Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO.
gültig ab dem 01. Oktober 2024.
Dieser Vertrag zur Auftragsverarbeitung („AVV“ oder „DPA“) ist Bestandteil der Nutzungsbedingungen und reguliert den datenschutzkonformen Umgang mit personenbezogenen Daten zwischen Treatly (nachfolgend „Auftragsverarbeiter“ oder „Treatly“) und dem Nutzer der Treatly-Software (nachfolgend „Verantwortlicher“ oder „Studio“).
1.1 Gegenstand und Zweck: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies umfasst das Hosting der Software, die Bereitstellung von Terminbuchungsfunktionen, CRM-Systemen und Zahlungsabwicklungen gemäß den Hauptnutzungsbedingungen.
1.2 Art der Daten: Stammdaten (Name, Adresse), Kontaktdaten (E-Mail, Telefon), Vertragsdaten, Zahlungsdaten, Termin-Historien und Notizen zu Kundenbehandlungen.
1.3 Kategorien betroffener Personen: Kunden des Verantwortlichen (Studios), Mitarbeiter des Verantwortlichen.
1.4 Dauer: Dieser Vertrag gilt für die Dauer der Inanspruchnahme der Treatly-Dienste durch den Verantwortlichen.
2.1 Weisungsgebundenheit: Der Auftragsverarbeiter darf Daten von betroffenen Personen nur im Rahmen des Auftrags und der dokumentierten Weisungen des Verantwortlichen verarbeiten, außer es besteht eine gesetzliche Verpflichtung zur Verarbeitung.
2.2 Vertraulichkeit: Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
2.3 Sicherheit der Verarbeitung: Der Auftragsverarbeiter ergreift die erforderlichen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um ein angemessenes Schutzniveau zu gewährleisten (siehe Anlage 1).
Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter zu. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.
| Unterauftragsverarbeiter | Dienstleistung | Standort |
|---|---|---|
| Supabase, Inc. / AWS | Datenbank-Hosting & Auth | Frankfurt, Deutschland (EU) |
| Vercel Inc. | Frontend-Hosting & Edge Functions | Global (CDN), Server in Frankfurt (EU) |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland (EU) |
| Resend, Inc. | E-Mail Versand (Transaktions- & Marketing-Mails) | USA (DPA abgeschlossen) |
| MessaggioSMS (Skebby / Messagebird) | SMS-Versand (Terminerinnerungen) | Italien (EU) |
| Functional Software, Inc. (Sentry) | Error Tracking & Performance Monitoring | USA (DPA abgeschlossen) |
| Cloudflare, Inc. | Bot-Schutz (Turnstile), DDoS-Schutz | Global (EU-Rechenzentren verfügbar) |
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen zu erfüllen.
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern keine rechtliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.