests auf Stichprobenbasis;
• Versionierung kritischer Konfigurationen über Infrastructure-as-Code (Git).

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

• Code-Reviews vor jedem Produktivrelease (4-Augen-Prinzip);
• Automatisierte Sicherheitsprüfungen in der CI/CD-Pipeline (Dependency-Scanning, Static Code Analysis);
• Aktualisierung von Abhängigkeiten und Sicherheitsupdates nach festgelegtem Patch-Management-Verfahren;
• Jährliche Überprüfung und Aktualisierung dieser TOM;
• Geplant: Penetrationstests durch externe Anbieter (in Vorbereitung);
• Geplant: ISO/IEC 27001-Zertifizierung des Anbieters (Roadmap: Vorbereitung 2026, Erstzertifizierung im Geschäftsjahr 2027). Bis zur Erstzertifizierung gelten die Sicherheitsstandards des Hosters Google Cloud (ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3) als technische Grundlage.

6. Auftragskontrolle (Art. 28 DSGVO)

• Schriftliche Auftragsverarbeitungsverträge bzw. gleichwertige Rechtsinstrumente mit allen Unterauftragsverarbeitern (siehe Anlage 2);
• Regelmäßige Überprüfung der Datenschutzkonformität der Unterauftragsverarbeiter anhand veröffentlichter Zertifizierungen;
• Dokumentation aller Drittlandtransfers mit zugrundeliegenden Garantien (DPF, SCC).

7. Datenschutz durch Technikgestaltung und Voreinstellung (Art. 25 DSGVO)

• Privacy-by-Design-Prinzipien bei der Entwicklung neuer Funktionen;
• Privacy-by-Default-Konfiguration: standardmäßig minimale Datenerhebung;
• Optionale Geolocation: nur auf aktive Freigabe durch den Nutzer;
• Datenminimierung: Anonymisierung von IP-Adressen, automatisierte Bereinigung verwaister Daten;
• Self-Service-Funktionen für Datenexport und -löschung.

8. Organisatorische Maßnahmen

• Verpflichtung aller Mitarbeiter zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b und Art. 29 DSGVO sowie § 53 BDSG;
• Regelmäßige Schulung der Mitarbeiter zu Datenschutz und IT-Sicherheit;
• Dokumentiertes Verfahren zur Meldung von Datenschutzverletzungen (Art. 33 DSGVO);
• Dokumentiertes Verfahren zur Bearbeitung von Betroffenenanfragen (Art. 12 ff. DSGVO);
• Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO;
• Datenschutz-Ansprechpartner: datenschutz@augenblick-control.de.

Anlage 2 — Liste der Unterauftragsverarbeiter

Stand: 4. Mai 2026

Die nachfolgende Tabelle enthält sämtliche Unterauftragsverarbeiter, die der Anbieter zur Erbringung der Leistungen gemäß den AGB einsetzt. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Abschluss dieses AVV zu.

Wesentliche Unterauftragsverarbeiter (Hauptverarbeitung)

Optionale Unterauftragsverarbeiter (nur bei Aktivierung bestimmter Funktionen)

Hinweise zu geplanten zukünftigen Unterauftragsverarbeitern

Die folgenden Unterauftragsverarbeiter sind zum aktuellen Stand nicht aktiv in der Plattform integriert. Sie werden vor Aktivierung gemäß § 10 dieses AVV mit einer Frist von 14 Tagen angekündigt:

• Twilio Ireland Limited (SendGrid), 70 Sir John Rogerson's Quay, Dublin 2, Irland — geplant für transaktionale E-Mails (Registrierungsbestätigung, Passwort-Wiederherstellung, Benachrichtigungen). Vertragspartner ist Twilio Ireland Limited (Dublin, EU); die technische E-Mail-Versand-Infrastruktur von SendGrid wird global betrieben, sodass eine Übermittlung an die Konzernmutter Twilio, Inc. (San Francisco, USA) bei jedem E-Mail-Versand regelmäßig erfolgt. Garantie: EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln der EU-Kommission.
• Functional Software, Inc. (Sentry), 132 Hawthorne Street, San Francisco, CA 94107, USA — geplant für Error-Tracking und Performance-Monitoring der Anwendung. Sentry wird mit aktivierter EU Data Region (Frankfurt) konfiguriert, um Drittlandtransfers zu minimieren; ein Transfer in die USA findet ausschließlich bei technisch zwingend erforderlichen Vorgängen statt (z. B. globaler Support, aggregierte Statistiken). Garantie: Functional Software, Inc. ist DPF-zertifiziert (EU-US Data Privacy Framework); ergänzend Standardvertragsklauseln der EU-Kommission.

Sobald diese Unterauftragsverarbeiter aktiv eingesetzt werden, wird diese Anlage 2 entsprechend aktualisiert und der Verantwortliche gemäß § 10 dieses AVV informiert.

Nicht-Unterauftragsverarbeiter

Die folgenden Dienste werden vom Anbieter im Rahmen seiner eigenen Geschäftstätigkeit (nicht für die Auftragsverarbeitung) eingesetzt oder agieren in eigener Verantwortlichkeit (Art. 4 Nr. 7 DSGVO):

App-Store-Betreiber (eigene Verantwortliche)

Die folgenden App-Store-Betreiber agieren als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO und sind keine Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Sie werden hier ausschließlich zur Information aufgeführt, da Endnutzer beim Bezug der Mobile-Apps mit ihnen in Kontakt treten:

• Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA — Apple App Store (Distribution der iOS-App), Apple Push Notification Service (APNs) für die Push-Vermittlung an iOS-Geräte. Apple Inc. verarbeitet im Rahmen des Download-, Installations- und Update-Vorgangs sowie der APNs-Infrastruktur eigene Daten als eigener Verantwortlicher. Garantie: Apple Inc. ist DPF-zertifiziert (EU-US Data Privacy Framework). In-App-Käufe (Apple StoreKit) werden vom Anbieter nicht eingesetzt; eine Übermittlung von Zahlungsdaten an Apple Inc. durch den Anbieter findet nicht statt. Datenschutzerklärung: https://www.apple.com/legal/privacy/de-ww/.
• Google Ireland Limited bzw. Google LLC, Gordon House, Barrow Street, Dublin 4, Irland (für Nutzer im EWR und der Schweiz) bzw. 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — Google Play Store (Distribution der Android-App). Google Ireland Limited bzw. Google LLC verarbeiten im Rahmen des Download-, Installations- und Update-Vorgangs eigene Daten als eigene Verantwortliche. Hinweis zur Abgrenzung: Die ebenfalls von Google bereitgestellten Dienste Firebase Hosting, Cloud Run, Cloud Firestore, Cloud Storage, Pub/Sub und Firebase Cloud Messaging (FCM) werden vom Anbieter im Rahmen einer Auftragsverarbeitung eingesetzt und sind in der Tabelle „Wesentliche Unterauftragsverarbeiter" bzw. „Optionale Unterauftragsverarbeiter" gesondert geführt. In-App-Käufe (Google Play Billing) werden vom Anbieter nicht eingesetzt. Datenschutzerklärung: https://policies.google.com/privacy.

Sonstige Nicht-Auftragsverarbeiter

• Tally BV (Besloten Vennootschap), August Van Lokerenstraat 71, 9050 Gent, Belgien (KBO 0776.979.007) — Kontaktformular auf der Website des Anbieters. Verarbeitet keine Auftragsdaten des Verantwortlichen, sondern ausschließlich vorvertragliche Kontaktanfragen. AVV-Grundlage: Auftragsverarbeitungsvertrag mit Tally BV in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO.
• eRecht24 GmbH & Co. KG, Lietzenburger Straße 94, 10719 Berlin — Erstellung der Rechtstexte des Anbieters (Impressum, Datenschutzerklärung, AGB, AVV).

Diese Anlagen sind integraler Bestandteil des AVV. Aktualisierungen werden gemäß § 10 dieses AVV mitgeteilt.

Wesentliche Änderungen in Version 3.0 gegenüber Version 2.3 (28. April 2026):

• Synchronisation der Versionsangaben mit dem Release-Edition-Pakete vom 4. Mai 2026 (Erweiterung der Plattform um native iOS- und Android-Apps);
• Erweiterung der Beschreibung des FCM-Subprocessors in Anlage 2 um die plattformspezifische Push-Vermittlung über Web Push API, Apple Push Notification Service (APNs) und Firebase Cloud Messaging (FCM);
• Neue Unterabschnitte „App-Store-Betreiber (eigene Verantwortliche)" in Anlage 2 zur Klarstellung, dass Apple Inc. (Apple App Store, APNs) und Google Ireland Limited bzw. Google LLC (Google Play Store) keine Auftragsverarbeiter im Sinne von Art. 28 DSGVO sind, sondern als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO agieren;
• Klarstellung, dass keine In-App-Käufe (Apple StoreKit / Google Play Billing) eingesetzt werden;
• Inhaltliche Bestimmungen der §§ 1 bis 20 sowie der Anlage 1 (TOM) wurden gegenüber Version 2.3 nicht geändert.

Wesentliche Änderungen in Version 3.1 gegenüber Version 3.0 (4. Mai 2026 — initialer Release):

• Synchronisation der Stripe-Beschreibung in Anlage 2 mit der Datenschutzerklärung der App (§ 10.3) und der Liste der Unterauftragsverarbeiter — explizite Klarstellung der Doppelrolle von Stripe (Auftragsverarbeiter für Subscription-Management + eigener Verantwortlicher für die Zahlungsabwicklung selbst nach §§ 10 ff. ZAG, GwG, PSD2);
• Ergänzung der Stripe-Anlage-2-Zelle um Stripe Customer Portal, Webhook-Übermittlung, 3D Secure / Strong Customer Authentication, Stripe Radar Betrugsprävention sowie um die Zulassung durch die Central Bank of Ireland als E-Money Institution;
• Ergänzung der Garantie-Spalte in Anlage 2 um Stripes Zertifizierungen (PCI-DSS Level 1, ISO 27001, SOC 1/2 Type II);
• Inhaltliche Bestimmungen der §§ 1 bis 20 sowie der Anlage 1 (TOM) wurden gegenüber Version 3.0 nicht geändert.

Wesentliche Änderungen in Version 3.2 gegenüber Version 3.1 (4. Mai 2026):

• Klarstellung in Anlage 2, dass die US-Konzernmutter von Stripe mit Wirkung zum 03.01.2026 von Stripe, Inc. in Stripe, LLC umfirmiert wurde; die DPF-Zertifizierung und sämtliche Garantien für Drittlandtransfers bleiben unverändert;
• Aktualisierung des URL der Stripe-Subprozessor-Liste von stripe.com/legal/subprocessors auf den von Stripe aktuell genutzten URL stripe.com/legal/service-providers;
• Inhaltliche Bestimmungen der §§ 1 bis 20 sowie der Anlage 1 (TOM) wurden gegenüber Version 3.1 nicht geändert.