Auftragsverarbeitungsvertrag
nach Art. 28 DSGVO
Stand: 07.05.2026
§ 1 Vertragsgegenstand und Parteien
(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt den Nutzungsvertrag über die SaaS-Plattform CourtControl und regelt die Rechte und Pflichten der Parteien bei der Verarbeitung personenbezogener Daten im Auftrag.
(2) Auftraggeber (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO) ist der Kunde, der CourtControl als registrierter Nutzer einsetzt (nachfolgend „Kunde" oder „Verantwortlicher").
(3) Auftragnehmer (Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO) ist:
Adrian Budack
Einzelunternehmer, handelnd unter der Geschäftsbezeichnung „CourtControl"
c/o IP-Management #10047
Ludwig-Erhard-Straße 18
20459 Hamburg
E-Mail: datenschutz@courtcontrol.io
§ 2 Gegenstand, Dauer, Art und Zweck der Verarbeitung
(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Plattform CourtControl, in deren Rahmen der Auftragnehmer personenbezogene Daten im Auftrag des Kunden speichert, organisiert, abfragt, bereitstellt und bei Vertragsende löscht.
(2) Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Vertragsende gelten die Regelungen in § 10 dieses AVV.
(3) Art der Verarbeitung: Erheben (durch Eingabe des Kunden), Speichern, Organisieren, Abfragen, Bereitstellen (Anzeige in der App), Übermitteln (an Unterauftragsverarbeiter gemäß Anlage 2), Löschen.
(4) Zweck der Verarbeitung: Bereitstellung der vertraglich vereinbarten Funktionen der Plattform CourtControl — insbesondere Schülerverwaltung, Sessionplanung, Trainingsnotizen, Rechnungsstellung und Finanzübersicht.
§ 3 Kategorien betroffener Personen und personenbezogener Daten
(1) Betroffene Personen:
- Schülerinnen und Schüler des Kunden (einschließlich Minderjähriger)
- Kontaktpersonen (z.B. Eltern/Erziehungsberechtigte bei minderjährigen Schülern)
(2) Kategorien personenbezogener Daten:
- Stammdaten: Name, Vorname, Geburtsdatum, Geschlecht
- Kontaktdaten: E-Mail-Adresse, Telefonnummer, Adresse
- Vertragsdaten: Tarif, Stundensatz, Buchungsstatus, Zahlungsstatus
- Trainingsdaten: Sessiondaten (Datum, Uhrzeit, Ort), Trainingsnotizen, Leistungsbeobachtungen, Fortschrittsvermerke
- Rechnungsdaten: Rechnungsnummern, Beträge, Zahlungsstatus
- Kommunikationsdaten: Notizen des Kunden zu Schülern
(3) Verbot besonderer Kategorien: Der Kunde verpflichtet sich, keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (insbesondere Gesundheitsdaten, religiöse Überzeugungen, ethnische Herkunft) in CourtControl einzugeben, es sei denn, der Kunde hat hierfür eine eigenständige Rechtsgrundlage und trifft die erforderlichen Schutzmaßnahmen. Trainingsnotizen mit allgemeinen Fitness- und Bewegungsbeobachtungen gelten nicht als Gesundheitsdaten im Sinne des Art. 9, solange sie keinen Krankheitsbezug aufweisen.
§ 4 Weisungsbindung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Kunden. Die Weisungen ergeben sich aus diesem AVV, den AGB und den Funktionen der Plattform (Nutzung der Plattform durch den Kunden gilt als Weisung).
(2) Der Auftragnehmer informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer darf die Durchführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Kunden aussetzen.
(3) Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Änderungsanfrage behandelt.
§ 5 Vertraulichkeit
(1) Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Diese Pflicht besteht auch nach Beendigung des Auftrags fort.
§ 6 Technisch-organisatorische Maßnahmen (TOMs)
(1) Der Auftragnehmer trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Dazu gehören insbesondere:
- Verschlüsselung: TLS 1.2+ für Datenübertragung, AES-256 für Datenbank-Verschlüsselung at rest
- Zugangskontrolle: Kryptographisches Passwort-Hashing (bcrypt), Multi-Faktor-Authentifizierung für Administratorzugriff
- Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene — jeder Kunde sieht ausschließlich seine eigenen Daten
- Trennungsgebot: Logische Mandantentrennung durch RLS-Policies; kein Datenzugriff zwischen Kunden-Accounts
- Verfügbarkeit: Tägliche Backups, Hosting bei redundanter Cloud-Infrastruktur
- Pseudonymisierung: PII-Stripping vor Übermittlung an die KI-API (Schülernamen werden durch interne IDs ersetzt)
- Auftragskontrolle: Dokumentierte Unterauftragsverarbeiter (Anlage 2), vertragliche Bindung aller Subprozessoren
(2) Der Auftragnehmer überprüft die Wirksamkeit der Maßnahmen regelmäßig und passt sie bei Bedarf dem Stand der Technik an.
§ 7 Unterauftragsverarbeitung
(1) Der Kunde erteilt dem Auftragnehmer die allgemeine Genehmigung, Unterauftragsverarbeiter gemäß der in Anlage 2 aufgeführten Liste einzusetzen.
(2) Der Auftragnehmer informiert den Kunden über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage vor der Änderung per E-Mail.
(3) Der Kunde kann der Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung aus sachlichen Gründen in Textform widersprechen. Kommt in diesem Fall keine einvernehmliche Lösung zustande, steht dem Kunden ein Sonderkündigungsrecht zum Zeitpunkt der geplanten Änderung zu.
(4) Der Auftragnehmer stellt sicher, dass alle Unterauftragsverarbeiter vertraglich mindestens den gleichen Datenschutzpflichten unterliegen, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).
§ 8 Unterstützung bei Betroffenenrechten
(1) Der Auftragnehmer unterstützt den Kunden durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Betroffenenrechte gemäß Art. 15–22 DSGVO.
(2) Wendet sich eine betroffene Person (z.B. ein Schüler oder Elternteil) direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Kunden weiter und beantwortet sie nicht eigenständig.
§ 9 Unterstützung bei Sicherheitsvorfällen und DSFA
(1) Der Auftragnehmer informiert den Kunden ohne unangemessene Verzögerung nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung umfasst mindestens: die Art der Verletzung, die betroffenen Datenkategorien und Personen, die wahrscheinlichen Folgen und die ergriffenen Gegenmaßnahmen.
(3) Der Auftragnehmer unterstützt den Kunden bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und bei einer etwaigen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO), soweit dies die Verarbeitung im Rahmen dieses AVV betrifft.
§ 10 Löschung und Rückgabe
(1) Nach Beendigung des Nutzungsvertrags stellt der Auftragnehmer dem Kunden ein Exportfenster von 30 Tagen zur Verfügung, in dem der Kunde seine Daten in den Formaten CSV, JSON und PDF exportieren kann.
(2) Nach Ablauf des Exportfensters löscht der Auftragnehmer sämtliche im Auftrag des Kunden verarbeiteten personenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(3) Rechnungsdaten, die steuerrechtlichen Aufbewahrungspflichten unterliegen (§ 147 AO, § 257 HGB), werden für die Dauer der gesetzlichen Frist aufbewahrt, danach gelöscht. Während der Aufbewahrungsfrist werden diese Daten gesperrt und nicht für andere Zwecke verwendet.
(4) Der Auftragnehmer bestätigt die Löschung auf Anfrage des Kunden in Textform.
§ 11 Audit-Rechte
(1) Der Kunde hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten zu überprüfen. Der Auftragnehmer stellt dem Kunden auf Anfrage die erforderlichen Informationen zur Verfügung, um die Einhaltung nachzuweisen.
(2) Vor-Ort-Inspektionen sind nach vorheriger Abstimmung (mindestens 30 Tage Vorlauf) und unter Wahrung der Vertraulichkeit und der Rechte anderer Kunden möglich. Der Kunde trägt die Kosten der Inspektion.
(3) Der Auftragnehmer kann den Nachweis der Einhaltung auch durch Vorlage aktueller Zertifikate, Audit-Berichte oder vergleichbarer Dokumente erbringen.
Anlage 1: Technisch-organisatorische Maßnahmen (Zusammenfassung)
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung in Transit | TLS 1.2+ für alle Verbindungen |
| Verschlüsselung at Rest | AES-256 (Supabase-managed) |
| Passwort-Hashing | bcrypt |
| Zugangskontrolle | E-Mail/Passwort + optional Google OAuth; Admin-MFA |
| Mandantentrennung | Row Level Security (RLS) auf PostgreSQL-Ebene |
| Backups | Täglich, verschlüsselt, 7–30 Tage Retention |
| Pseudonymisierung (KI) | PII-Stripping: Schülernamen → IDs vor Anthropic-API |
| Logging | Zugriffs- und Änderungslogs für Audit-Trail |
| Löschung | Automatisiert nach definierten Fristen |
Anlage 2: Liste der Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Sitz | Zweck | Datenarten | Serverstandort | DPF | Transfermechanismus |
|---|---|---|---|---|---|---|
| Supabase, Inc. | USA/Singapur | Datenbank, Authentifizierung | Alle App-Daten | Frankfurt (DE) | ❌ | SCC + TIA |
| Vercel Inc. | USA | Hosting, CDN | Request-Daten, Logs | Edge (global) | ✅ | DPF + SCC |
| Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung | Rechnungs-/Zahlungsdaten | EU + USA | ✅ | DPF + SCC |
| Anthropic, PBC | USA | KI-Trainingsnotizen-Analyse | Pseudonymisierte Notizen | USA | ❌ | SCC + TIA |
| Plus Five Five, Inc. (Resend) | USA | Transaktionale E-Mails | E-Mail-Adresse, Inhalt | USA | ❌ | SCC + TIA |
| Google LLC | USA | Analytics (nur LP), OAuth | Pseudonyme IDs, E-Mail (OAuth) | USA | ✅ | DPF + SCC |
| Meta Platforms, Inc. | USA | Marketing-Pixel (nur LP) | Pixel-Daten, Event-Daten | USA | ✅ | DPF + SCC |
Hinweise:
- Stripe agiert bei der Betrugsprävention als eigener Verantwortlicher, nicht als Auftragsverarbeiter.
- Google Analytics und Meta Pixel werden ausschließlich auf der Landing Page (courtcontrol.io) eingesetzt, nicht in der App.
- Meta agiert für Insights-Daten als gemeinsamer Verantwortlicher (Art. 26 DSGVO), nicht als reiner Auftragsverarbeiter.
- Anthropic erhält durch PII-Stripping keine direkt personenbezogenen Daten (Schülernamen werden durch IDs ersetzt).
- Anthropic verwendet API-Daten nicht zum Training seiner Modelle.