AnmeldenKostenlos testen
Rechtliches · Art. 28 DSGVO

Auftragsverarbeitungs-
vereinbarung (AVV)

STAND · APRIL 2026 · VERSION 2.0 · MUSTER

Diese Vereinbarung wird zwischen der Hundeschule (Verantwortliche) und Dominik Raehs-Dziemba als Einzelunternehmer (Auftragsverarbeiter, nachfolgend „DogAcademy") bei erstmaliger Nutzung der Plattform durch den Schul-Inhaber digital abgeschlossen und signiert. Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO.

Parteien

VerantwortlicheHundeschule laut Registrierungsformular
AuftragsverarbeiterDominik Raehs-Dziemba (Einzelunternehmen), Brunowstr. 41, 13507 Berlin

§1 Gegenstand & Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der SaaS-Plattform DogAcademy. Betroffenen-Kategorien: Schul-Inhaber, Trainer, Hundehalter. Daten­kategorien: Stammdaten (Name, Kontakt), Zahlungsdaten (über Stripe, keine Speicherung bei DogAcademy), Trainings-Historie, Hunde-Profile (inkl. freiwillig angegebener Gesundheitshinweise).

Die Dauer entspricht der Vertragslaufzeit gemäß §5 der AGB.

§2 Weisungen der Verantwortlichen

DogAcademy verarbeitet personenbezogene Daten ausschließlich nach dokumentierten Weisungen der Schule. Weisungen werden über das Admin-Portal (Einstellungen, Rollenzuweisung, Exporte, Löschungen) sowie per E-Mail an info@dog-academy.eu erteilt.

§3 Technische & organisatorische Maßnahmen

DogAcademy hält folgende TOMs vor:

  • Zutrittskontrolle: Rechenzentren der Subunternehmer (Hostinger EU, Supabase Paris) mit ISO-27001-zertifizierter physischer Sicherheit.
  • Zugangskontrolle: Individuelle Accounts, Passwort-Policy mindestens 12 Zeichen mit Prüfung gegen kompromittierte Passwörter (HIBP), 2-Faktor-Pflicht für Admin-Rollen.
  • Zugriffskontrolle: Row-Level Security in Postgres, schul-spezifische Kennung im JWT-Token, Audit-Log auf sensiblen Tabellen (Tenants, Users, Invoices) mit 12 Monaten Aufbewahrung.
  • Trennungskontrolle: Vollständige Mandanten-Isolation auf Datenbank-Ebene (RLS mit tenant_id in jeder Tabelle), auf Storage-Ebene (Bucket-Policies pro Tenant-Ordner) und auf KI-Ebene (gekapseltes Retrieval je Schule).
  • Pseudonymisierung: KI-Prompts ohne Klarnamen (E-Mail-Adressen, Telefonnummern und IBANs werden vor jedem Web-Search-Call serverseitig durch generische Platzhalter ersetzt); Datenübertragbarkeits-Exporte nach Anforderung.
  • KI-Kosten-Telemetrie: Pro KI-Aufruf werden Token-Verbrauch und USD-Kosten in ai_queries.cost_usdgespeichert (Geschäftsdatum, kein PII-Bezug zu Halterdaten). Verwendung ausschließlich zur Margen-Sicherung (Fair-Use-Cap) und internen Abrechnungs-Kontrolle.
  • Verschlüsselung: TLS 1.2+ in Transit, AES-256 at rest (Supabase-Standard).
  • Verfügbarkeit: Tägliche verschlüsselte Backups, Point-in-Time-Recovery 7 Tage.
  • Belastbarkeit: Wiederherstellungsziel ≤ 24 Stunden nach Vorfall.
  • Regelmäßige Überprüfung: Automatisierte RLS-Smoke-Tests bei jedem Deploy, jährliche Sicherheits-Review der kritischen Pfade.

§4 Einsatz von Subunternehmern

DogAcademy setzt folgende Subunternehmer ein, denen die Verantwortliche hiermit zustimmt:

UnternehmenLeistungSitzDrittland-Transfer
Hostinger International Ltd.Web-HostingKaunas (LT)EU — nein
Supabase Inc. (EU-Region)Datenbank, Auth, StorageParis (FR)EU — nein
Stripe Payments Europe Ltd.Zahlungsabwicklung, Connect-PayoutsDublin (IE), Teil-USAJa — SCC
Anthropic PBCKI-API (Claude, ohne Training-Opt-in)San Francisco (US)Ja — SCC
OpenAI, L.L.C.Audio-Transkription (Whisper) — optional, nur wenn die Schule das Diktat-Feature aktiviert; keine dauerhafte Speicherung dortSan Francisco (US)Ja — SCC
Brave Software, Inc.Web-Recherche fuer KI-Features (Workshop-Titel-Ideen, Uebungs-Finder) — wird durch Anthropic web_search-Tool ausgeloest, nur kurzlebige Suchanfragen-PseudonymisiertSan Francisco (US)Ja — SCC

Änderungen werden 30 Tage vorab per E-Mail angekündigt. Widerspruch mit sachlich gerechtfertigtem Grund möglich; als Rechtsfolge steht der Schule ein außerordentliches Kündigungsrecht zu.

§5 Unterstützung bei Betroffenenrechten

DogAcademy unterstützt die Schule bei Auskunfts-, Berichtigungs- und Löschungsanfragen durch Self-Service-Tools im Admin-Portal (Datenexport als JSON/CSV inklusive zugehöriger Medien, Soft-Delete mit 30-Tage-Wiederherstellbarkeit, Hard-Delete auf Anforderung).

§6 Meldung von Datenschutzverletzungen

Im Fall einer Datenschutzverletzung informiert DogAcademy die Schule unverzüglich, spätestens binnen 72 Stunden nach Kenntnis­nahme, per E-Mail an die hinterlegte Kontakt-Adresse.

§7 Beendigung der Verarbeitung

Nach Beendigung des Hauptvertrags werden sämtliche personenbezogenen Daten der Schule binnen 90 Tagen gelöscht, einschließlich Backups (Rolling Delete). Auf Wunsch wird zuvor ein vollständiger Daten-Export (JSON/CSV) bereitgestellt. Ausgenommen sind gesetzliche Aufbewahrungs­pflichten (z. B. § 147 AO für Rechnungsunterlagen: 10 Jahre).

§8 Haftung

Die Haftung richtet sich nach §9 der AGB sowie nach Art. 82 DSGVO. Anwendbar ist deutsches Recht. Gerichtsstand ist Berlin.

Digitale Signatur: Diese AVV wird bei erstmaliger Nutzung des Rechnungs- oder KI-Moduls durch den Schul-Inhaber per Checkbox rechtsgültig angenommen (§ 126b BGB, eIDAS-Verordnung). Annahme­zeitpunkt, IP-Adresse und User-Agent werden in einer append-only Audit-Tabelle protokolliert. Eine Zusammenfassung ist jederzeit im Admin-Portal unter „Auftragsverarbeitung" abrufbar.