Auftragsverarbeitungsvertrag

Name: 7er Ink Manager
Rating: 4.9 (500 reviews)
Author: 7er Ink

gemäß Art. 28 DSGVO · 7er Ink Manager · manager.7erink.com

Stand: April 2026

Dieser Auftragsverarbeitungsvertrag (AVV) gilt zwischen dem Anbieter des 7er Ink Managers (Thomas Irschina, nachfolgend „Auftragsverarbeiter") und jedem Studio, das den Manager zur Verwaltung von Kundendaten nutzt (nachfolgend „Verantwortlicher"). Mit der Nutzung des Managers akzeptiert das Studio diesen AVV.

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen zur Verwaltung von Terminen, Kunden, Medien und Kommunikation (7er Ink Manager). Im Rahmen dieser Leistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten von Endkunden des Verantwortlichen.

(2) Dieser AVV gilt für die gesamte Dauer des Nutzungsverhältnisses zwischen dem Auftragsverarbeiter und dem Verantwortlichen.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Darstellung, Strukturierung, Änderung, Löschung und Abfrage personenbezogener Daten über eine webbasierte Anwendung.

(2) Zweck der Verarbeitung: Bereitstellung der Funktionen des 7er Ink Managers zur Verwaltung von Terminen, Kunden, Anzahlungen, Medien, E-Mail-Kommunikation und Erinnerungsnachrichten im Auftrag des Verantwortlichen.

(3) Dauer: Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags. Nach Vertragsende werden die Daten gemäß § 10 dieser Vereinbarung gelöscht oder zurückgegeben.

§ 3 Art der verarbeiteten Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

Stammdaten: Vorname, Nachname, Geburtsdatum, Adresse
Kontaktdaten: E-Mail-Adresse, Telefonnummer
Termindaten: Datum, Uhrzeit, Art des Termins, Notizen
Zahlungsdaten: Anzahlungsbeträge, Zahlungsmethode (keine vollständigen Kreditkartendaten)
Kommunikationsdaten: E-Mail-Inhalte, SMS-Nachrichten
Mediendaten: Fotos und Videos in Bezug auf Tattoo-Dokumentation
Gesundheitsdaten (soweit vom Verantwortlichen eingegeben): Hinweise auf Kontraindikationen
Sonstige Angaben: Quelle der Empfehlung, individuelle Notizen

§ 4 Kategorien betroffener Personen

Kunden und potenzielle Kunden (Endkunden) des Verantwortlichen, die Tattoo-Dienstleistungen in Anspruch nehmen oder anfragen.

§ 5 Weisungsbindung des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der Systemfunktionen durch den Verantwortlichen gilt als dokumentierte Weisung.

(2) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich.

(3) Der Auftragsverarbeiter ist berechtigt, die Daten für eigene Zwecke zu verarbeiten, soweit dies zur Bereitstellung und Verbesserung des Dienstes erforderlich ist und keine personenbezogenen Daten des Verantwortlichen an Dritte weitergegeben werden.

§ 6 Vertraulichkeit

(1) Der Auftragsverarbeiter stellt sicher, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, zur Vertraulichkeit verpflichtet wurden.

(2) Der Auftragsverarbeiter gibt personenbezogene Daten des Verantwortlichen nicht ohne dessen ausdrückliche Zustimmung an Dritte weiter, ausgenommen an die in § 8 genannten Unterauftragsverarbeiter, die zur Vertragserfüllung notwendig sind.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende Maßnahmen zum Schutz der personenbezogenen Daten implementiert:

Vertraulichkeit

Verschlüsselte Übertragung aller Daten via HTTPS/TLS
Verschlüsselte Speicherung in der Datenbank (Supabase)
Row-Level Security: jedes Studio sieht ausschließlich eigene Daten
Passwörter werden ausschließlich als bcrypt-Hash gespeichert
API-Keys und Zugangsdaten werden nicht im Quellcode gespeichert

Integrität

Zugriffskontrolle: Nutzer können nur auf freigegebene Bereiche zugreifen
Authentifizierung über Supabase Auth mit verschlüsselten Tokens
Rollenbasierte Zugriffssteuerung (Studio-Eigentümer, Tätowierer)

Verfügbarkeit

Automatische tägliche Datenbankbackups durch Supabase (7 Tage Aufbewahrung)
Deployment über Vercel mit automatischer Skalierung und globaler Verfügbarkeit
Medienfiles in Cloudflare R2 mit redundanter Speicherung

Belastbarkeit

Automatische Skalierung der Infrastruktur bei erhöhter Last
DDoS-Schutz durch Cloudflare und Vercel
Code-Versionierung über GitHub mit vollständiger Historie

§ 8 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die nachfolgend aufgeführten Unterauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen durch Aktualisierung dieser Seite.

Anbieter	Zweck	Sitz / Datenschutz
Supabase Inc.	Datenbankspeicherung aller Nutzerdaten	USA/EU · supabase.com/privacy
Vercel Inc.	Hosting und Bereitstellung der Anwendung	USA/EU · vercel.com/legal/privacy-policy
Cloudflare Inc.	Speicherung von Mediadateien (Videos, Bilder)	USA/EU · cloudflare.com/privacypolicy
Anthropic PBC	KI-gestützte Analyse eingehender E-Mails (anonymisiert)	USA · anthropic.com/privacy
Resend Inc.	Versand automatischer E-Mails an Endkunden	USA/EU · resend.com/legal/privacy-policy
Seven Communications GmbH (seven.io)	Versand von SMS-Erinnerungen an Endkunden	DE · seven.io/datenschutz
Stripe Payments Europe Ltd.	Zahlungsabwicklung (Abo-Gebühren)	IE/EU · stripe.com/de/privacy

(2) Alle Unterauftragsverarbeiter mit Sitz in Drittländern (insb. USA) sind entweder im Rahmen des EU-US Data Privacy Framework zertifiziert oder über Standardvertragsklauseln gemäß Art. 46 DSGVO abgesichert.

§ 9 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) durch technische Maßnahmen.

(2) Der Verantwortliche kann jederzeit über die Export-Funktion im Manager alle Kundendaten herunterladen (Recht auf Datenübertragbarkeit, Art. 20 DSGVO).

(3) Der Auftragsverarbeiter meldet dem Verantwortlichen Datenschutzverletzungen, die zur Verletzung des Schutzes personenbezogener Daten führen könnten, unverzüglich und spätestens innerhalb von 72 Stunden nach Bekanntwerden per E-Mail.

§ 10 Löschung und Rückgabe der Daten

(1) Nach Beendigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Verantwortlichen alle verarbeiteten personenbezogenen Daten für einen Zeitraum von 30 Tagen zum Download zur Verfügung (über die Export-Funktion).

(2) Nach Ablauf dieser 30 Tage werden alle personenbezogenen Daten des Verantwortlichen und seiner Endkunden unwiderruflich aus den Systemen des Auftragsverarbeiters und aller Unterauftragsverarbeiter gelöscht.

(3) Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 11 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der Datenschutzvorschriften und dieses AVV beim Auftragsverarbeiter zu überprüfen.

(2) Prüfungen können durch Anforderung von Nachweisen und Dokumenten per E-Mail durchgeführt werden. Vor-Ort-Prüfungen sind mit einem Vorlauf von mindestens 14 Tagen anzukündigen und auf das für die Prüfung notwendige Maß zu beschränken.

(3) Kosten einer Vor-Ort-Prüfung trägt der Verantwortliche, sofern nicht Verstöße des Auftragsverarbeiters festgestellt werden.

§ 12 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Im Übrigen gelten die Allgemeinen Geschäftsbedingungen des Anbieters ergänzend, soweit dieser AVV keine abweichenden Regelungen enthält.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

7er Ink Manager · manager.7erink.com

Thomas Irschina · 7er Ink Tattoo Studio · Fidel-Kreuzer-Str. 4 · 86825 Bad Wörishofen

Tel.: +49 8247 3668967 · 7erinktattoo@gmail.com · USt-ID: DE257008674

Stand: April 2026

Impressum AGB Datenschutzerklärung