1. Parteien und Geltungsbereich
Dieser AVV wird zwischen Polooma (Auftragsverarbeiter) und dem im Polooma-Konto identifizierten Kunden (Verantwortlicher) geschlossen. Er gilt immer dann, wenn der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit dem Polooma-Dienst verarbeitet.
2. Gegenstand und Dauer
Gegenstand: Bereitstellung der Polooma-Plattform — Terminbuchung, Kundenverwaltung, Kommunikation und Berichterstattung. Dauer: solange das Polooma-Abonnement aktiv ist, plus die in Abschnitt 8 festgelegte Löschfrist.
3. Datenkategorien und Betroffene
Betroffene: Endkunden des Salons des Kunden (und deren Personal). Kategorien personenbezogener Daten: Kontaktdaten (Name, E-Mail, Telefon), demografische Daten (Alter, Geschlecht falls erhoben), Servicehistorie, mit Einwilligung hochgeladene Fotos, Zahlungsmetadaten (keine Kartennummern — von Stripe/Adyen verwaltet), freiwillig vom Salonpersonal eingegebene Notizen. Besondere Kategorien (Art. 9 DSGVO), wie gesundheitsbezogene Notizen, dürfen nur verarbeitet werden, wenn der Verantwortliche eine ausdrückliche Einwilligung eingeholt hat.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter wird: (a) personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten; (b) sicherstellen, dass befugte Personen zur Vertraulichkeit verpflichtet sind; (c) angemessene technische und organisatorische Maßnahmen umsetzen (Art. 32 DSGVO) — siehe Anhang A; (d) den Verantwortlichen bei der Beantwortung von Anfragen Betroffener unterstützen; (e) bei Verletzungsmeldungen, DSFA und Konsultationen mit Aufsichtsbehörden helfen; (f) personenbezogene Daten am Ende der Vereinbarung löschen oder zurückgeben (Wahl des Verantwortlichen).
5. Unterauftragsverarbeiter
Der Verantwortliche autorisiert den Auftragsverarbeiter, Unterauftragsverarbeiter zu beauftragen. Die aktuelle Liste wird unter polooma.com/legal/sub-processors veröffentlicht und gepflegt (wird nach Produktionsstart hinzugefügt). Der Verantwortliche wird mindestens 30 Tage vor dem Hinzufügen eines neuen Unterauftragsverarbeiters benachrichtigt und kann aus berechtigten Gründen widersprechen.
6. Internationale Übermittlung
Die gesamte Verarbeitung findet innerhalb der EU/des EWR statt. Wenn eine Übermittlung außerhalb der EU/des EWR erforderlich wird, wird sich der Auftragsverarbeiter auf Standardvertragsklauseln (SCCs) stützen und den Verantwortlichen im Voraus informieren.
7. Sicherheitsmaßnahmen
Siehe Anhang A. Beinhaltet Verschlüsselung in Ruhe und während der Übertragung, RBAC, Audit-Logging, MFA, regelmäßige Schwachstellenscans, jährliche Penetrationstests, EU-only Datenresidenz und 30-tägige Backup-Aufbewahrung.
8. Rückgabe und Löschung
Bei Beendigung des Polooma-Abonnements wird der Auftragsverarbeiter — nach Wahl des Verantwortlichen: (a) alle personenbezogenen Daten in einem maschinenlesbaren Format (JSON oder CSV) zurückgeben; oder (b) sie löschen. Die Löschung erfolgt innerhalb von 30 Tagen nach Beendigung, außer wenn die Aufbewahrung gesetzlich vorgeschrieben ist (in diesem Fall wird der Verantwortliche benachrichtigt). Backups, die personenbezogene Daten enthalten, werden innerhalb von 30 Tagen nach der nächsten Backup-Rotation gelöscht.
9. Auditrechte
Der Verantwortliche kann die Einhaltung dieses AVV durch den Auftragsverarbeiter prüfen — einmal pro Jahr, mit 30 Tagen Vorankündigung, während der Geschäftszeiten und auf eine Weise, die den Betrieb des Auftragsverarbeiters nicht stört. Der Auftragsverarbeiter kann diese Pflicht erfüllen, indem er dem Verantwortlichen den aktuellsten SOC 2 / ISO 27001 Auditbericht zur Verfügung stellt.
10. Haftung
Die Haftung gemäß diesem AVV richtet sich nach den Nutzungsbedingungen. Der Auftragsverarbeiter haftet für durch die Verarbeitung verursachte Schäden nur, wenn er DSGVO-Pflichten, die speziell an Auftragsverarbeiter gerichtet sind, nicht erfüllt hat oder außerhalb oder entgegen rechtmäßiger Weisungen des Verantwortlichen gehandelt hat.
11. Anwendbares Recht
Dieser AVV unterliegt dem Recht des EU-Mitgliedstaates, in dem der Auftragsverarbeiter ansässig ist. Streitigkeiten folgen der Streitbeilegungsklausel der Nutzungsbedingungen.
Anhang A — Technische und organisatorische Maßnahmen
Verschlüsselung: TLS 1.3 in transit, AES-256 at rest. Zugriffskontrolle: RBAC mit verpflichtender 2FA für Admins. Logging: append-only Audit-Log, 7 Jahre aufbewahrt. Backups: alle 6 Stunden, 30 Tage Aufbewahrung. Penetrationstests: jährlich durch eine unabhängige Firma. Personal: DSGVO-geschult, unterzeichnete Vertraulichkeitsvereinbarungen, Zugriff nach Need-to-know-Prinzip. Vorfallsreaktion: dokumentiertes Verfahren mit 72-Stunden-Benachrichtigung an den Verantwortlichen.