Auftragsverarbeitung (AVV)
Stand: ‹TT.MM.JJJJ›
Bei der Nutzung von tirescan verarbeitet der Betreiber personenbezogene Daten der Endkunden im Auftrag der jeweiligen Werkstatt. Dieser Vertrag nach Art. 28 DSGVO regelt die Rahmenbedingungen.
1. Parteien
Verantwortliche: die tirescan nutzende Werkstatt (Kontoinhaberin).
Auftragsverarbeiter: David Steiner, Alte Schiffstraße 5a, 78464 Konstanz.
2. Gegenstand und Dauer
Gegenstand ist die Bereitstellung der tirescan-Software zur Reifen-/Fahrzeugprüfung. Die Verarbeitung dauert für die Laufzeit des Nutzungsvertrags. Nach Beendigung werden die Daten nach Wahl der Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht besteht.
3. Art, Zweck und Umfang
Verarbeitet werden Fahrzeug-, Reifen- und Kundendaten, die die Werkstatt erfasst, zum Zweck der Erstellung von Prüfprotokollen, Reports und Erinnerungen. Die automatische Erkennung (Kennzeichen, HU-Plakette und Reifen-Seitenwand) läuft ausschließlich lokal auf dem Endgerät; hierfür werden keine Bilddaten an externe KI-Dienste oder Dritte übermittelt.
4. Kategorien betroffener Personen und Daten
Betroffene: Endkunden der Werkstatt. Datenkategorien: Fahrzeugdaten (Kennzeichen, Marke, Modell), Reifen-/Messdaten, Kontaktdaten der Kunden (soweit erfasst).
5. Pflichten des Auftragsverarbeiters
- Verarbeitung nur auf dokumentierte Weisung der Verantwortlichen.
- Vertraulichkeitsverpflichtung der eingesetzten Personen.
- Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO (Anhang, Ziffer 8).
- Unterstützung bei Betroffenenrechten und Meldepflichten.
- Löschung/Rückgabe nach Auftragsende.
- Nachweis der Einhaltung und Ermöglichung von Kontrollen.
6. Unterauftragsverarbeiter
Die Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu; über Änderungen wird sie vorab informiert und kann widersprechen:
- Hetzner Online GmbH — Server-Hosting & Betrieb der Anwendung/Datenbank (Deutschland). AVV vorhanden (Hetzner).
- Polar Software Inc. (Merchant of Record) — Verkauf & Zahlungsabwicklung der Abonnements als Vertragspartner (Merchant of Record) (USA (Standardvertragsklauseln)). DPA vorhanden (Polar).
- ‹SMTP-/E-Mail-Anbieter› — Versand technischer Betreiber-Benachrichtigungen (System-Monitoring). Es werden keine Endkundendaten übermittelt; Fehlermeldungen sind vor dem Versand PII-bereinigt (‹Serverstandort des E-Mail-Anbieters›). AVV/DPA je nach Anbieter (bei eigenem Mailserver nicht erforderlich).
Ein etwaiger E-Mail-/SMTP-Dienst wird ausschließlich für technische Betreiber-Benachrichtigungen des System-Monitorings eingesetzt. Dabei werden keine Endkundendaten übermittelt; enthaltene Fehlermeldungen sind vor dem Versand von personenbezogenen Daten bereinigt. Bei einem betreibereigenen Mailserver entsteht insoweit kein zusätzlicher Unterauftragsverarbeiter.
7. Ort der Verarbeitung
Die Kernverarbeitung erfolgt in Deutschland (Hetzner). Bei Diensten mit möglichem Drittlandbezug bestehen Standardvertragsklauseln (siehe Ziffer 6).
8. Technisch-organisatorische Maßnahmen (Anhang)
Verschlüsselung der Übertragung (TLS), Mandantentrennung je Firma, Zugriffskontrolle über rollenbasierte Anmeldung, Serverstandort Deutschland, minimierte Datenerhebung („lieber leer als falsch“). ‹Vollständige TOM-Liste vor Go-Live konkretisieren.›
9. Abschluss
Diesen AVV stellen wir auf Anfrage als unterzeichnbares Dokument bereit. Kontakt: datenschutz@tirescan.de.