Parteien
Auftragsverarbeiter (Anbieter): folgt
[Firmenname], [Adresse], [E-Mail]
nachfolgend „Anbieter"
Verantwortlicher:
Das Studio, das sich unter getbarbercircle.com registriert hat (Name und Adresse gemäß Registrierungsdaten)
nachfolgend „Studio"
Gemeinsam nachfolgend „die Parteien".
Präambel
Der Anbieter stellt dem Studio die SaaS-Plattform „Barber Circle" bereit. Im Rahmen dieser Leistung verarbeitet der Anbieter im Auftrag des Studios personenbezogene Daten von Kundschaft des Studios. Dieser AVV regelt die Einzelheiten dieser Auftragsverarbeitung gemäß Art. 28 DSGVO und ist Bestandteil des zwischen den Parteien geschlossenen Nutzungsvertrags (AGB).
Das Studio ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Der Anbieter ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.
§ 1 Gegenstand, Art und Zweck der Verarbeitung
1.1 Der Anbieter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Studios zum Zweck der Bereitstellung und des Betriebs der Plattform Barber Circle, insbesondere:
- Verwaltung des digitalen Treueprogramms (Stempel, Stempel, Belohnungen)
- Speicherung und Anzeige von Kundschaft-Aktivitäten im Studio-Dashboard
- Segmentierung von Kundschaft nach Aktivitätsstatus
- Erfassung und Speicherung von Marketing-Einwilligungen der Kundschaft
- Bereitstellung der WhatsApp-Kontaktfunktion (Anzeige von Telefonnummern für das Studio)
1.2 Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags zwischen den Parteien.
§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen
Betroffene Personen:
Kundschaft des Studios (Personen, die am Treueprogramm des Studios teilnehmen).
Verarbeitete Datenkategorien:
- Kontaktdaten: Mobiltelefonnummer
- Nutzungsdaten: Anzahl gesammelter Stempel/Stempel, Datum und Uhrzeit der Check-ins, eingelöste Belohnungen
- Aktivitätsdaten: Letzter Besuch, Segment-Zuordnung (aktiv / wird kalt / verloren)
- Einwilligungsdaten: Marketing-Einwilligung (Ja/Nein, Zeitstempel, Wortlaut)
- Empfehlungsdaten: Geworbene Kundschaft, Bonus-Stempel
Es werden keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet.
§ 3 Weisungsgebundenheit
3.1 Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Studios. Der Nutzungsvertrag (AGB) und dieser AVV gelten als dokumentierte Weisungen.
3.2 Erteilt das Studio weitere Weisungen (z. B. zur Löschung von Daten), erfolgt dies per E-Mail an support@getbarbercircle.com.
3.3 Ist der Anbieter der Auffassung, dass eine Weisung des Studios gegen die DSGVO oder andere datenschutzrelevante Vorschriften verstößt, informiert er das Studio unverzüglich. Der Anbieter ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis das Studio diese bestätigt oder ändert.
3.4 Ist der Anbieter nach Unionsrecht oder dem Recht eines Mitgliedstaats zu einer Verarbeitung verpflichtet, teilt er dem Studio die betreffenden rechtlichen Anforderungen vor der Verarbeitung mit.
§ 4 Pflichten des Anbieters
4.1 Vertraulichkeit: Der Anbieter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
4.2 Technische und organisatorische Maßnahmen (TOM): Der Anbieter trifft geeignete TOM gemäß Art. 32 DSGVO (siehe Anlage 2).
4.3 Unterstützung bei Betroffenenrechten: Der Anbieter unterstützt das Studio bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist.
4.4 Unterstützung bei Sicherheitspflichten: Der Anbieter unterstützt das Studio bei der Erfüllung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
4.5 Datenpannenmeldung: Der Anbieter meldet dem Studio eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, per E-Mail. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit diese verfügbar sind.
4.6 Löschung nach Vertragsende: Nach Beendigung des Nutzungsvertrags löscht der Anbieter alle personenbezogenen Daten des Studios und seiner Kundschaft spätestens nach 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Das Studio kann die Daten in dieser Frist selbst exportieren.
4.7 Nachweise: Der Anbieter stellt dem Studio alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung und ermöglicht Audits (auch durch beauftragte Dritte) unter angemessener Ankündigung (mindestens 14 Tage) und auf Kosten des Studios, soweit kein Verstoß des Anbieters vorliegt.
§ 5 Pflichten des Studios (Verantwortlicher)
5.1 Das Studio ist alleiniger Verantwortlicher für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten seiner Kundschaft.
5.2 Das Studio stellt insbesondere sicher:
- Es besteht eine Rechtsgrundlage für die Verarbeitung (z. B. Vertragserfüllung für das Treueprogramm, Einwilligung für Marketing).
- Kundschaft werden über die Datenverarbeitung informiert (Datenschutzhinweis des Studios).
- Marketing-Einwilligungen werden wirksam (aktiv, freiwillig, informiert) eingeholt und dokumentiert.
- Die Nutzung der WhatsApp-Funktion zur Kontaktaufnahme mit Kundschaft erfolgt nur im Rahmen der geltenden Gesetze (insbesondere § 7 UWG, DSGVO).
5.3 Das Studio benennt eine Ansprechperson für Datenschutzfragen und informiert den Anbieter über Änderungen, die die Verarbeitung betreffen.
§ 6 Sub-Auftragsverarbeiter (Unterauftragnehmer)
6.1 Das Studio erteilt dem Anbieter eine allgemeine Genehmigung zur Beauftragung von Sub-Auftragsverarbeitern. Der Anbieter informiert das Studio über beabsichtigte Änderungen (Hinzufügung oder Ersetzung) mit einer Vorabankündigung von mindestens 30 Tagen. Das Studio kann Änderungen innerhalb dieser Frist aus datenschutzrechtlichen Gründen widersprechen.
6.2 Aktuell eingesetzte Sub-Auftragsverarbeiter (Stand: Juni 2026) sind in Anlage 1 aufgeführt.
6.3 Der Anbieter schließt mit allen Sub-Auftragsverarbeitern einen Vertrag gemäß Art. 28 Abs. 4 DSGVO, der mindestens die gleichen Datenschutzpflichten auferlegt wie dieser AVV.
§ 7 Übermittlung in Drittländer
7.1 Eine Verarbeitung personenbezogener Daten außerhalb der EU/des EWR erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Standardvertragsklauseln, Angemessenheitsbeschluss).
7.2 Soweit Sub-Auftragsverarbeiter in Drittländern tätig sind, ist dies in Anlage 1 vermerkt, inklusive der Rechtsgrundlage für die Übermittlung.
⚠️ [Anwalt: Prüfen ob Supabase/Lovable US-basiert sind und ob SCCs vorhanden.]
§ 8 Haftung
8.1 Für die Haftung der Parteien im Rahmen dieses AVV gelten die Haftungsregelungen des Nutzungsvertrags (AGB § 8), soweit die DSGVO keine abweichenden Regelungen trifft.
8.2 Im Außenverhältnis zu betroffenen Personen und Aufsichtsbehörden richtet sich die Haftung nach Art. 82 und 83 DSGVO.
§ 9 Schlussbestimmungen
9.1 Dieser AVV ist Bestandteil des Nutzungsvertrags (AGB) und unterliegt denselben Regelungen zu anwendbarem Recht und Gerichtsstand.
9.2 Änderungen dieses AVV bedürfen der Textform. § 10 der AGB gilt entsprechend.
9.3 Soweit Regelungen dieses AVV unwirksam sind, gilt § 12.3 der AGB entsprechend.
Anlage 1: Sub-Auftragsverarbeiter
⚠️ [Anwalt / Anbieter: Liste vollständig prüfen und ergänzen. Besonders prüfen: Serverstandort, Drittland-Transfer, SCCs.]
| Unternehmen | Zweck | Serverstandort | Rechtsgrundlage Drittland |
|---|---|---|---|
| Supabase, Inc. | Datenbankhosting, Authentifizierung | USA (AWS us-east-1) | Standardvertragsklauseln (SCCs) |
| Lovable / Netlify | Hosting der Webanwendung (Frontend) | USA | Standardvertragsklauseln (SCCs) |
| [ggf. E-Mail-Provider] | Transaktions-E-Mails (Registrierung etc.) | [prüfen] | [prüfen] |
| [ggf. Zahlungsanbieter Stripe] | Zahlungsabwicklung (wenn aktiv) | USA/EU | SCCs / EU-Datenverarbeitung |
Anlage 2: Technische und Organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO
⚠️ [Anbieter: Diese TOM müssen tatsächlich umgesetzt sein — keine Wunschliste. Bitte prüfen und anpassen.]
Vertraulichkeit
Zutrittskontrolle (physisch)
- Verarbeitung ausschließlich in Cloud-Infrastruktur (kein eigenes Rechenzentrum); physische Sicherheit durch Sub-Auftragsverarbeiter (Supabase/AWS).
Zugangskontrolle (System)
- Starke Passwort-Richtlinie und Multi-Faktor-Authentifizierung für Admin-Zugänge.
- Automatischer Session-Timeout nach Inaktivität.
Zugriffskontrolle (Daten)
- Row Level Security (RLS) in der Datenbank: Studios können ausschließlich auf eigene Daten zugreifen.
- Minimales Berechtigungsprinzip (Least Privilege) für Systemzugriffe.
- Service-Role-Keys werden nicht an Studios oder Endnutzerinnen weitergegeben.
Trennungskontrolle
- Strikte Mandantentrennung: Daten verschiedener Studios sind durch RLS voneinander isoliert.
Integrität
Weitergabekontrolle
- Ausschließliche Übertragung über verschlüsselte Verbindungen (TLS/HTTPS).
Eingabekontrolle
- Protokollierung von Datenbankänderungen (Supabase-Audit-Logs, soweit aktiviert).
Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle
- Regelmäßige automatisierte Datenbankbackups durch Supabase.
- Wiederherstellung aus Backups möglich.
Belastbarkeit
- Hosting auf skalierbarer Cloud-Infrastruktur (AWS über Supabase).
Verfahren zur Überprüfung
- Regelmäßige Überprüfung der Sicherheitsmaßnahmen (mindestens jährlich).
- Umgehende Aktualisierung bei bekannt gewordenen Schwachstellen.
Barber Circle — getbarbercircle.com — hello@getbarbercircle.com