FarontoBeta

Auftragsverarbeitungsvertrag

Zusatz nach Art. 28 DSGVO zwischen Ihnen (dem Coach als Verantwortlicher) und Tairi B.V. (Faronto als Auftragsverarbeiter).

Gültig ab: 21. Mai 2026 · Zuletzt aktualisiert: 24. Mai 2026

Diese Übersetzung dient der Verständlichkeit. Bei Abweichungen oder Widersprüchen zwischen dieser Übersetzung und der englischen Fassung ist die englische Fassung dieses Dokuments maßgeblich.

Dieser Auftragsverarbeitungsvertrag (der "AVV") ist Bestandteil der Nutzungsbedingungen zwischen Tairi B.V. ("Auftragsverarbeiter", "Faronto") und dem Kunden von Faronto ("Verantwortlicher", "Coach") und gilt immer dann, wenn der Auftragsverarbeiter im Rahmen des Dienstes personenbezogene Daten von Coachees im Auftrag des Verantwortlichen verarbeitet.

Dieser AVV setzt Art. 28 der Verordnung (EU) 2016/679 (die "DSGVO") um. Soweit dieser AVV den Nutzungsbedingungen widerspricht, hat dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.

Mit Annahme der Nutzungsbedingungen gilt auch dieser AVV als vom Verantwortlichen angenommen. Eine gesonderte Unterzeichnung ist nicht erforderlich.

1. Begriffsbestimmungen

Begriffe mit Anfangsgroßbuchstaben, die in diesem AVV nicht definiert sind, haben die Bedeutung, die ihnen in den Nutzungsbedingungen oder in der DSGVO zugewiesen wird. Insbesondere:

  • Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und vom Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß den Nutzungsbedingungen verarbeitet werden.
  • Betroffene Person: eine natürliche Person, auf die sich personenbezogene Daten beziehen, insbesondere ein Coachee.
  • Unterauftragsverarbeiter: ein vom Auftragsverarbeiter beauftragter Dritter, der im Auftrag des Auftragsverarbeiters personenbezogene Daten verarbeitet.
  • Verletzung des Schutzes personenbezogener Daten: eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.

2. Gegenstand, Dauer und Art der Verarbeitung

  1. Gegenstand. Der Auftragsverarbeiter verarbeitet personenbezogene Daten, um dem Verantwortlichen den Dienst gemäß den Nutzungsbedingungen bereitzustellen.
  2. Dauer. Die Verarbeitung erfolgt, solange der Verantwortliche den Dienst nutzt, zuzüglich einer etwaigen nachfolgend vereinbarten Aufbewahrungsfrist nach Beendigung.
  3. Art und Zweck. Die Verarbeitung umfasst die in Anlage 1 beschriebenen Vorgänge und erfolgt ausschließlich zur Bereitstellung des Dienstes.
  4. Kategorien betroffener Personen und personenbezogener Daten. Siehe Anlage 1.

3. Rollen und Weisungen

  1. Der Verantwortliche ist Verantwortlicher der personenbezogenen Daten und der Auftragsverarbeiter ist Auftragsverarbeiter im Sinne der DSGVO.
  2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf Übermittlungen in Drittländer, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zu einer abweichenden Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen vor der Verarbeitung diese rechtliche Anforderung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
  3. Die Weisungen des Verantwortlichen ergeben sich aus den Nutzungsbedingungen, diesem AVV, der Dokumentation und den vom Verantwortlichen im Dienst vorgenommenen Konfigurationsentscheidungen. Der Verantwortliche kann zusätzliche angemessene schriftliche Weisungen erteilen, die mit dem Dienst vereinbar sind.
  4. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder andere anwendbare Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich.
  5. Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass für die Verarbeitung, zu der er den Auftragsverarbeiter anweist, eine wirksame Rechtsgrundlage besteht, einschließlich – soweit erforderlich – der Einholung einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO für besondere Kategorien personenbezogener Daten.

4. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass jede zur Verarbeitung personenbezogener Daten befugte Person zur Vertraulichkeit verpflichtet ist, sei es vertraglich oder aufgrund einer gesetzlichen Verschwiegenheitspflicht.

5. Sicherheit der Verarbeitung

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
  2. Die aktuellen Maßnahmen sind in Anlage 3 beschrieben. Der Auftragsverarbeiter kann sie von Zeit zu Zeit aktualisieren, sofern das Sicherheitsniveau nicht wesentlich verringert wird.

6. Unterauftragsverarbeiter

  1. Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die aktuelle Liste der genehmigten Unterauftragsverarbeiter ist in Anlage 2 aufgeführt.
  2. Beauftragt der Auftragsverarbeiter einen neuen Unterauftragsverarbeiter oder ersetzt er einen bestehenden, informiert er den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail oder per Hinweis in der Anwendung. Der Verantwortliche kann aus berechtigten datenschutzbezogenen Gründen Widerspruch einlegen.
  3. Erhebt der Verantwortliche innerhalb von 30 Tagen nach Information Widerspruch, erörtern die Parteien die Angelegenheit in gutem Glauben. Können sich die Parteien nicht auf eine Lösung einigen, kann der Verantwortliche als alleiniges Rechtsmittel den betroffenen Teil des Dienstes durch schriftliche Mitteilung ordentlich kündigen. Die Kündigung des betroffenen Teils begründet keinen Anspruch des Verantwortlichen auf Erstattung bereits für Zeiträume vor der Kündigung gezahlter Gebühren.
  4. Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter Datenschutzpflichten auf, die nicht weniger schützend sind als die in diesem AVV festgelegten, insbesondere ausreichende Garantien geeigneter technischer und organisatorischer Maßnahmen.
  5. Der Auftragsverarbeiter haftet dem Verantwortlichen weiterhin in vollem Umfang für die Erfüllung der vertraglichen Pflichten jedes Unterauftragsverarbeiters.

7. Unterstützung bei den Rechten betroffener Personen

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III der DSGVO.
  2. Erhält der Auftragsverarbeiter einen Antrag von einer betroffenen Person, beantwortet er diesen nicht direkt, sofern dies nicht gesetzlich erforderlich ist, und verweist die betroffene Person ohne unangemessene Verzögerung an den Verantwortlichen.

8. Unterstützung bei sonstigen Pflichten des Verantwortlichen

Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation).

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

  1. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung, in jedem Fall jedoch innerhalb von 72 Stunden, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die personenbezogene Daten des Verantwortlichen betrifft.
  2. Die Benachrichtigung enthält, soweit möglich: die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Eindämmung möglicher nachteiliger Auswirkungen.
  3. Soweit der Auftragsverarbeiter nicht alle Informationen gleichzeitig bereitstellen kann, kann er sie schrittweise ohne weitere unangemessene Verzögerung übermitteln.
  4. Die Benachrichtigung oder Unterstützung des Auftragsverarbeiters nach dieser Klausel ist kein Anerkenntnis eines Verschuldens oder einer Haftung und ist nicht als solches auszulegen.

10. Überprüfungen

  1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses AVV und des Art. 28 DSGVO vernünftigerweise erforderlich sind.
  2. Die primäre Form der Überprüfungskooperation des Auftragsverarbeiters ist die Bereitstellung von: (a) aktuellen Sicherheitszertifizierungen und Prüfberichten Dritter (sofern verfügbar); (b) Antworten auf Sicherheitsfragebögen; und (c) der Beschreibung der Maßnahmen in Anlage 3.
  3. Reichen die Materialien aus Ziffer 10.2 nicht aus, um die Einhaltung nachzuweisen, kann der Verantwortliche auf eigene Kosten und mit einer Vorankündigung von mindestens 30 Tagen die Verarbeitungstätigkeiten des Auftragsverarbeiters durch einen unabhängigen, für beide Parteien vernünftigerweise akzeptablen Prüfer überprüfen lassen. Überprüfungen: (a) sind auf Informationen beschränkt, die für die Einhaltung dieses AVV durch den Auftragsverarbeiter unmittelbar relevant sind; (b) finden während der üblichen Geschäftszeiten statt; (c) erfolgen nicht häufiger als einmal in einem Zwölfmonatszeitraum, es sei denn, dies wird von einer Aufsichtsbehörde verlangt oder erfolgt nach einer wesentlichen Verletzung des Schutzes personenbezogener Daten; und (d) unterliegen Vertraulichkeitspflichten.
  4. Der Prüfer darf nicht auf Daten anderer Kunden, Quellcode oder Geschäftsgeheimnisse zugreifen, es sei denn, dies ist zwingend erforderlich und unterliegt geeigneten Schutzvorkehrungen.

11. Internationale Übermittlungen

  1. Wo personenbezogene Daten verarbeitet werden. Der Auftragsverarbeiter verarbeitet personenbezogene Daten vorrangig innerhalb des Europäischen Wirtschaftsraums. Außerhalb des EWR ansässige Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Der Auftragsverarbeiter wird personenbezogene Daten nicht außerhalb des EWR übermitteln, es sei denn, ein geeigneter Übermittlungsmechanismus nach Kapitel V DSGVO ist vorhanden.
  2. Weiterübermittlungen durch den Auftragsverarbeiter. Soweit der Auftragsverarbeiter oder ein Unterauftragsverarbeiter personenbezogene Daten in einem Land außerhalb des EWR verarbeitet, für das kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, stützt sich der Auftragsverarbeiter auf die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission), Modul 3 (Verarbeiter-an-Verarbeiter), einschließlich etwaiger ergänzender Maßnahmen, die nach dem Schrems-II-Urteil erforderlich sind. Der Verantwortliche gewährt dem Auftragsverarbeiter ein Beitrittsrecht (Docking Right), um im erforderlichen Umfang Unterauftragsverarbeiter im Auftrag des Verantwortlichen als Vertragsparteien dieser Klauseln hinzuzufügen. Soweit der Auftragsverarbeiter personenbezogene Daten einem außerhalb des EWR ansässigen Verantwortlichen zur Verfügung stellt, vereinbaren die Parteien, dass die Übermittlung (sofern in dieser Richtung eine beschränkte Übermittlung erfolgt) den jurisdiktionsspezifischen Bestimmungen der Abschnitte 11.3–11.6 unterliegt, anstelle von Modul 4 der EU-SCC.
  3. Verantwortliche im Vereinigten Königreich. Soweit der Verantwortliche im Vereinigten Königreich ansässig ist oder die personenbezogenen Daten anderweitig dem UK GDPR unterliegen: (a) gelten Verweise auf die DSGVO in diesem AVV, soweit anwendbar, als auch Verweise auf das UK GDPR; (b) wird das UK-Addendum zu den EU-Standardvertragsklauseln (erlassen vom Information Commissioner's Office gemäß Section 119A des UK Data Protection Act 2018) durch Verweis einbezogen und gilt für jede Weiterübermittlung aus dem Vereinigten Königreich, die nach britischem Recht eine beschränkte Übermittlung darstellt; (c) ist das UK ICO die zuständige Aufsichtsbehörde für Angelegenheiten, die dem UK GDPR unterliegen.
  4. Verantwortliche in der Schweiz. Soweit der Verantwortliche in der Schweiz ansässig ist oder die personenbezogenen Daten anderweitig dem Schweizer Datenschutzgesetz (DSG) unterliegen, werden die Anpassungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu den EU-SCC durch Verweis einbezogen, und Verweise auf die DSGVO in diesem AVV gelten als auch Verweise auf das DSG. Der EDÖB ist die zuständige Aufsichtsbehörde.
  5. Verantwortliche in den USA. Soweit der Verantwortliche in den Vereinigten Staaten ansässig ist oder personenbezogene Daten verarbeitet, die US-Datenschutzgesetzen der Bundesstaaten (einschließlich CCPA / CPRA, VCDPA, CPA, CTDPA, UCPA sowie Nachfolge- oder gleichwertigen Gesetzen) unterliegen, handelt der Auftragsverarbeiter im Sinne dieser Gesetze als „service provider" bzw. „processor": Der Auftragsverarbeiter wird (a) personenbezogene Daten nicht verkaufen oder weitergeben („sell or share"); (b) personenbezogene Daten nicht außerhalb der unmittelbaren Geschäftsbeziehung speichern, nutzen oder offenlegen; (c) personenbezogene Daten nicht mit personenbezogenen Informationen aus anderen Quellen kombinieren, außer soweit nach geltendem Recht zulässig. Der Auftragsverarbeiter wird auf angemessene Anfrage mit den Compliance-Pflichten des Verantwortlichen nach diesen Gesetzen kooperieren.
  6. Sonstige Verantwortliche außerhalb des EWR. Soweit der Verantwortliche in einem oben nicht behandelten Land ansässig ist, werden die Parteien in gutem Glauben zusammenarbeiten, um etwaige jurisdiktionsspezifische vertragliche Mechanismen einzurichten, die das auf den Verantwortlichen anwendbare Datenschutzrecht vernünftigerweise verlangt.
  7. Transfer Impact Assessments. Der Auftragsverarbeiter führt Transfer Impact Assessments für wesentliche Übermittlungen an außerhalb des EWR ansässige Unterauftragsverarbeiter und stellt eine Zusammenfassung auf angemessene Anfrage unter Wahrung der Vertraulichkeit zur Verfügung.

12. Rückgabe oder Löschung personenbezogener Daten

  1. Bei Beendigung des Dienstes oder nach Wahl des Verantwortlichen wird der Auftragsverarbeiter innerhalb von 30 Tagen alle personenbezogenen Daten an den Verantwortlichen löschen oder zurückgeben und bestehende Kopien löschen, soweit nicht das Recht der Union oder der Mitgliedstaaten eine Speicherung vorschreibt.
  2. Der Auftragsverarbeiter stellt im Dienst einen Self-Service-Exportmechanismus bereit, mit dem der Verantwortliche personenbezogene Daten vor der Löschung abrufen kann.
  3. Die Standard-Aufbewahrungsfrist für Sicherungen des Auftragsverarbeiters beträgt rollierend 30 Tage. Personenbezogene Daten in Sicherungen werden im normalen Verlauf überschrieben und unterliegen bis zur Überschreibung diesem AVV.
  4. Auf schriftliche Anforderung des Verantwortlichen nach Abschluss der Maßnahmen gemäß Ziffer 12.1 wird der Auftragsverarbeiter eine schriftliche Bestätigung darüber erteilen, dass personenbezogene Daten gemäß diesem Abschnitt 12 gelöscht oder zurückgegeben wurden.

13. Haftung

Die Haftung der Parteien aus diesem AVV unterliegt den in den Nutzungsbedingungen festgelegten Haftungsbeschränkungen. Keine Bestimmung der Nutzungsbedingungen beschränkt die Haftung einer Partei nach Art. 82 DSGVO gegenüber einer betroffenen Person.

14. Laufzeit und Beendigung

Dieser AVV tritt zum Wirksamkeitsdatum der Nutzungsbedingungen in Kraft und bleibt in Kraft, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klauseln, die ihrer Natur nach fortgelten sollen (einschließlich 4, 7, 10, 11, 12 und 13), gelten nach Beendigung fort.

15. Sonstige Bestimmungen

  1. Sollte eine Bestimmung dieses AVV unwirksam oder undurchsetzbar sein, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft.
  2. Dieser AVV unterliegt niederländischem Recht; Streitigkeiten unterliegen ausschließlich der Zuständigkeit des zuständigen Gerichts in Amsterdam, im Einklang mit den Nutzungsbedingungen.
  3. Bei Abweichungen zwischen Sprachfassungen dieses AVV ist die englische Fassung maßgeblich.

Anlage 1: Einzelheiten der Verarbeitung

A. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten von Coachees durch den Auftragsverarbeiter zur Erbringung des Dienstes für den Verantwortlichen. Dauer: für die Laufzeit der Nutzungsbedingungen, zuzüglich der in Ziffer 12 festgelegten Löschfrist.

B. Art und Zweck

Der Auftragsverarbeiter führt folgende Vorgänge an personenbezogenen Daten durch: Speicherung, Abruf, Organisation, Strukturierung, Übermittlung, Hosting, Sicherung, Löschung sowie (sofern der Verantwortliche KI-Funktionen aktiviert) Übermittlung begrenzter Inhalte an den KI-Unterauftragsverarbeiter zur Verarbeitung und Rückgabe des erzeugten Texts.

C. Kategorien personenbezogener Daten

  • Identitäts- und Kontaktdaten: vollständiger Name, E-Mail-Adresse, Telefonnummer (optional), Berufsbezeichnung (optional).
  • Coaching-Inhalte: Coach-Notizen, private Notizen, Sitzungstranskripte, KI-generierte Vorbereitungsbriefings und Zusammenfassungen, Klienteneingaben vor der Sitzung, Aktionspunkte, Ziele, Fortschrittsnotizen, Tags.
  • Sitzungsdaten: geplante Sitzungszeiten, Dauern, Meeting-Links und -IDs, Zeitzonen, Kalenderereignis-IDs, Standortart, Ergebnisbewertungen, Feedback-Kommentare.
  • Ressourcenzuweisungen und Antworten auf Arbeitsblätter: welche Bibliotheksressourcen (Artikel, Leitfäden, Arbeitsblätter) der Verantwortliche mit dem Coachee teilt, die Antworten des Coachees auf zugewiesene Arbeitsblätter sowie zugehörige Zeitstempel zu Aufrufen, Downloads und Einreichungen.
  • Kommunikation: Erinnerungen, Rechnungserinnerungen und sonstige Nachrichten, die dem Coachee im Auftrag des Verantwortlichen gesendet werden.
  • Kontodaten (sofern der Coachee das Klientenportal nutzt): Authentifizierungs-Token, Zeitstempel des letzten Besuchs.
  • Abrechnungsdaten (sofern der Verantwortliche Coachees über Stripe Connect Rechnungen stellt): Rechnungspositionen, Beträge, Fälligkeitsdaten, Status, Stripe-Rechnungsidentifikatoren.
  • Technische Daten: IP-Adresse, User-Agent und Protokolldaten, die bei der Nutzung des Klientenportals durch einen Coachee anfallen.

D. Besondere Kategorien personenbezogener Daten

Coaching-Inhalte können Daten zur Gesundheit, zur psychischen Gesundheit und zum Wohlbefinden enthalten, sofern der Verantwortliche solche Informationen aufzeichnet. Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung dieser Daten verantwortlich, einschließlich – soweit anwendbar – der Einholung einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

E. Kategorien betroffener Personen

  • Coachees des Verantwortlichen.
  • Berechtigte Nutzer des Verantwortlichen (sofern zutreffend).

Anlage 2: Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter sind ab dem Wirksamkeitsdatum dieses AVV vom Verantwortlichen genehmigt. Die Liste spiegelt die Stellen wider, die der Auftragsverarbeiter zur Erbringung des Dienstes nutzt. Eine aktualisierte Liste ist auch in der Datenschutzerklärung unter faronto.com/privacy veröffentlicht.

UnterauftragsverarbeiterDienstVerarbeitungsstandortÜbermittlungsmechanismus
Vercel Inc.Anwendungs-Hosting, Edge-BereitstellungEU-Region (mit Edge-Cache)EU-SCC / EU-US Data Privacy Framework
Neon Inc.Verwaltete PostgreSQL-DatenbankFrankfurt, EUEU-SCC
Cloudflare, Inc. (R2)Objektspeicher für Dateien und AnhängeEU-JurisdiktionEU-SCC
Resend (Resend.com Inc.)Versand transaktionaler E-MailsVereinigte StaatenEU-SCC / EU-US Data Privacy Framework
OpenAI Ireland Ltd / OpenAI L.L.C.KI-Vorbereitungsbriefings, Sitzungszusammenfassungen und Impuls-EntwürfeVereinigte StaatenEU-SCC; OpenAI trainiert nicht mit API-Daten
Stripe Payments Europe Ltd / Stripe, Inc.Stripe Connect: Rechnungsstellung an Coachees durch den VerantwortlichenIrland / Vereinigte StaatenEU-SCC / EU-US Data Privacy Framework
Google LLCKalendersynchronisation (sofern verbunden)Vereinigte StaatenEU-SCC / EU-US Data Privacy Framework
Microsoft CorporationAnmeldung und Kalendersynchronisation (sofern verbunden)Vereinigte Staaten / EUEU-SCC / EU-US Data Privacy Framework
Zoom Communications, Inc.Videomeeting-Integration (sofern verbunden)Vereinigte StaatenEU-SCC / EU-US Data Privacy Framework
PostHog EUProduktanalysen, Aktivierungsmessung, Sitzungswiedergabe und AttributionsanalyseEuropäische Union (Frankfurter Instanz)EU-Verarbeitung gemäß den PostHog-Datenverarbeitungsbedingungen
Upstash, Inc.Hintergrund-Job-Warteschlange (QStash) und Speicher zur Ratenbegrenzung (Redis)Europäische Union (AWS eu-central-1, Frankfurt)EU-SCC / EU-US Data Privacy Framework
Functional Software, Inc. (Sentry)Überwachung von Anwendungsfehlern und -leistungVereinigte StaatenEU-SCC / EU-US Data Privacy Framework

Die dargestellten Mechanismen gelten für Übermittlungen auf Grundlage der EU-SCC. Für Verantwortliche im Vereinigten Königreich werden die EU-SCC durch das UK-Addendum erweitert (§ 11.3). Für Verantwortliche in der Schweiz gelten die vom EDÖB angepassten SCC (§ 11.4). Für Verantwortliche in den USA gelten die Verpflichtungen des Auftragsverarbeiters als „service provider" nach den anwendbaren US-Datenschutzgesetzen der Bundesstaaten (§ 11.5).

Hinweis zu Paddle. Paddle (Paddle.com Market Limited) verarbeitet Abrechnungsdaten des Coaches (Name, E-Mail, Zahlungsmethode) als Merchant of Record für die eigenen Service-Pläne des Auftragsverarbeiters. Dies ist ein direktes Verhältnis von Verantwortlichem zu Verantwortlichem zwischen dem Coach und Paddle. Paddle ist kein Unterauftragsverarbeiter im Sinne dieser AVV. Das Verhältnis des Coaches zu Paddle ist in der Datenschutzerklärung des Auftragsverarbeiters unter faronto.com/privacy geregelt.

Anlage 3: Technische und organisatorische Sicherheitsmaßnahmen

A. Maßnahmen zur Gewährleistung der Vertraulichkeit

  • Verschlüsselung der Daten bei der Übertragung mit TLS 1.2 oder höher.
  • Verschlüsselung der Daten im Ruhezustand in der Datenbank und im Objektspeicher.
  • AES-256-GCM-Verschlüsselung besonders sensibler gespeicherter Geheimnisse, insbesondere OAuth-Token von Drittanbietern.
  • Passwortlose Authentifizierung - keine Passwörter gespeichert. Anmeldung über kurzlebige (15 Minuten), einmalig verwendbare Magic-Link-Token oder Google OAuth. Magic-Link-Token werden im Ruhezustand ausschließlich als SHA-256-Hashes gespeichert, niemals im Klartext.
  • HTTP-Sicherheits-Antwortheader bei allen Antworten: HTTP Strict Transport Security, Content-Security-Policy, X-Frame-Options, Referrer-Policy und Permissions-Policy.
  • Ratenbegrenzung an den öffentlichen Authentifizierungs- und Upload-Endpunkten zur Eindämmung von Credential Stuffing, Enumeration und Missbrauch.
  • Rollenbasierte Zugriffskontrolle nach dem Grundsatz der minimalen Rechtevergabe; Mehr-Faktor-Authentifizierung für Produktivzugriffe.
  • Vertraulichkeitsverpflichtungen für sämtliches Personal mit Zugang zu personenbezogenen Daten.
  • Trennung der Kundendaten, sodass der Verantwortliche nur auf seine eigenen personenbezogenen Daten zugreifen kann.

B. Maßnahmen zur Gewährleistung der Integrität

  • Audit-Protokolle administrativer Handlungen.
  • Code-Review und automatisierte Tests für Änderungen am Dienst.
  • Abhängigkeits-Scanning und zeitnahe Sicherheits-Patches.
  • Idempotenz-Sicherungen bei kritischen Vorgängen, um stille Datenkorruption zu verhindern (z. B. Webhook-Deduplizierung).

C. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit

  • Hosting auf belastbarer EU-Infrastruktur mit automatischem Failover.
  • Tägliche Datenbanksicherungen mit einer Aufbewahrungsfrist von mindestens 30 Tagen.
  • Dokumentierte Verfahren zur Reaktion auf Vorfälle.

D. Maßnahmen zur Wiederherstellung der Verfügbarkeit und des Zugangs

  • Getestete Wiederherstellungsverfahren aus Sicherungen.
  • Runbooks für die häufigsten Klassen von Vorfällen.

E. Maßnahmen zur fortlaufenden Bewertung

  • Regelmäßige Überprüfung der Zugriffsrechte, Sicherheitseinstellungen und Vereinbarungen mit Unterauftragsverarbeitern.
  • Kontinuierliche Überwachung von Fehlerquoten, Sicherheitsereignissen und Produktanalyse-Signalen.
  • Die Sitzungswiedergabe ist, sofern aktiviert, so konfiguriert, dass sensible Felder maskiert und Coaching-Inhalte, Ziele, Notizen, KI-Prompts und -Ausgaben, Zahlungsdetails, Authentifizierungsgeheimnisse und private Freitextfelder ausgeschlossen werden.
  • Periodische Lieferantenüberprüfungen und Vertragsaktualisierungen.

F. Pseudonymisierung und Datenminimierung

  • Personenbezogene Daten werden nur dann an den KI-Unterauftragsverarbeiter gesendet, wenn dies zwingend erforderlich ist, mit dem für die angeforderte Ausgabe minimal notwendigen Kontext.
  • Der Auftragsverarbeiter fügt E-Mail-Adressen, Telefonnummern oder Abrechnungsdaten nicht als strukturierte Felder in Anfragen an den KI-Unterauftragsverarbeiter ein; vom Verantwortlichen bereitgestellte Freitextinhalte, etwa Sitzungstranskripte und Notizen, werden so übermittelt, wie sie verfasst wurden.
  • Produktivzugriffe erfolgen über individuelle Konten; gemeinsam genutzte Zugangsdaten sind nicht zulässig.
Zurück nach oben