Auftragsverarbeitungsvertrag (AVV)

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierten Weisungen des Verantwortlichen im Rahmen des Salonnare-Dienstes.

Dieser AVV gilt für die Laufzeit des zugrunde liegenden Abonnements und endet automatisch mit dessen Ende, vorbehaltlich Abschnitt 10 (Ende der Verarbeitung).

Art: Speicherung, Anzeige, Strukturierung, Abruf, Übermittlung (E-Mail/WhatsApp), Löschung und Sicherung personenbezogener Daten in einer Multi-Tenant-Cloud-SaaS-Umgebung.

Zweck: Erbringung der Salonnare-Funktionalität (Terminverwaltung, POS, Rechnung, Kampagnen, Benachrichtigungen, Berichte, Kundenkartei) gemäß den Weisungen, die der Verantwortliche über die Anwendungsoberfläche oder Support-Kanäle gibt.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für eigene oder fremde Zwecke, außer soweit erforderlich für die Dienstleistung, für anonyme/aggregierte Produktforschung oder gesetzliche Pflichten.

Betroffene: Salon-Endkunden; Mitarbeiter/Stylisten des Salons; Lieferanten und Kontakte, die der Verantwortliche erfasst.

Kategorien: Kontaktdaten, Identifikatoren (Kundennummer), Terminhistorie, Dienstleistungen, Rechnungen, Zahlungen, Notizen, Fotos, Präferenzen, Gutschein-/Treuestände, Kommunikation per E-Mail/WhatsApp, Bewertungen.

Besondere Kategorien (Art. 9 DSGVO) - wie Gesundheitsnotizen (Allergien, Medikation, Hautzustände, Schwangerschaft) - werden in einem dedizierten verschlüsselten Vault gespeichert, getrennt von den regulären Kundennotizen. Der Auftragsverarbeiter setzt dafür folgende zusätzliche Schutzmaßnahmen ein:

• AES-256-GCM Envelope-Verschlüsselung mit einem mandantenspezifischen Datenschlüssel, der seinerseits mit einem Plattform-Master-Key umhüllt wird.

• Der Master-Key wird ausschließlich in Umgebungsvariablen verwahrt, getrennt von Datenbank-Backups; ein Verlust des Keys macht sämtliche Vault-Daten dauerhaft unlesbar.

• Rollenbasierte Zugriffskontrolle über ein separates Berechtigungs-Flag (can_view_health_notes), je Mitgliedschaft auditierbar; Administratoren werden nicht automatisch durchgereicht.

• Unveränderbares Zugriffsprotokoll: Jedes Lesen, Schreiben, Herunterladen und Löschen wird mit Akteur, IP-Adresse und Zeitstempel erfasst und 24 Monate aufbewahrt.

• Standard-Aufbewahrung von 12 Monaten + 30 Tagen Schonfrist, je Notiz vom Verantwortlichen konfigurierbar.

• Plattform-Impersonierung ist auf den Gesundheitsdaten-Routen technisch blockiert (Defense-in-Depth).

Der Verantwortliche bleibt verpflichtet, die Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO festzulegen und zu dokumentieren (in der Regel ausdrückliche Einwilligung oder lebenswichtige Interessen). Der Auftragsverarbeiter stellt die technische Möglichkeit bereit, eine solche Einwilligung über ein separates Consent-Event-Log zu erfassen, nachzuweisen und zu widerrufen. Technische Details siehe Runbook "art9-health-data-vault".

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht gesetzlich zur Verarbeitung verpflichtet ist. In diesem Fall informiert er den Verantwortlichen vor der Verarbeitung, sofern dies nicht gesetzlich verboten ist.

Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich.

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit schriftlich verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Zugriff auf Produktionsdaten ist auf den Gründer von VanIersel Development und ausdrücklich befugte Personen unter 2FA beschränkt.

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Ermächtigung zum Einsatz von Unter-Auftragsverarbeitern. Die aktuelle Liste steht auf salonnare.com/sub-processors und wird durch Bezugnahme Bestandteil.

Der Auftragsverarbeiter kündigt neue oder ersetzende Unter-Auftragsverarbeiter mindestens 30 Tage vor Einsatz an. Der Verantwortliche kann innerhalb dieser 30 Tage begründet widersprechen. Kann der Widerspruch nicht angemessen gelöst werden, kann der Verantwortliche das Abonnement außerordentlich kündigen, soweit der Unter-Auftragsverarbeiter eingesetzt wird.

Der Auftragsverarbeiter verpflichtet jeden Unter-Auftragsverarbeiter zu mindestens denselben Pflichten wie in diesem AVV. Der Auftragsverarbeiter haftet vollumfänglich für die Einhaltung durch seine Unter-Auftragsverarbeiter.

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, darunter: TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand, HSTS preload, Row-Level-Tenant-Isolation, Least-Privilege-Produktionszugang mit 2FA, Audit-Logging von Mutationen, automatisches Rate-Limiting und Anomalie-Erkennung, regelmäßige Abhängigkeits- und Sicherheitsupdates.

Maßnahmen werden regelmäßig evaluiert und dem Stand der Technik/Risikobild angepasst.

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) durch geeignete technische und organisatorische Maßnahmen, einschließlich Self-Service-Exporten in der App (JSON/CSV) und API-Endpunkten.

Betroffenenanfragen, die direkt beim Auftragsverarbeiter eingehen, werden unbearbeitet an den Verantwortlichen weitergeleitet, sofern keine gesetzliche Verpflichtung zum Selbsthandeln besteht.

Auf Anfrage unterstützt der Auftragsverarbeiter bei DSFA und vorheriger Konsultation der Aufsichtsbehörde (Art. 35-36 DSGVO), gegen angemessene Vergütung tatsächlicher Kosten bei umfangreichen Maßnahmen.

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Entdeckung, über eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 33 DSGVO.

Die Meldung enthält mindestens: Art der Verletzung, betroffene Kategorien und ungefähre Anzahlen, Kontaktperson, wahrscheinliche Folgen und getroffene/vorgeschlagene Maßnahmen.

Der Verantwortliche ist selbst für die Meldung an die niederländische Datenschutzbehörde und ggf. an die Betroffenen verantwortlich (Art. 33-34 DSGVO). Der Auftragsverarbeiter leistet dabei angemessene Unterstützung.

Nach Beendigung der zugrunde liegenden Vereinbarung hat der Verantwortliche 30 Tage Zeit, alle personenbezogenen Daten per Self-Service-Export (JSON/CSV) oder API herunterzuladen.

Danach löscht der Auftragsverarbeiter alle personenbezogenen Daten aus Produktionssystemen. Aus Backups werden die Daten innerhalb der regulären 30-Tage-Rotation entfernt. Daten, die nach EU- oder niederländischem Recht aufzubewahren sind (z. B. Rechnungsdaten nach Art. 52 AWR - 7 Jahre Steuerpflicht), bleiben für diese gesetzliche Dauer erhalten und werden danach vernichtet.

Auf angemessene Anfrage stellt der Auftragsverarbeiter die zur Nachweisführung der Einhaltung dieses AVV erforderlichen Informationen bereit, einschließlich Sicherheitsrichtlinien und des aktuellen Penetrationstest-Berichts (unter NDA).

Der Verantwortliche kann höchstens einmal pro 12 Monate auf eigene Kosten einen unabhängigen Auditor mit einem Audit beauftragen. Audits werden mindestens 30 Tage im Voraus angekündigt, einvernehmlich geplant und dürfen den Dienst nicht beeinträchtigen. Ergebnisse sind vertraulich.

Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht in Drittländer außerhalb der EU/EWR ohne geeignete Garantien (EU-Standardvertragsklauseln, DPF-Zertifizierung oder anderer Mechanismus nach Kapitel V DSGVO).

Die aktuellen Garantien pro Unter-Auftragsverarbeiter stehen auf salonnare.com/sub-processors.

Für die Haftung aus diesem AVV gelten die Haftungsbeschränkungen der AGB (salonnare.com/terms - Abschnitt 12).

Nichts in diesem AVV beschränkt die Pflichten aus Art. 82 DSGVO; die Parteien bleiben gegenüber Betroffenen und Aufsichtsbehörden uneingeschränkt haftbar.

Dieser AVV unterliegt niederländischem Recht. Streitigkeiten werden dem zuständigen Gericht Breda vorgelegt, sofern nicht zwingendes Recht anders bestimmt.