Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Hinweis zur Akzeptanz: Dieser AVV wird bei der Registrierung einer Hundeschule auf PawCoach verbindlich akzeptiert. Der Zeitpunkt der Akzeptanz, die IP-Adresse (anonymisiert) und die Version dieses AVV werden gespeichert. Nach der Registrierung erhält die Hundeschule diesen AVV als ausgefülltes PDF per E-Mail.

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Verarbeitung personenbezogener Daten durch die MDDX Digital Solutions UG (haftungsbeschränkt) in Gründung als Auftragsverarbeiter im Auftrag der Hundeschule als Verantwortliche, gemäß Art. 28 DSGVO.

Der AVV ist Bestandteil des Hauptvertrages (Nutzungsvertrag PawCoach / AGB). Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht der AVV vor.

§ 1 Vertragsparteien

Auftragsverarbeiter

MDDX Digital Solutions UG (haftungsbeschränkt) in Gründung

Eichholzstr. 20a

45475 Mülheim an der Ruhr

Vertreten durch: Lukas Hengl, Simon Hengl, Niklas Hengl

E-Mail: [email protected]

(nachfolgend „Auftragsverarbeiter“)

Auftraggeber (Verantwortlicher)

Die registrierende Hundeschule gemäß den bei der Registrierung angegebenen Daten:

Vertreten durch: {{ geschaeftsfuehrer }}

(nachfolgend „Auftraggeber“)

§ 2 Gegenstand, Zweck und Dauer

(1) Gegenstand: Bereitstellung der SaaS-Plattform PawCoach zur Verwaltung von Hundeschulen, einschließlich Kursverwaltung, Buchungsabwicklung, Kundenverwaltung, Terminplanung, Kommunikation und Abrechnung.

(2) Zweck: Erbringung der vertraglich vereinbarten SaaS-Leistungen gemäß den AGB der MDDX Digital Solutions UG (haftungsbeschränkt) in Gründung.

(3) Dauer: Die Auftragsverarbeitung beginnt mit der Registrierung und endet mit der Kündigung des Hauptvertrages. Nach Vertragsende werden alle Daten gemäß § 13 dieses AVV behandelt.

§ 3 Art der verarbeiteten Daten

Daten der Hundehalter (Endkunden)

Name und Kontaktdaten (E-Mail, Telefon, Adresse)
Buchungs- und Kursdaten
Profil- und Hunde-Daten
Kommunikationsinhalte (plattforminterne Nachrichten)
Zahlungshistorie (keine Zahlungsmittel-Rohdaten)

Daten der Mitarbeiter und Trainer

Name und Kontaktdaten
Authentifizierungsdaten (verschlüsselt/gehashed)
Terminpläne und Arbeitsdaten

Daten des Auftraggebers

Unternehmensdaten und Bankverbindung (für Abrechnung)
Abonnement- und Rechnungsdaten

§ 4 Betroffene Personengruppen

Kunden des Auftraggebers (Hundehalter)
Mitarbeiter und Trainer des Auftraggebers
Gesetzliche Vertreter des Auftraggebers

§ 5 Weisungsbefugnis

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Die Erbringung der vertraglich vereinbarten Leistungen stellt eine solche Weisung dar.

(2) Weitere Weisungen erteilt der Auftraggeber schriftlich (einschließlich E-Mail) an [email protected].

(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder sonstige datenschutzrechtliche Vorschriften verstößt, teilt er dies dem Auftraggeber unverzüglich mit.

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Personenbezogene Daten ausschließlich gemäß den Weisungen des Auftraggebers zu verarbeiten.
Alle zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten.
Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu implementieren (§ 7).
Den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen.
Den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO zu unterstützen.
Alle personenbezogenen Daten nach Vertragsende zu löschen oder zurückzugeben (§ 13).
Dem Auftraggeber alle zur Nachweisführung erforderlichen Informationen bereitzustellen und Überprüfungen zu ermöglichen (§ 12).

§ 7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft mindestens folgende Maßnahmen gemäß Art. 32 DSGVO. Die TOMs werden mindestens jährlich überprüft und bei Bedarf aktualisiert.

7.1 Verschlüsselung und Pseudonymisierung

Verschlüsselte Übertragung aller Daten via TLS 1.2+ (HTTPS)
Verschlüsselte Speicherung sensibler personenbezogener Daten (AES-128, Fernet)
Passwörter werden ausschließlich als Argon2-Hash gespeichert – niemals im Klartext
Verschlüsselte Backups (AES-256, GPG)

7.2 Vertraulichkeit

Rollenbasiertes Zugriffsrechtekonzept (Least Privilege)
Mandantentrennung: Jede Hundeschule sieht ausschließlich ihre eigenen Daten
Protokollierung aller administrativen Zugriffe (Audit-Log)
Zwei-Faktor-Authentifizierung (2FA) für alle Administratoren verpflichtend

7.3 Integrität

Eingabevalidierung und Ausgabe-Encoding auf allen Systemebenen
CSRF-Schutz auf allen Formularen und API-Endpunkten
Regelmäßige Security-Scans (Dependency-Audits, SAST)
Rate-Limiting und Brute-Force-Schutz auf Authentifizierungs-Endpunkten

7.4 Verfügbarkeit und Belastbarkeit

Automatisierte Backups alle 6 Stunden mit 90-Tage-Retention
Off-Site-Kopie der Backups in einer getrennten EU-Region (Azure Blob Storage)
Monitoring und automatische Alarmierung bei Systemausfällen
Dokumentiertes Disaster-Recovery-Verfahren mit regelmäßigen Tests

7.5 Überprüfung und Evaluation

Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
Automatisiertes Schwachstellenmanagement in der CI/CD-Pipeline
Regelmäßige Datenschutz-Folgenabschätzungen bei neuen Verarbeitungsvorgängen

§ 8 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung für den Einsatz folgender Unterauftragsverarbeiter:

Stripe Payments Europe, Ltd.

Dublin, Irland (EU)

Zahlungsabwicklung

Microsoft Ireland Operations Ltd.

Dublin, Irland (EU)

E-Mail-Versand, Cloud-Speicher (Azure Blob)

netcup GmbH

Nürnberg, Deutschland

Server-Hosting und Infrastruktur

(2) Änderungen beim Einsatz von Unterauftragsverarbeitern teilt der Auftragsverarbeiter dem Auftraggeber mindestens 14 Tage im Voraus per E-Mail mit. Der Auftraggeber kann innerhalb dieser Frist begründet widersprechen.

(3) Der Auftragsverarbeiter legt denselben Datenschutzpflichten dieses AVV auf alle Unterauftragsverarbeiter durch entsprechende Verträge um (Art. 28 Abs. 4 DSGVO).

(4) Hinweis: Stripe kann im Rahmen des EU-US Data Privacy Framework unter Umständen Support-Zugriffe aus den USA durchführen. Diese sind durch Stripes eigenen Auftragsverarbeitungsvertrag und Standardvertragsklauseln abgesichert.

§ 9 Datentransfer in Drittländer

(1) Alle Datenverarbeitungen erfolgen ausschließlich innerhalb der EU/des EWR. Ein Transfer personenbezogener Daten in Drittländer findet nicht statt.

(2) Die Video-Infrastruktur sowie das Fehlermonitoring werden auf eigenen Servern innerhalb der EU betrieben.

(3) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls sich die Rechtsgrundlage für Drittlandübermittlungen ändert.

§ 10 Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch technische Mittel. Entsprechende Self-Service-Funktionen sind in der Plattform integriert (Datenexport unter /account/export).

(2) Wenden sich betroffene Personen direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.

§ 11 Meldepflichten bei Datenpannen

(1) Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, per E-Mail an die hinterlegte Kontaktadresse.

(2) Die Meldung enthält mindestens:

Art der Datenpanne
Betroffene Datenkategorien und betroffene Datenmenge (soweit bekannt)
Betroffene Personengruppen und -anzahl (soweit bekannt)
Voraussichtliche Folgen
Ergriffene oder vorgeschlagene Maßnahmen

(3) Der Auftraggeber ist verantwortlich für eine etwaige Meldung an die Aufsichtsbehörde (Art. 33 DSGVO, 72-Stunden-Frist) und für eine Benachrichtigung der Betroffenen (Art. 34 DSGVO).

§ 12 Kontroll- und Prüfrechte

(1) Der Auftraggeber hat das Recht, sich von der Einhaltung dieses AVV zu überzeugen. Dies kann erfolgen durch:

Anforderung von Dokumentation, Zertifikaten oder Berichten
Fragebögen zur Selbstauskunft
Vor-Ort-Audits (nach Ankündigung mit mindestens 2 Wochen Vorlauf, während üblicher Geschäftszeiten)

(2) Kosten für Vor-Ort-Audits trägt der Auftraggeber. Der Auftragsverarbeiter kann einen externen Prüfer verlangen.

§ 13 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrages stellt der Auftragsverarbeiter sicher, dass:

Alle personenbezogenen Daten für 30 Tage über die Exportfunktion abrufbar bleiben.
Nach Ablauf der 30 Tage alle Daten vollständig und unwiderruflich gelöscht werden.
Auf Wunsch ein schriftlicher Löschnachweis ausgestellt wird.
Gesetzliche Aufbewahrungspflichten (steuerrechtliche Daten) unberührt bleiben und nach Fristablauf separat gelöscht werden.

§ 14 Haftung

Im Verhältnis zu betroffenen Personen haften Auftraggeber und Auftragsverarbeiter gemäß Art. 82 DSGVO. Im Innenverhältnis gelten die Haftungsregelungen des Hauptvertrages (§ 10 AGB).

§ 15 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Änderungen dieses AVV bedürfen der Schriftform oder eines dokumentierten elektronischen Verfahrens.

(3) Sollten einzelne Bestimmungen unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

§ 16 Akzeptanz und Dokumentation

Dieser AVV wird durch Anklicken der Checkbox „Ich akzeptiere den Auftragsverarbeitungsvertrag“ im Rahmen der Registrierung verbindlich angenommen. Dabei werden gespeichert:

Zeitpunkt der Akzeptanz (Timestamp UTC)
AVV-Version (z. B. avv_v1.1)
Anonymisierte IP-Adresse

Nach der Registrierung wird dieser AVV als PDF mit den ausgefüllten Unternehmensdaten der Hundeschule automatisch per E-Mail zugestellt.

Stand: April 2026 · Version 1.1

Auftragsverarbeiter: MDDX Digital Solutions UG (haftungsbeschränkt) in Gründung, Mülheim an der Ruhr