Zum Hauptinhalt springen
Augenblick-Control

Auftragsverarbeitungsvertrag (AVV)

Nach Art. 28 DSGVO
Stand: 13. Juni 2026 — Version 2.9

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien im Hinblick auf die Verarbeitung personenbezogener Daten, die im Rahmen der Nutzung der Software-as-a-Service-Plattform Augenblick-Control durch den Verantwortlichen entstehen.

Vertragsparteien sind:

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO: der Kunde, der die Plattform Augenblick-Control auf Grundlage der Allgemeinen Geschäftsbedingungen (AGB) des Anbieters nutzt (nachfolgend „Verantwortlicher" oder „Kunde").

Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO:
Augenblick-Effekt UG (haftungsbeschränkt)
Edisonstraße 8, 85716 Unterschleißheim, Deutschland
eingetragen im Handelsregister des Amtsgerichts München unter HRB 311945,
USt-IdNr. DE462288392,
vertreten durch den Geschäftsführer Merab Tserodze
(nachfolgend „Auftragsverarbeiter" oder „Anbieter").

Hinweis zur doppelten Rolle des Anbieters: Im Rahmen der Plattformnutzung verarbeitet der Anbieter personenbezogene Daten in zwei unterschiedlichen Rollen:

  • Als eigener Verantwortlicher verarbeitet der Anbieter Stamm- und Account-Daten des Kunden (Anmeldedaten, Vertragsdaten, Abrechnungsdaten). Diese Verarbeitung ist nicht Gegenstand dieses AVV, sondern in der Datenschutzerklärung des Anbieters geregelt.
  • Als Auftragsverarbeiter im Sinne von Art. 28 DSGVO verarbeitet der Anbieter die vom Verantwortlichen in den Workspace eingebrachten Inhaltsdaten (Inspektionen, Objektdaten, Fotos, Subunternehmer-Daten, Gebäudedaten etc.). Ausschließlich diese Verarbeitung ist Gegenstand dieses AVV.

Dieser AVV ist Bestandteil der AGB des Anbieters (abrufbar unter https://augenblick-control.de/agb) und ergänzt diese um die nach Art. 28 DSGVO erforderlichen Regelungen. Im Falle von Widersprüchen zwischen diesem AVV und den AGB gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Plattform Augenblick-Control gemäß den AGB.

(2) Die Verarbeitung umfasst insbesondere:

  • die Speicherung der vom Verantwortlichen eingebrachten Inhaltsdaten;
  • die Bereitstellung dieser Daten zur Anzeige, Bearbeitung und zum Export für berechtigte Nutzer des Verantwortlichen;
  • die Erstellung von DIN-konformen Prüfprotokollen aus den Inhaltsdaten;
  • die Übermittlung von Benachrichtigungen (z. B. Push-Mitteilungen, E-Mails) im Auftrag und mit Inhalten des Verantwortlichen;
  • die Datensicherung und Wiederherstellbarkeit gemäß den vereinbarten technischen Maßnahmen.

(3) Dauer der Verarbeitung: Die Auftragsverarbeitung beginnt mit der Registrierung und der Bereitstellung des Workspace gemäß den AGB — einschließlich einer etwaigen kostenlosen Testphase, in der der Verantwortliche bereits Inhaltsdaten einbringt — und endet mit der Beendigung des Hauptvertrages, jedoch frühestens nach vollständiger Rückgabe oder Löschung der Daten gemäß § 16.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten — jeweils ausschließlich im Rahmen der Bereitstellung der Plattform Augenblick-Control.

(2) Zweck der Verarbeitung: Erbringung der vertraglich vereinbarten SaaS-Leistungen gemäß den AGB, insbesondere:

  • digitale Verwaltung von Brandschutzprüfungen;
  • Erstellung von DIN-konformen Prüfprotokollen;
  • QR-Code-basierte Objekt- und Prüfgegenstandsverwaltung;
  • Koordination zwischen Hauptauftragnehmer und Subunternehmern;
  • Compliance-Archivierung und Audit-Trail (in den Tarifen Premium und Enterprise);
  • Versand von Benachrichtigungen an Nutzer im Auftrag des Verantwortlichen.

(3) Eine Verarbeitung zu eigenen Zwecken des Anbieters — insbesondere zu Werbe-, Analyse- oder Profilingzwecken — findet nicht statt. Statistische Auswertungen erfolgen ausschließlich auf Basis vollständig anonymisierter Daten gemäß § 10 Abs. 3 der AGB.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:

  • Identifikationsdaten: Vor- und Nachname, akademischer Titel, Funktion/Position;
  • Kontaktdaten: dienstliche E-Mail-Adresse, dienstliche Telefonnummer;
  • Authentifizierungsdaten: Login-Kennung, Passwort-Hash (PBKDF2, 600.000 Iterationen), Session-Token;
  • Inhaltsdaten der Inspektionen: Prüfgegenstände, Prüfergebnisse, Mängelbeschreibungen, Hinweise, Fotos, digitale Unterschriften;
  • Objekt- und Gebäudedaten: Adresse, Etagenpläne, Eigentümer-/Verwalter-Bezeichnungen (sofern vom Verantwortlichen erfasst);
  • Kommunikationsdaten: Nachrichten innerhalb des Workspace-Chats, Aufgabenzuweisungen;
  • Nutzungs- und Logdaten: IP-Adresse (anonymisiert nach 30 Tagen), Geräte-Fingerprint, Zeitstempel, ausgeführte Aktionen;
  • Geräte- und Browserdaten: Browser-Typ, Betriebssystem, Bildschirmauflösung;
  • Standortdaten (optional): GPS-Koordinaten bei Inspektionen, sofern der Nutzer dies aktiv freigibt.

Eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung) ist nicht vorgesehen. Sollte der Verantwortliche solche Daten in den Dienst einbringen, geschieht dies in seiner alleinigen Verantwortung.

§ 4 Kategorien betroffener Personen

Von der Verarbeitung sind insbesondere folgende Personengruppen betroffen:

  • Mitarbeiter des Verantwortlichen (Brandschutzprüfer, Inspektoren, Teamleiter, Administratoren, Geschäftsführung);
  • Subunternehmer des Verantwortlichen sowie deren Mitarbeiter, sofern in den Workspace eingebunden (verfügbar in den Tarifen Plus, Premium und Enterprise);
  • Eigentümer, Verwalter und Auftraggeber von Gebäuden und Objekten, sofern deren Daten zur Erfüllung des Prüfauftrags erfasst werden (in der Regel: Name, Funktion, Kontaktdaten);
  • Mieter oder Nutzer geprüfter Räumlichkeiten, soweit sie im Rahmen der Inspektion erscheinen oder benannt werden;
  • Sonstige Personen, deren Daten der Verantwortliche oder seine Nutzer in den Dienst einbringen.

Der Verantwortliche stellt sicher, dass für sämtliche dieser Kategorien eine geeignete Rechtsgrundlage gemäß Art. 6 DSGVO sowie ggf. Informationspflichten gemäß Art. 13 oder 14 DSGVO erfüllt sind.

§ 5 Weisungsrecht des Verantwortlichen

(1) Der Anbieter verarbeitet die personenbezogenen Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Als dokumentierte Weisung gelten insbesondere:

  • die Bestimmungen dieses AVV einschließlich seiner Anlagen;
  • die Konfiguration des Workspace und die im System hinterlegten Einstellungen;
  • die durch berechtigte Nutzer im System ausgeführten Aktionen;
  • einzelne Weisungen, die der Verantwortliche in Textform an datenschutz@augenblick-control.de richtet.

(2) Der Anbieter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Vorschriften der Union oder der Mitgliedstaaten verstößt. Der Anbieter ist berechtigt, die Ausführung einer entsprechenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

(3) Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erfolgt nur auf Grundlage einer dokumentierten Weisung des Verantwortlichen oder, soweit der Anbieter hierzu nach Unionsrecht oder mitgliedstaatlichem Recht verpflichtet ist; in diesem Fall teilt der Anbieter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus Gründen eines wichtigen öffentlichen Interesses verbietet.

§ 6 Pflichten des Auftragsverarbeiters

Der Anbieter erfüllt sämtliche Pflichten eines Auftragsverarbeiters gemäß Art. 28 Abs. 3 DSGVO und verpflichtet sich insbesondere zu Folgendem:

(1) Verarbeitung nach Weisung (Art. 28 Abs. 3 lit. a): Die Verarbeitung erfolgt ausschließlich nach den Weisungen des Verantwortlichen gemäß § 5.

(2) Vertraulichkeit (Art. 28 Abs. 3 lit. b): Sämtliche zur Verarbeitung der Daten befugten Personen werden vom Anbieter zur Vertraulichkeit verpflichtet, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung gilt auch nach Beendigung des Beschäftigungs- oder Auftragsverhältnisses fort.

(3) Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c i.V.m. Art. 32): Der Anbieter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung gemäß Anlage 1 dieses AVV.

(4) Hinzuziehung weiterer Auftragsverarbeiter (Art. 28 Abs. 3 lit. d): Der Anbieter zieht weitere Auftragsverarbeiter ausschließlich unter den in § 10 dieses AVV geregelten Bedingungen heran.

(5) Mitwirkung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e): Der Anbieter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten gemäß Art. 12 bis 22 DSGVO gemäß § 12 dieses AVV.

(6) Mitwirkung bei Sicherheit, Datenschutzverletzungen und Folgenabschätzung (Art. 28 Abs. 3 lit. f): Der Anbieter unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Einzelheiten regeln § 13 (Datenschutzverletzungen) und § 14 (DSFA und Konsultation) dieses AVV.

(7) Rückgabe oder Löschung (Art. 28 Abs. 3 lit. g): Nach Beendigung der Auftragsverarbeitung gibt der Anbieter alle personenbezogenen Daten nach Wahl des Verantwortlichen zurück oder löscht sie gemäß § 16 dieses AVV.

(8) Nachweise und Audit (Art. 28 Abs. 3 lit. h): Der Anbieter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten zur Verfügung und ermöglicht Audit-Maßnahmen gemäß § 15 dieses AVV.

(9) Benennung eines Ansprechpartners für den Datenschutz: Der Anbieter benennt als zentrale Anlaufstelle für alle Datenschutzanfragen die E-Mail-Adresse datenschutz@augenblick-control.de. Anfragen werden grundsätzlich innerhalb von fünf (5) Werktagen beantwortet, im Falle eilbedürftiger Vorgänge unverzüglich.

§ 7 Pflichten des Verantwortlichen

(1) Der Verantwortliche bleibt im Rahmen dieses AVV der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Er ist insbesondere verpflichtet:

  • für sämtliche von ihm in den Dienst eingebrachten personenbezogenen Daten eine geeignete Rechtsgrundlage gemäß Art. 6 DSGVO sicherzustellen;
  • die Informationspflichten gemäß Art. 13 und 14 DSGVO gegenüber den betroffenen Personen zu erfüllen;
  • seine Mitarbeiter, die Zugriff auf die Plattform haben, zur Vertraulichkeit zu verpflichten;
  • Zugangsdaten sicher zu verwahren und Verlust oder unbefugten Zugriff unverzüglich an datenschutz@augenblick-control.de zu melden;
  • nur die Inhalte in den Dienst einzustellen, zu denen er berechtigt ist;
  • besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO nur mit angemessener Rechtsgrundlage und in eigener Verantwortung einzustellen.

(2) Der Verantwortliche benennt dem Anbieter auf Anforderung einen Ansprechpartner für datenschutzrechtliche Angelegenheiten.

(3) Werden Subunternehmer oder Eigentümer in den Workspace eingebunden, stellt der Verantwortliche sicher, dass diese auf die Verarbeitung ihrer Daten in geeigneter Weise hingewiesen werden und entsprechende Rechtsgrundlagen bestehen.

(4) Legt der Verantwortliche für eigene Beschäftigte (Mitarbeiterinnen und Mitarbeiter) Nutzerkonten an oder gewährt diesen Zugang zur Plattform, so ist allein der Verantwortliche dafür verantwortlich, diese Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten im Rahmen der Plattformnutzung gemäß Art. 13 DSGVO sowie § 26 BDSG zu informieren und hierfür eine geeignete Rechtsgrundlage sicherzustellen. Die Beschäftigten des Verantwortlichen handeln bei der Nutzung der Plattform als dem Verantwortlichen zuzurechnende Personen im Sinne von Art. 29 DSGVO; sie werden hierdurch nicht selbst Vertragspartei dieses AVV oder des Hauptvertrages. Der Anbieter stellt den Beschäftigten die jeweils aktuelle Datenschutzerklärung innerhalb der Anwendung zur Einsichtnahme bereit; eine darüber hinausgehende Informations- oder Nachweispflicht des Anbieters gegenüber den Beschäftigten des Verantwortlichen besteht nicht.

§ 8 Vertraulichkeit

(1) Der Anbieter verpflichtet alle Mitarbeiter, Erfüllungs- und Verrichtungsgehilfen, die Zugang zu den im Auftrag verarbeiteten Daten haben, zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b und Art. 29 DSGVO sowie § 53 BDSG. Die Verpflichtung wird in Textform dokumentiert und gilt auch nach Beendigung des Beschäftigungsverhältnisses fort.

(2) Der Anbieter stellt sicher, dass die zur Verarbeitung befugten Personen in geeigneter Weise zum Datenschutz geschult werden.

§ 9 Technische und organisatorische Maßnahmen (TOM)

(1) Der Anbieter trifft die in Anlage 1 dieses AVV beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese Maßnahmen entsprechen dem Stand der Technik und werden unter Berücksichtigung von Art und Umfang der Verarbeitung sowie des Risikos für die Rechte und Freiheiten der betroffenen Personen ausgewählt und regelmäßig überprüft.

(2) Der Anbieter ist berechtigt, die TOM weiterzuentwickeln und an den jeweiligen Stand der Technik anzupassen, soweit das Schutzniveau hierdurch nicht unterschritten wird. Wesentliche Änderungen werden dem Verantwortlichen in Textform mitgeteilt.

(3) Auf Anfrage stellt der Anbieter dem Verantwortlichen eine aktuelle Fassung der TOM zur Verfügung.

§ 10 Unterauftragsverarbeiter

(1) Die zum Zeitpunkt des Vertragsschlusses bestehenden Unterauftragsverarbeiter sind in Anlage 2 dieses AVV aufgelistet. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Abschluss dieses AVV zu.

(2) Der Anbieter ist berechtigt, weitere Unterauftragsverarbeiter zu beauftragen oder bestehende auszutauschen. Der Anbieter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder den Ersatz von Unterauftragsverarbeitern in Textform mindestens vierzehn (14) Kalendertage vor Wirksamwerden der Änderung.

(3) Der Verantwortliche kann der beabsichtigten Änderung innerhalb der Frist gemäß Absatz 2 in Textform aus berechtigten datenschutzrechtlichen Gründen widersprechen. Im Falle eines berechtigten Widerspruchs gilt Folgendes:

  • Der Anbieter wird nach billigem Ermessen prüfen, ob die Änderung im konkreten Fall des Verantwortlichen vermieden oder durch alternative Maßnahmen ersetzt werden kann.
  • Ist eine Vermeidung oder Alternative wirtschaftlich unzumutbar, steht dem Verantwortlichen ein Sonderkündigungsrecht des Hauptvertrages zum Wirksamwerden der Änderung zu.

(4) Der Anbieter verpflichtet jeden Unterauftragsverarbeiter durch einen schriftlichen Vertrag oder ein anderes Rechtsinstrument zur Einhaltung von Datenschutzpflichten, die denjenigen dieses AVV im Wesentlichen entsprechen, insbesondere zu hinreichenden Garantien hinsichtlich geeigneter technischer und organisatorischer Maßnahmen.

(4a) Back-to-Back-Verpflichtung für weitere Unterauftragsverarbeiter: Der Anbieter stellt sicher, dass jeder Unterauftragsverarbeiter seinerseits geeignete Garantien für die von ihm beauftragten weiteren Unterauftragsverarbeiter (sub-sub-processors) erbringt und diese ebenfalls auf vergleichbare Datenschutzpflichten verpflichtet (sog. Back-to-Back-Verpflichtung). Eine vollständige Liste der weiteren Unterauftragsverarbeiter der wesentlichen Subprozessoren ist über folgende Quellen abrufbar:

(5) Erfüllt der Unterauftragsverarbeiter die ihm obliegenden Datenschutzpflichten nicht, haftet der Anbieter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Unterauftragsverarbeiters.

(6) Nicht als Unterauftragsverarbeitung im Sinne dieses § 10 gelten Nebenleistungen, die der Anbieter zur Erbringung der Hauptleistung in Anspruch nimmt (z. B. Telekommunikationsleistungen, Wartung und Reinigung der Geschäftsräume, Entsorgung von Datenträgern). Die Pflicht des Anbieters, in solchen Fällen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen, bleibt hiervon unberührt.

§ 11 Drittlandtransfer

(1) Die Hauptverarbeitung der Inhaltsdaten erfolgt ausschließlich auf Servern innerhalb der Europäischen Union, konkret in der Region europe-west3 (Frankfurt am Main, Deutschland) der Google Cloud Platform.

(2) Eine Übermittlung personenbezogener Daten in Drittländer im Sinne von Art. 44 ff. DSGVO findet ausschließlich in den in Anlage 2 ausdrücklich gekennzeichneten Fällen statt. Diese Übermittlungen werden auf folgende Garantien gestützt:

  • EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023, Implementing Decision (EU) 2023/1795) für DPF-zertifizierte Empfänger;
  • Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914 vom 04.06.2021), gegebenenfalls ergänzt durch zusätzliche Maßnahmen gemäß den EDPB-Empfehlungen 01/2020.

(3) Der Anbieter stellt sicher, dass für jede Drittlandübermittlung eine geeignete Rechtsgrundlage gemäß Art. 44 ff. DSGVO vorliegt und auf Anfrage des Verantwortlichen Nachweise hierüber vorgelegt werden können.

§ 12 Mitwirkung bei Betroffenenrechten

(1) Der Anbieter unterstützt den Verantwortlichen bei der Erfüllung von Anträgen betroffener Personen gemäß Art. 12 bis 22 DSGVO, insbesondere:

  • Recht auf Auskunft (Art. 15);
  • Recht auf Berichtigung (Art. 16);
  • Recht auf Löschung — „Recht auf Vergessenwerden" (Art. 17);
  • Recht auf Einschränkung der Verarbeitung (Art. 18);
  • Recht auf Datenübertragbarkeit (Art. 20);
  • Widerspruchsrecht (Art. 21);
  • Rechte hinsichtlich automatisierter Entscheidungen (Art. 22 — derzeit nicht relevant, da keine automatisierten Einzelentscheidungen erfolgen).

(2) Wendet sich eine betroffene Person direkt an den Anbieter, leitet der Anbieter dieses Anliegen unverzüglich, in der Regel binnen drei (3) Werktagen, an den Verantwortlichen weiter. Der Anbieter beantwortet solche Anfragen nicht selbst, es sei denn, der Verantwortliche hat hierzu eine ausdrückliche Weisung erteilt. Die allgemeinen Antwortfristen gemäß § 6 Abs. 9 dieses AVV bleiben hiervon unberührt.

(3) Wendet sich der Verantwortliche mit einem Mitwirkungsersuchen an den Anbieter (z. B. zur Erfüllung eines Auskunftsersuchens), antwortet der Anbieter unverzüglich, in Standard-Fällen innerhalb von fünf (5) Werktagen. Bei komplexen Mitwirkungsersuchen, die einen erheblichen technischen oder rechtlichen Aufwand erfordern, kann sich die Antwortfrist auf bis zu zehn (10) Werktage verlängern; in diesem Fall informiert der Anbieter den Verantwortlichen unverzüglich über die Verlängerung und deren Gründe. In besonders eilbedürftigen Fällen verkürzen sich die Fristen auf das technisch und organisatorisch Mögliche, damit der Verantwortliche seine Pflichten gegenüber den betroffenen Personen gemäß Art. 12 Abs. 3 DSGVO (Antwortfrist eines Monats) einhalten kann.

(4) Die Plattform stellt dem Verantwortlichen folgende Self-Service-Funktionen zur Verfügung, die eine direkte Erfüllung von Betroffenenrechten ohne Mitwirkung des Anbieters ermöglichen:

  • vollständiger Datenexport in maschinenlesbaren Formaten (PDF, Excel, JSON, ZIP);
  • Bearbeitung und Berichtigung von Datensätzen;
  • Löschung einzelner Datensätze sowie ganzer Workspaces (Soft-Delete mit 30-Tage-Frist).

(5) Aufwendungen, die dem Anbieter durch eine über die in Absatz 4 vorgesehenen Self-Service-Funktionen hinausgehende Mitwirkung entstehen, kann der Anbieter dem Verantwortlichen zu seinen jeweils aktuellen Stundensätzen in Rechnung stellen, soweit die zusätzliche Mitwirkung nicht auf einem Verstoß des Anbieters gegen seine Pflichten beruht.

§ 13 Datenschutzverletzungen

(1) Der Anbieter informiert den Verantwortlichen unverzüglich nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, spätestens jedoch innerhalb von achtundvierzig (48) Stunden nach Kenntniserlangung. Diese Frist berücksichtigt die für den Verantwortlichen geltende 72-Stunden-Meldefrist gemäß Art. 33 DSGVO und stellt sicher, dass dem Verantwortlichen ausreichend Zeit für eigene Bewertung und Meldung an die Aufsichtsbehörde verbleibt. Die Information erfolgt an die vom Verantwortlichen hinterlegte Datenschutz-Kontaktadresse oder, soweit nicht hinterlegt, an die Account-Hauptadresse.

(2) Die Meldung des Anbieters enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit dem Anbieter zum Zeitpunkt der Meldung verfügbar:

  • Beschreibung der Art der Verletzung sowie soweit möglich Kategorien und ungefähre Anzahl der betroffenen Personen, Kategorien und ungefähre Anzahl der betroffenen Datensätze;
  • Name und Kontaktdaten des Anbieter-Datenschutzansprechpartners;
  • Beschreibung der wahrscheinlichen Folgen der Verletzung;
  • Beschreibung der vom Anbieter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Begrenzung möglicher nachteiliger Folgen.

(3) Soweit nicht alle Informationen sofort verfügbar sind, übermittelt der Anbieter sie ohne unangemessene weitere Verzögerung in mehreren Schritten nach.

(4) Der Anbieter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 33 (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden) und Art. 34 (Benachrichtigung der betroffenen Personen) DSGVO.

(5) Der Anbieter dokumentiert sämtliche Verletzungen des Schutzes personenbezogener Daten und stellt diese Dokumentation auf Anfrage dem Verantwortlichen sowie der Aufsichtsbehörde zur Verfügung.

§ 14 Datenschutz-Folgenabschätzung und Konsultation

(1) Soweit die vom Verantwortlichen geplanten Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO oder eine vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO erfordern, unterstützt der Anbieter den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

(2) Die Unterstützung umfasst insbesondere:

  • Bereitstellung von Informationen über Art, Umfang und Zwecke der Verarbeitung;
  • Bereitstellung der TOM-Dokumentation gemäß Anlage 1;
  • Bereitstellung der Liste der Unterauftragsverarbeiter gemäß Anlage 2;
  • Beantwortung schriftlicher Fragen zu den getroffenen Schutzmaßnahmen.

(3) Über die Bereitstellung von Informationen hinausgehende Unterstützung (z. B. eigene Risikobewertungen, Empfehlungen) erbringt der Anbieter zu seinen jeweils aktuellen Stundensätzen.

§ 15 Kontroll- und Auditrechte

(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der Pflichten dieses AVV durch den Anbieter zu überzeugen. Die Überprüfung erfolgt nach Maßgabe der nachfolgenden Absätze auf drei Stufen.

(2) Stufe 1 — Dauerhaft verfügbare Informationen (kostenfrei):

  • vollständige Dokumentation der TOM gemäß Anlage 1;
  • aktuelle Liste der Unterauftragsverarbeiter gemäß Anlage 2;
  • Nachweise über bestehende Zertifizierungen der wesentlichen Unterauftragsverarbeiter (insbesondere ISO 27001, SOC 2 von Google Cloud Platform);
  • diese AVV sowie die Datenschutzerklärung des Anbieters in der jeweils aktuellen Fassung.

(3) Stufe 2 — Schriftliche Auskunft auf Anfrage (kostenfrei, einmal pro Kalenderjahr):

  • schriftliche Beantwortung konkreter datenschutzrechtlicher Fragen durch den Anbieter;
  • Bestätigung der Implementierung einzelner TOM-Maßnahmen;
  • bei Tarifen Premium und Enterprise: Auszug aus dem Audit-Log auf Anfrage des Verantwortlichen für seinen eigenen Workspace;
  • Antwortfrist: in der Regel zwanzig (20) Werktage nach Eingang der Anfrage.

(4) Stufe 3 — Vor-Ort-Audit:

  • Frequenz: maximal einmal pro Kalenderjahr; Ausnahmen gelten bei dokumentierten Datenpannen oder behördlichen Anordnungen;
  • Ankündigung: mindestens dreißig (30) Werktage in Textform vor dem geplanten Termin;
  • Durchführungszeit: ausschließlich an Werktagen (Montag bis Freitag) zu üblichen Geschäftszeiten (09:00 bis 17:00 Uhr MEZ/MESZ);
  • Prüfumfang: ausschließlich der für die konkrete Auftragsverarbeitung relevante Bereich; Geschäftsgeheimnisse, Daten anderer Kunden sowie nicht relevante interne Prozesse sind ausgenommen;
  • Geheimhaltung: vor Beginn des Audits unterzeichnen alle Prüfer eine angemessene Vertraulichkeitsvereinbarung;
  • Beauftragter Prüfer: muss von beiden Vertragsparteien unabhängig sein und darf kein Wettbewerber des Anbieters sein;
  • Kostenbeteiligung: der dem Anbieter durch das Audit entstehende Aufwand wird zu marktüblichen Stundensätzen für IT-Datenschutzberatung abgerechnet. Diese liegen derzeit zwischen 120 und 200 EUR netto pro Stunde. Eine Schätzung des erwarteten Aufwands wird dem Verantwortlichen vor Beginn des Audits in Textform mitgeteilt. Hiervon ausgenommen sind Audits, die auf einen vom Anbieter zu vertretenden Verstoß zurückzuführen sind; in solchen Fällen trägt der Anbieter seinen eigenen Aufwand.

(5) Anstelle eines Vor-Ort-Audits kann sich der Verantwortliche auf den jeweils aktuellen Bericht eines unabhängigen Prüfers (z. B. ISO 27001-Zertifikat, SOC 2-Bericht eines wesentlichen Unterauftragsverarbeiters) beziehen, sofern dieser den konkreten Prüfgegenstand abdeckt.

§ 16 Rückgabe oder Löschung nach Vertragsende

(1) Nach Beendigung des Hauptvertrages gewährt der Anbieter dem Verantwortlichen für einen Zeitraum von dreißig (30) Tagen einen Read-Only-Zugriff auf den Workspace zur eigenständigen Datensicherung. Während dieser Zeit kann der Verantwortliche sämtliche Inhaltsdaten in maschinenlesbaren Formaten (PDF, Excel, JSON, ZIP) exportieren.

(2) Nach Ablauf der Frist gemäß Absatz 1 oder auf vorherige ausdrückliche Weisung des Verantwortlichen werden sämtliche personenbezogenen Daten des Verantwortlichen aus den Produktivsystemen des Anbieters endgültig und unwiederbringlich gelöscht.

(3) Aus den Backup-Systemen des Anbieters werden die Daten im Rahmen der jeweiligen Backup-Rotation spätestens nach neunzig (90) Tagen automatisch entfernt.

(4) Von der Löschung ausgenommen sind Daten, deren weitere Aufbewahrung aufgrund handels- oder steuerrechtlicher Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO — bis zu 10 Jahre) oder konkreter rechtlicher Auseinandersetzungen erforderlich ist. Solche Daten werden gesondert gespeichert, in der Verarbeitung eingeschränkt und nach Wegfall des Aufbewahrungsgrundes ebenfalls gelöscht.

(5) Auf schriftliche Anfrage bestätigt der Anbieter dem Verantwortlichen die erfolgte Löschung in Textform.

§ 17 Haftung

(1) Für die Haftung der Vertragsparteien gegenüber betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis zwischen den Vertragsparteien gelten ergänzend die nachfolgenden Regelungen.

(2) Die Haftungsregelungen des § 12 der AGB des Anbieters gelten für diesen AVV entsprechend, insbesondere die dort vereinbarte Haftungsbegrenzung pro Schadensfall und pro Kalenderjahr. Die Haftung für Vorsatz und grobe Fahrlässigkeit, für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie nach den Vorschriften des Produkthaftungsgesetzes bleibt unbeschränkt.

(3) Die Vertragsparteien stellen sich im Innenverhältnis nach Maßgabe ihres jeweiligen Verschuldens und Verursachungsbeitrags von Ansprüchen Dritter und Geldbußen frei. Eine Haftung des Anbieters für Geldbußen, die aufgrund einer rechtswidrigen Weisung des Verantwortlichen oder eines vom Verantwortlichen zu vertretenden Verstoßes gegen die DSGVO verhängt werden, ist ausgeschlossen.

(3a) Wechselseitige Freistellung: Der Anbieter stellt den Verantwortlichen von Ansprüchen Dritter und behördlichen Geldbußen frei, soweit diese nachweislich auf einer vom Anbieter zu vertretenden Pflichtverletzung dieses AVV beruhen. Der Umfang dieser Freistellung ist auf die Haftungsbegrenzung gemäß § 12 der AGB des Anbieters beschränkt; § 12 Abs. 3a der AGB bleibt unberührt.

(4) Für die Verjährung von Schadensersatzansprüchen aus diesem AVV gilt § 12 Abs. 7 der AGB des Anbieters.

§ 18 Vertragsdauer und Kündigung

(1) Dieser AVV beginnt mit der Registrierung und Bereitstellung des Workspace gemäß den AGB (einschließlich der kostenlosen Testphase) und endet, ohne dass es einer gesonderten Kündigung bedarf, mit der Beendigung des Hauptvertrages.

(2) Die Pflichten des Anbieters gemäß § 16 (Rückgabe oder Löschung), § 8 (Vertraulichkeit) sowie die nachvertraglichen Mitwirkungspflichten gelten über die Beendigung dieses AVV hinaus fort.

(3) Das Recht zur außerordentlichen Kündigung des Hauptvertrages aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Verantwortlichen insbesondere bei einem schwerwiegenden Verstoß des Anbieters gegen seine Pflichten aus diesem AVV vor, der nach Mahnung mit angemessener Frist nicht abgestellt wird.

§ 19 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist München, sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen ist.

(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(4) Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung; soweit eine solche fehlt, gilt diejenige Regelung als vereinbart, die dem wirtschaftlich Gewollten am nächsten kommt.

(5) Im Falle von Widersprüchen zwischen diesem AVV und den AGB des Anbieters gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

§ 20 Abschluss-Modalitäten

(1) Dieser AVV wird in folgenden Formen wirksam vereinbart:

(2) Online-Click-Vereinbarung (Standard für alle Tarife): Bereits mit der Registrierung — und damit vor Einbringung erster Inhaltsdaten in der Testphase — erkennt der Verantwortliche die Geltung dieses AVV verbindlich an; dies gilt unabhängig von der späteren Aktivierung eines kostenpflichtigen Tarifs. Die elektronische Annahme ist gemäß § 126b BGB textformwirksam.

(3) Unterschriebene PDF-Version (auf Anfrage für Tarife Premium und Enterprise): Verantwortliche, die einen unterzeichneten Vertrag bevorzugen, können eine unterschriftsfertige PDF-Version dieses AVV bei datenschutz@augenblick-control.de anfordern. Die unterschriebene Version ersetzt für den jeweiligen Verantwortlichen die Online-Click-Vereinbarung; im Übrigen ist sie inhaltlich identisch.

(4) Die jeweils aktuelle Fassung dieses AVV ist unter https://augenblick-control.de/avv abrufbar. Versionswechsel werden gemäß § 1 Abs. 4 der AGB mitgeteilt.


Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

Stand: 13. Juni 2026

Die folgenden technischen und organisatorischen Maßnahmen werden vom Anbieter zum Schutz der im Auftrag verarbeiteten personenbezogenen Daten getroffen. Die Maßnahmen entsprechen den Anforderungen von Art. 32 DSGVO und werden regelmäßig überprüft und an den Stand der Technik angepasst.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Da die Datenverarbeitung ausschließlich in Rechenzentren der Google Cloud Platform (Region europe-west3, Frankfurt am Main) erfolgt, gelten die Maßnahmen der physischen Zutrittskontrolle des Hosters:

  • Mehrstufige Sicherheitskontrollen in den Rechenzentren (Biometrie, Zutrittskarten, mehrstufige Schleusen);
  • 24/7-Videoüberwachung und Alarmsysteme;
  • Zertifizierungen: ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1/2/3;
  • Nachweise verfügbar unter: https://cloud.google.com/security/compliance

Die Geschäftsräume des Anbieters in Unterschleißheim verarbeiten keine produktiven Kundendaten. Alle Datenverarbeitung erfolgt remote über gesicherte Verbindungen zu den Cloud-Systemen.

1.2 Zugangskontrolle

  • Authentifizierung der Nutzer per E-Mail/Passwort mit PBKDF2-SHA256 (600.000 Iterationen);
  • JWT-basierte Sessions (HS256) mit Token-Rotation;
  • Mehr-Faktor-Authentifizierung (MFA) verpflichtend für administrative Konten des Anbieters;
  • Automatisches Sperren von Accounts nach mehreren Fehlversuchen (Brute-Force-Schutz);
  • Sichere Passwort-Wiederherstellung nur über verifizierte E-Mail mit zeitlich begrenzten Tokens;
  • Keine Speicherung von Klartextpasswörtern.

1.3 Zugriffskontrolle

  • Rollenbasiertes Zugriffsmodell (RBAC) mit vier Rollen: Owner, Teamleiter, Admin, Inspector;
  • Attribut-basierte Erweiterung (ABAC) für eingeschränkte Subunternehmer-Zugriffe;
  • Prinzip der geringsten Rechte (Least Privilege);
  • Trennung der Berechtigungen für administrative Mitarbeiter des Anbieters: nur ein begrenzter Personenkreis hat operativen Zugriff auf Produktivsysteme;
  • Sämtliche administrativen Zugriffe werden protokolliert (Audit-Log).

1.4 Trennungskontrolle

  • Multi-Tenant-Architektur mit logischer Trennung auf Datenbankebene (workspaces/{workspaceId}/...);
  • Daten verschiedener Kunden werden niemals vermischt;
  • Test- und Produktivsysteme sind strikt getrennt;
  • Strikt getrennte Service Accounts für die jeweiligen Microservices.

1.5 Pseudonymisierung

  • Verwendung von eindeutigen User-IDs anstelle von Klarnamen in Log-Dateien;
  • Anonymisierung von IP-Adressen in Logs nach 30 Tagen;
  • Test- und Entwicklungsumgebungen verwenden ausschließlich pseudonymisierte oder synthetische Daten.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle (Verschlüsselung)

  • Verschlüsselung sämtlicher Datenübertragungen mit TLS 1.3 (HTTPS);
  • HSTS (HTTP Strict Transport Security) für alle öffentlichen Domains aktiviert;
  • Verschlüsselung gespeicherter Daten (Encryption at Rest) mit AES-256 durch Google Cloud Storage und Firestore;
  • HMAC-SHA256-signierte Service-zu-Service-Kommunikation innerhalb der Backend-Infrastruktur;
  • Magic-Bytes-Validierung hochgeladener Dateien zum Schutz vor Manipulation.

2.2 Eingabekontrolle

  • Audit-Trail-Funktionalität in den Tarifen Premium und Enterprise: Aufzeichnung von Erstellung, Änderung und Löschung wesentlicher Datensätze mit Zeitstempel und ausführender Identität;
  • Server-seitige Validierung sämtlicher Eingaben (Zod-Schema-Validierung);
  • Schutz vor SQL-Injection durch ausschließliche Verwendung parametrisierter Abfragen / Firestore-API.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Auto-Scaling-Infrastruktur (Cloud Run, Firestore) mit redundantem Multi-Zone-Deployment;
  • Geo-redundante Speicherung innerhalb der EU-Region;
  • Point-in-Time Recovery (PITR) für Firestore mit einem Wiederherstellungsfenster von 7 Tagen;
  • Tägliche Backup-Exports mit einer Aufbewahrungsdauer von 90 Tagen;
  • Cloud Monitoring und Alerting (Google Cloud Operations Suite);
  • Circuit Breaker, Retry-Mechanismen und Rate Limiting auf Microservice-Ebene;
  • Notfall-Wiederherstellungsverfahren dokumentiert (Disaster Recovery Plan).

4. Wiederherstellbarkeit nach Vorfall (Art. 32 Abs. 1 lit. c DSGVO)

  • Wiederherstellung aus PITR innerhalb von wenigen Stunden möglich;
  • Wiederherstellung aus täglichen Backups innerhalb eines Werktages möglich;
  • Regelmäßige Wiederherstellungstests auf Stichprobenbasis;
  • Versionierung kritischer Konfigurationen über Infrastructure-as-Code (Git).

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

  • Code-Reviews vor jedem Produktivrelease (4-Augen-Prinzip);
  • Automatisierte Sicherheitsprüfungen in der CI/CD-Pipeline (Dependency-Scanning, Static Code Analysis);
  • Aktualisierung von Abhängigkeiten und Sicherheitsupdates nach festgelegtem Patch-Management-Verfahren;
  • Jährliche Überprüfung und Aktualisierung dieser TOM;
  • Geplant: Penetrationstests durch externe Anbieter (in Vorbereitung);
  • Geplant: ISO/IEC 27001-Zertifizierung des Anbieters (Roadmap: Vorbereitung 2026, Erstzertifizierung im Geschäftsjahr 2027). Bis zur Erstzertifizierung gelten die Sicherheitsstandards des Hosters Google Cloud (ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3) als technische Grundlage.

6. Auftragskontrolle (Art. 28 DSGVO)

  • Schriftliche Auftragsverarbeitungsverträge bzw. gleichwertige Rechtsinstrumente mit allen Unterauftragsverarbeitern (siehe Anlage 2);
  • Regelmäßige Überprüfung der Datenschutzkonformität der Unterauftragsverarbeiter anhand veröffentlichter Zertifizierungen;
  • Dokumentation aller Drittlandtransfers mit zugrundeliegenden Garantien (DPF, SCC).

7. Datenschutz durch Technikgestaltung und Voreinstellung (Art. 25 DSGVO)

  • Privacy-by-Design-Prinzipien bei der Entwicklung neuer Funktionen;
  • Privacy-by-Default-Konfiguration: standardmäßig minimale Datenerhebung;
  • Optionale Geolocation: nur auf aktive Freigabe durch den Nutzer;
  • Datenminimierung: Anonymisierung von IP-Adressen, automatisierte Bereinigung verwaister Daten;
  • Self-Service-Funktionen für Datenexport und -löschung.

8. Organisatorische Maßnahmen

  • Verpflichtung aller Mitarbeiter zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b und Art. 29 DSGVO sowie § 53 BDSG;
  • Regelmäßige Schulung der Mitarbeiter zu Datenschutz und IT-Sicherheit;
  • Dokumentiertes Verfahren zur Meldung von Datenschutzverletzungen (Art. 33 DSGVO);
  • Dokumentiertes Verfahren zur Bearbeitung von Betroffenenanfragen (Art. 12 ff. DSGVO);
  • Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO;
  • Datenschutz-Ansprechpartner: datenschutz@augenblick-control.de.

Anlage 2 — Liste der Unterauftragsverarbeiter

Stand: 13. Juni 2026

Die nachfolgende Tabelle enthält sämtliche Unterauftragsverarbeiter, die der Anbieter zur Erbringung der Leistungen gemäß den AGB einsetzt. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Abschluss dieses AVV zu.

Wesentliche Unterauftragsverarbeiter (Hauptverarbeitung)

Anbieter Sitz / Region Verarbeitungszweck Drittland Garantie
Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Irland
EU (europe-west3, Frankfurt am Main) Hosting der gesamten Plattform: Firebase Hosting (Website), Cloud Run (Backend-Dienste), Cloud Firestore (Datenbank), Cloud Storage (Datei-Speicherung), Pub/Sub (Nachrichten-Queue) In Einzelfällen Übermittlung an Konzernmutter Google LLC (USA) bei technischem Support, betriebsnotwendigen Wartungsvorgängen oder Inanspruchnahme global erbrachter Dienstleistungen EU-US Data Privacy Framework (DPF), Google Cloud DPA vom 09.04.2024
Stripe Payments Europe Ltd.
1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
EU (Hauptverarbeitung) Zahlungsabwicklung für Abonnements, Rechnungserstellung In Einzelfällen Übermittlung an Konzernmutter Stripe, LLC (vormals Stripe, Inc.; Umfirmierung zum 03.01.2026), South San Francisco, USA, bei technischem Support, Betrugspräventions-Analysen oder bei vom Kunden initiierter Auswahl US-spezifischer Stripe-Funktionen EU-US Data Privacy Framework (DPF) seit 10.07.2023, Standardvertragsklauseln, Stripe DPA
Mailjet SAS (Sinch-Gruppe)
43 rue de Dunkerque, 75010 Paris, Frankreich
RCS Paris 524 536 992
EU (Frankreich; Hosting-Rechenzentren in Frankfurt am Main, Deutschland und Saint-Ghislain, Belgien) Versand transaktionaler E-Mails (Registrierungsbestätigung, E-Mail-Verifikation, Passwort-Wiederherstellung, System- und Rechnungsbenachrichtigungen) Kein Drittlandtransfer: Verarbeitung und Speicherung erfolgen ausschließlich innerhalb der Europäischen Union Mailjet Data Processing Agreement; ISO/IEC 27001 zertifiziert; DSGVO-konforme EU-Infrastruktur

Weitere aktive Unterauftragsverarbeiter (standardmäßig aktiv bzw. bei Aktivierung bestimmter Funktionen)

Anbieter Sitz / Region Verarbeitungszweck Drittland Garantie
Google Ireland Limited (Firebase Cloud Messaging)
Gordon House, Barrow Street, Dublin 4, Irland
EU/global (Push-Infrastruktur) Versand von Push-Benachrichtigungen an Endgeräte (Fristen- und Mängel-Erinnerungen; in allen Tarifen verfügbar; Endnutzer können Push-Benachrichtigungen jederzeit deaktivieren) Übermittlung an Konzernmutter Google LLC (USA) erfolgt regelmäßig im Rahmen des globalen Push-Mitteilungsdienstes EU-US Data Privacy Framework (DPF), Google Cloud DPA
Functional Software, Inc. (Sentry)
132 Hawthorne Street, San Francisco, CA 94107, USA
EU Data Region (Frankfurt am Main); Endpunkt ingest.de.sentry.io Error-Tracking und Performance-Monitoring der Webanwendung (Crash-Berichte, Stack-Traces). Standardmäßig aktiv (aktiv seit 02.06.2026); vor jeder Übermittlung Entfernung personenbezogener Daten durch PII-Filter, serverseitige Verwerfung der IP-Adressen, Performance-Tracing deaktiviert In Einzelfällen Übermittlung an Konzernmutter Functional Software, Inc. (USA) bei technischem Support, betriebsnotwendigen Wartungsvorgängen oder aggregierten anonymisierten Statistiken EU-US Data Privacy Framework (DPF), Standardvertragsklauseln der EU-Kommission, Sentry DPA

Geplante zukünftige Unterauftragsverarbeiter

Zum Stand dieser Anlage sind keine zusätzlichen Unterauftragsverarbeiter geplant. Neue Unterauftragsverarbeiter werden gemäß § 10 dieses AVV mindestens vierzehn (14) Kalendertage vor Aktivierung in Textform angekündigt; diese Anlage 2 wird sodann entsprechend aktualisiert.

Eigene Verantwortliche im Zusammenhang mit den mobilen Anwendungen

Die folgenden Anbieter sind keine Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO, sondern verarbeiten personenbezogene Daten der Endnutzer der mobilen Anwendung des Anbieters in eigener datenschutzrechtlicher Verantwortung. Sie stehen in keinem Auftragsverarbeitungsverhältnis zum Anbieter und damit auch nicht zum Verantwortlichen dieses AVV:

  • Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland (Konzernmutter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA) — Distribution der iOS-Anwendung über den Apple App Store sowie Betrieb des Apple Push Notification Service (APNs). Apple Inc. ist DPF-zertifiziert.
  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Konzernmutter: Google LLC, USA) — Distribution der Android-Anwendung über den Google Play Store. Google LLC ist DPF-zertifiziert.
  • OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Vereinigtes Königreich — Bereitstellung von Karten-Tiles innerhalb der mobilen Anwendung. Eigener Verantwortlicher; Übermittlung in das Vereinigte Königreich auf Grundlage des jeweils geltenden Angemessenheitsbeschlusses der EU-Kommission für das Vereinigte Königreich.

Nicht-Unterauftragsverarbeiter

Die folgenden Dienste werden vom Anbieter im Rahmen seiner eigenen Geschäftstätigkeit (nicht für die Auftragsverarbeitung) eingesetzt:

  • Tally BV (Besloten Vennootschap), August Van Lokerenstraat 71, 9050 Gent, Belgien (KBO 0776.979.007) — Kontaktformular auf der Website des Anbieters. Verarbeitet keine Auftragsdaten des Verantwortlichen, sondern ausschließlich vorvertragliche Kontaktanfragen. AVV-Grundlage: Auftragsverarbeitungsvertrag mit Tally BV in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO.
  • eRecht24 GmbH & Co. KG, Lietzenburger Straße 94, 10719 Berlin — Erstellung der Rechtstexte des Anbieters (Impressum, Datenschutzerklärung, AGB, AVV).

Diese Anlagen sind integraler Bestandteil des AVV. Aktualisierungen werden gemäß § 10 dieses AVV mitgeteilt.