Datenschutz / DSGVO
🟢 Aktiv · Owner: noch offen · Erstellt: Juni 2026 · Zuletzt geprüft: 2026-06-05 (AVV + Hilfe-Doku eingearbeitet)
Wir sind Auftragsverarbeiter für unsere Kunden: Die Hundeschule ist der Verantwortliche (sie bestimmt über die Daten ihrer Kund:innen/Hunde), wir verarbeiten diese Daten in ihrem Auftrag über die Software. Geregelt wird das im Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.
Quellen dieser Seite
AVV (Kanzlei Fischer-Battermann, Art. 28 DSGVO) · hilfe.123hundeschule.de/integrationen/datenschutz · interne Doku docs/integrationen/datenschutz.mdx.
Diese Seite beantwortet
- Welche DSGVO-Dokumente haben wir, wo liegen sie?
- Welche Subprozessoren nutzen wir (und ist je ein AVV vorhanden)?
- Wie gehen wir mit Betroffenenrechten und Datenpannen um?
Rolle & Verantwortliche
| Unsere Rolle | Auftragsverarbeiter (Auftragnehmer i. S. v. Art. 28 DSGVO) |
| Verantwortlicher | die jeweilige Hundeschule (Auftraggeber) |
| Rechtsträger (Auftragnehmer) | Christian Janzen und Florian Strauß GbR, Azaleenweg 29, 26160 Bad Zwischenahn, Deutschland |
| Ansprechpartner Datenschutz / weisungsberechtigt | Florian Strauß · Tel. +49 441 180 29 666 · info@orlyapps.de |
| Datenschutzbeauftragter | nicht bestellt (laut AVV nicht verpflichtet) |
| Ort der Verarbeitung | ausnahmslos EU/EWR — Ausnahme: einzelne Subprozessoren in Drittländern (s. u.) |
Namens-Diskrepanz – verbindlicher Name geklärt
Verbindlicher Rechtsträger ist „Christian Janzen und Florian Strauß GbR" (so auch im AVV). Die öffentliche Datenschutzerklärung/Impressum nennt noch „Orlyapps-Janzen und Strauß GbR, Herr Florian Strauß" (Marke: „Orlyapps") – das ist anzugleichen. Siehe Überblick & Rechtsform.
AVV (Auftragsverarbeitungsvertrag)
- Grundlage: Art. 28 DSGVO, Vertragsmuster erstellt von Kanzlei Fischer-Battermann.
- Zweck: konkretisiert die datenschutzrechtlichen Pflichten rund um die gebuchten Leistungen (Kundenverwaltung & Fakturierung).
- Dauer: entspricht der Laufzeit der Leistungsvereinbarung (Hauptvertrag).
- Bereitstellung: Kunden erhalten den AVV; Entwurf zum Download verlinkt in der Hilfe-Doku (Drive-PDF).
Unsere Kernpflichten aus dem AVV (Kurzfassung):
- Verarbeitung nur auf dokumentierte Weisung des Kunden (Weisungen in Textform, 3 Kalenderjahre aufbewahren).
- Auf Daten zugreifende Personen sind zur Vertraulichkeit verpflichtet und geschult.
- TOMs (technisch-organisatorische Maßnahmen) nach Art. 32 DSGVO — Detail in Anlage 1 zum AVV.
- Unterstützung des Kunden bei Betroffenenrechten, DSFA und vorheriger Konsultation der Aufsichtsbehörde.
- Meldung von Störungen/Datenpannen unverzüglich an den Kunden.
- Kontroll-/Auditrechte des Kunden (Stichproben, i. d. R. angekündigt).
- Subprozessoren nur mit Zustimmung; Wechsel mit ≥ 2 Kalenderwochen Vorlauf ankündbar (Widerspruchsrecht des Kunden).
- Bei Vertragsende: Daten löschen/zurückgeben, Löschprotokoll auf Anforderung.
Kerndokumente
| Dokument | Vorhanden? | Ablage / Quelle |
|---|---|---|
| AVV/DPA (für unsere Kunden) | ✅ ja | Muster Kanzlei Fischer-Battermann · Hilfe-Doku · Drive-PDF |
| TOMs (technisch-organisatorische Maßnahmen) | 🔶 als Anlage 1 zum AVV referenziert | Anlage 1 zum AVV (separat ablegen/verlinken) |
| Verzeichnis von Verarbeitungstätigkeiten (VVT) | ⬜ zu prüfen/erstellen | … |
| Datenschutzerklärung (Website/App) | … | Rechtstexte |
Verarbeitete Datenarten (AVV §5)
- Personenstammdaten
- Kommunikationsdaten (z. B. Telefon, E-Mail)
- Vertragsstammdaten (Vertragsbeziehung, Produkt-/Vertragsinteresse)
- Kundenhistorie
- Rechnungsdaten
- Daten zum Zahlungsverhalten
- Vertragsabrechnungs- und Zahlungsdaten
Kategorien betroffener Personen (AVV §6)
Kunden · Interessenten · Abonnenten · Ansprechpartner
Rechtsgrundlagen (für die Datenschutzerklärung der Kunden)
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
- Berechtigtes Interesse: Kundenverwaltung, Rechnungslegung und Terminkoordination
Subprozessoren (Unterauftragnehmer)
Im AVV genehmigte Unterauftragnehmer (Art. 28 Abs. 2–4 DSGVO). Jeder verarbeitet personenbezogene Daten im Auftrag und braucht eine eigene DPA-Grundlage. Abgleich mit dem Dienste-Register.
| Subprozessor | Zweck | Sitz | Drittland? |
|---|---|---|---|
| Hetzner Online GmbH | Hosting Serverinfrastruktur (Webanwendungen, Datenbanken, Speicher; virt. & ded. Server) | Gunzenhausen, DE | nein |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung (Kreditkarte, Lastschrift, Apple/Google Pay) + Abrechnung/Reporting | Dublin, IE | nein |
| DigitalOcean LLC | Rechenzentrum / Hosting | New York, USA | ⚠️ ja (USA) |
| GoCardless Ltd. | Bank-Schnittstelle (PSD2) | London, UK | ⚠️ ja (UK) |
| ActiveCampaign, LLC | Versand von E-Mails | Chicago, USA | ⚠️ ja (USA) |
| Bugsnag Inc. | Error-Tracking | San Francisco, USA | ⚠️ ja (USA) |
Drittland-Transfers absichern
USA (DigitalOcean, ActiveCampaign, Bugsnag) und UK (GoCardless) sind Drittländer. Pro Anbieter den Transfermechanismus verifizieren und dokumentieren — UK: EU-Angemessenheitsbeschluss; USA: EU-US Data Privacy Framework (Zertifizierung) bzw. Standardvertragsklauseln (SCCs). Hinweis: Die Doku/Datenschutzerklärung formuliert „Verarbeitung ausnahmslos in EU/EWR" — das passt nicht zu den US/UK-Subprozessoren und sollte angeglichen werden.
Subprozessor-Wechsel: mindestens 2 Kalenderwochen vorher schriftlich/in Textform ankündigen; der Kunde kann bis zur Datenübergabe widersprechen.
Prozesse
- Betroffenenrechte (Auskunft, Löschung, Berichtigung, Datenportabilität, Recht auf Vergessenwerden): Wir handeln nur auf dokumentierte Weisung des Kunden. Wendet sich eine betroffene Person direkt an uns, leiten wir die Anfrage unverzüglich an den Kunden (Verantwortlichen) weiter.
- Datenpanne (Art. 33/34 DSGVO): Verletzungen unverzüglich an den Kunden melden. Eine Meldung an die Aufsichtsbehörde machen wir nur nach Weisung des Kunden — die 72-h-Meldefrist liegt beim Verantwortlichen (Kunde). Unsere eigene zuständige Aufsichtsbehörde: LfD Niedersachsen, Hannover (Kontakt s. Rechtstexte → Impressum).
- Audits/Kontrollen: Der Kunde darf die Einhaltung prüfen (i. d. R. angekündigte Stichproben); wir weisen die TOMs nach.
- Vertragsende: sämtliche Daten löschen oder zurückgeben, Löschprotokoll auf Anforderung; Aufbewahrung nur im Rahmen gesetzlicher Pflichten (z. B. Backups, Aufbewahrungsfristen).
Muster-Textbaustein für die Datenschutzerklärung der Kunden
Für Support/Onboarding — Kund:innen können diesen Baustein in ihre eigene Datenschutzerklärung übernehmen (rechtliche Prüfung obliegt dem Kunden):
Die Buchung für Termine (Kurse, Gruppen, Veranstaltungen und Einzeltraining) erfolgt über die externe Kundenverwaltungssoftware 123hundeschule, Orlyapps-Janzen und Strauß GbR, Herr Florian Strauß, Azaleenweg 29, 26160 Bad Zwischenahn.
Rechtsgrundlagen für die Verarbeitung sind Art. 6 Abs. 1 lit. c DS-GVO und Art. 6 Abs. 1 lit. f DS-GVO. Unser berechtigtes Interesse ist die Kundenverwaltung, Rechnungslegung und Terminkoordination mit den Kunden.
Datenarten/-kategorien: Personenstammdaten, Kommunikationsdaten (z. B. Telefon, E-Mail), Vertragsstammdaten, Kundenhistorie, Rechnungsdaten, Daten zum Zahlungsverhalten, Vertragsabrechnungs- und Zahlungsdaten.
Mit dem Anbieter wurde ein Vertrag über die Auftragsverarbeitung abgeschlossen.