gemäß Art. 28 DSGVO
Präambel
Dieser Auftragsverarbeitungsvertrag ("AVV") wird geschlossen zwischen:
Auftraggeber (Verantwortlicher):
Der Nutzer der Damin-Plattform (nachfolgend "Auftraggeber")
Auftragnehmer (Auftragsverarbeiter):
Damin
Inhaber: Daniel Naradzynkowski
c/o IP-Management #7505
Ludwig-Erhard-Straße 18
20459 Hamburg
(nachfolgend "Auftragnehmer")
Der AVV gilt ab dem Zeitpunkt der Registrierung auf der Damin-Plattform und ist Bestandteil der Allgemeinen Geschäftsbedingungen.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform "Damin" zur Verwaltung von Salons und Dienstleistungsunternehmen.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag der Damin-Plattform). Nach Beendigung des Hauptvertrags gelten die Regelungen zur Datenlöschung gemäß § 10 dieses AVV.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Verwaltung von Kundendaten
- Terminverwaltung und -buchung
- Versand von E-Mail-Benachrichtigungen (Terminbestätigungen, Erinnerungen)
- Versand von SMS-Benachrichtigungen (Terminerinnerungen, Marketing)
- Verarbeitung von Zahlungsdaten über Drittanbieter (Stripe)
- Erstellung und Speicherung von Kassendaten (POS-System mit Cloud-TSE)
- Bereitstellung eines Kundenportals
- Bereitstellung einer automatisch generierten Salon-Website
- KI-gestützte Textgenerierung für Website-Inhalte (optional)
- KI-gestützter Telefonassistent für eingehende Anrufe (optional)
- Treueprogramm und Gutscheinverwaltung
- Google-Kalender-Synchronisation (optional)
- Speicherung von Bilddaten (Profilbilder, Salon-Fotos)
- Analyse und Reporting (anonymisiert/aggregiert)
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Kontaktdaten: Name, E-Mail, Telefonnummer, Adresse
- Termindaten: Datum, Uhrzeit, gebuchte Dienstleistungen, zugeordneter Mitarbeiter
- Kommunikationsdaten: E-Mail-Verlauf, SMS-Verlauf, Notizen, KI-Gesprächszusammenfassungen
- Zahlungsdaten: Transaktionsreferenzen, Zahlungsstatus (keine vollständigen Kartendaten)
- Nutzungsdaten: Login-Zeiten, IP-Adressen
- Treueprogramm-Daten: Punkte, Stufe, Geburtstag (optional), Umsatzhistorie
- Bilddaten: Profilbilder, Salon-Fotos
- Standortdaten: Salon-Adresse, Google-Place-ID
- Gerätedaten: Push-Token (APNS), Geräte-ID (bei Nutzung der iOS-Apps)
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden grundsätzlich nicht verarbeitet, es sei denn, der Auftraggeber speichert diese eigenverantwortlich in Freitext-Feldern (z.B. Kundennotizen zu Allergien oder Unverträglichkeiten).
§ 4 Kategorien betroffener Personen
- Kunden des Auftraggebers (Salonkunden)
- Mitarbeiter des Auftraggebers
- Interessenten und Website-Besucher
- Anrufer (bei Nutzung des KI-Telefonassistenten)
§ 5 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich:
- Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
- Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)
- Geeignete technische und organisatorische Maßnahmen zu ergreifen (Art. 28 Abs. 3 lit. c DSGVO, siehe § 8)
- Unterauftragsverarbeiter nur mit vorheriger Zustimmung einzusetzen (Art. 28 Abs. 2 DSGVO, siehe § 7)
- Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
- Den Auftraggeber bei Datenschutz-Folgenabschätzungen zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO)
- Alle erforderlichen Informationen für Nachweise zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO)
- Überprüfungen durch den Auftraggeber zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO)
- Nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
§ 6 Pflichten des Auftraggebers
Der Auftraggeber ist als Verantwortlicher verpflichtet:
- Die Rechtmäßigkeit der Datenverarbeitung sicherzustellen
- Betroffene über die Datenverarbeitung zu informieren (Art. 13, 14 DSGVO)
- Betroffenenrechte zu gewährleisten und Anfragen zu bearbeiten
- Weisungen schriftlich oder in Textform zu erteilen
- Keine besonderen Kategorien personenbezogener Daten ohne Rechtsgrundlage zu speichern
- Erforderliche Einwilligungen für Marketing-SMS einzuholen
- Seine Mitarbeiter über die Kalender-Synchronisation und Datenverarbeitung zu informieren
§ 7 Unterauftragsverarbeiter
(1) Der Auftraggeber erteilt hiermit eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.
(2) Folgende Unterauftragsverarbeiter werden derzeit eingesetzt:
| Unternehmen | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank-Hosting, Authentifizierung | USA (Server: EU Frankfurt) – SCCs + DPF |
| Vercel Inc. | Application Hosting, Analytics | USA (Edge: EU) – SCCs + DPF |
| Stripe Inc. | Zahlungsabwicklung, Terminal | Irland/USA – SCCs |
| fiskaly Germany GmbH | Cloud-TSE (Kassensystem) | Deutschland |
| Resend Inc. | E-Mail-Versand | USA – SCCs |
| Vonage / Sinch | SMS-Versand | USA/EU – SCCs |
| OpenAI Inc. | KI-Textgenerierung (optional) | USA – SCCs |
| Vapi Inc. | KI-Telefonassistent (optional) | USA – SCCs |
| ElevenLabs Inc. | Sprachsynthese (via Vapi) | USA – SCCs |
| Deepgram Inc. | Spracherkennung (via Vapi) | USA – SCCs |
| Google Ireland Limited | Maps, Places, Calendar, Analytics | Irland/USA – DPF + SCCs |
| Meta Platforms Ireland Ltd. | Meta Pixel, Conversions API | Irland/USA – DPF + SCCs |
| Amazon Web Services (AWS) | Bildspeicher (S3) | EU (Frankfurt) |
| Functional Software (Sentry) | Fehlererkennung, Performance | USA – SCCs + DPF |
| Cloudflare Inc. | Turnstile (Bot-Schutz) | USA – SCCs + DPF |
| Mapbox Inc. | Interaktive Karten | USA – SCCs |
Hinweis: SCCs = EU-Standardvertragsklauseln (Art. 46 DSGVO); DPF = EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss).
(3) Der Auftragnehmer wird den Auftraggeber über Änderungen bei Unterauftragsverarbeitern mindestens 30 Tage im Voraus informieren. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben. Erfolgt kein Einspruch, gilt die Änderung als genehmigt. Bei Einspruch hat der Auftraggeber das Recht, den Hauptvertrag außerordentlich zu kündigen.
(4) Der Auftragnehmer stellt sicher, dass mit allen Unterauftragsverarbeitern entsprechende Verträge gemäß Art. 28 DSGVO abgeschlossen sind.
§ 8 Technische und organisatorische Maßnahmen
Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:
Vertraulichkeit
- Zutrittskontrolle: Cloud-Infrastruktur bei zertifizierten Rechenzentren (ISO 27001)
- Zugangskontrolle: Passwortschutz, Multi-Faktor-Authentifizierung für Admin-Zugriffe
- Zugriffskontrolle: Rollenbasierte Berechtigungen, Row Level Security auf Datenbankebene
- Mandantentrennung: Strikte Trennung der Kundendaten durch tenant_id
Integrität
- Eingabekontrolle: Protokollierung von Änderungen an Daten (Zeitstempel)
- Weitergabekontrolle: SSL/TLS-Verschlüsselung für alle Datenübertragungen
Verfügbarkeit und Belastbarkeit
- Tägliche automatisierte Backups (Point-in-Time Recovery)
- Geo-redundante Speicherung in EU-Rechenzentren (Frankfurt)
- Disaster-Recovery-Konzept
- 99% Verfügbarkeitsgarantie (siehe AGB § 15)
Verfahren zur regelmäßigen Überprüfung
- Regelmäßige Sicherheitsupdates und Patches
- Automatisierte Fehlerüberwachung (Sentry)
- Schulung der Mitarbeiter zum Datenschutz
§ 9 Meldung von Datenschutzverletzungen
(1) Der Auftragnehmer wird den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, über Datenschutzverletzungen informieren, die personenbezogene Daten des Auftraggebers betreffen.
(2) Die Meldung erfolgt an die beim Auftraggeber hinterlegte E-Mail-Adresse und enthält alle für die Meldung gemäß Art. 33 DSGVO erforderlichen Informationen.
§ 10 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrags werden die Daten zunächst für 365 Tage inaktiv gespeichert (Reaktivierungsphase gemäß AGB § 6).
(2) Nach Ablauf dieser Frist werden alle personenbezogenen Daten vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Backups werden nach 30 Tagen automatisch überschrieben.
(3) Der Auftraggeber kann jederzeit eine vorzeitige Löschung oder die Herausgabe seiner Daten in einem gängigen Format (z.B. CSV, JSON) verlangen. Die Löschung erfolgt innerhalb von 14 Tagen nach Erhalt der Weisung.
(4) Kassendaten (POS) und TSE-Signaturen unterliegen der gesetzlichen Aufbewahrungspflicht von 10 Jahren und werden entsprechend länger gespeichert.
(5) Die Löschung erfolgt sicher und unwiederbringlich gemäß den Standards von BSI und DSGVO. Der Auftragnehmer bestätigt die Löschung auf Wunsch schriftlich.
§ 11 Kontrollrechte
(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Vereinbarungen dieses AVV zu überprüfen.
(2) Der Auftragnehmer stellt auf Anfrage folgende Nachweise zur Verfügung:
- Aktuelle TOMs (technische und organisatorische Maßnahmen)
- Zertifikate der Unterauftragsverarbeiter (soweit vorhanden)
- Ergebnisse von Sicherheitsaudits (in zusammengefasster Form)
(3) Vor-Ort-Prüfungen sind nach vorheriger Abstimmung und unter Wahrung der Vertraulichkeit möglich. Die Kosten trägt der Auftraggeber.
§ 12 Haftung
(1) Die Haftung richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.
(2) Der Auftragnehmer haftet gegenüber dem Auftraggeber für Schäden, die durch eine nicht rechtmäßige Verarbeitung oder eine Handlung, die gegen die DSGVO verstößt, entstehen.
(3) Im Übrigen gelten die Haftungsregelungen der AGB (§ 17).
§ 13 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt deutsches Recht. Gerichtsstand ist Hamburg.
(4) Dieser AVV gilt als mit der Registrierung auf der Damin-Plattform abgeschlossen.
Stand: Februar 2026