Datenschutzvereinbarung

gemäß Art. 28 DSGVO – Stand: Januar 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen dem Nutzer der easyADK-Anwendung (nachfolgend "Verantwortlicher") und easyADK (nachfolgend "Auftragsverarbeiter").

Der Verantwortliche nutzt die easyADK-Plattform zur digitalen Verwaltung von Ausbildungsdiagrammkarten (ADK) für die Fahrausbildung. Im Rahmen dieser Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

1. Gegenstand und Dauer der Verarbeitung

Der Gegenstand des Auftrags ergibt sich aus dem Hauptvertrag (Nutzungsbedingungen/AGB) zur Nutzung der easyADK-Anwendung. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Rahmen der Bereitstellung der easyADK-Plattform als Software-as-a-Service (SaaS) für die digitale Fahrausbildung.

2. Art und Zweck der Verarbeitung

Die Verarbeitung dient folgenden Zwecken:

  • Speicherung und Verwaltung von Fahrschülerdaten
  • Dokumentation des Ausbildungsstandes gemäß gesetzlicher Anforderungen
  • Erstellung und Verwaltung digitaler Ausbildungsdiagrammkarten
  • Durchführung von Prüfungssimulationen
  • Synchronisation von Daten zwischen Geräten und der Cloud
  • Benutzerverwaltung und Authentifizierung

3. Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Fahrschülerdaten

Name, Geburtsdatum, Führerscheinklasse, Ausbildungsstand, Prüfungsergebnisse

Fahrlehrer-/Nutzerdaten

Name, E-Mail-Adresse, Telefonnummer (optional), Fahrschulzugehörigkeit

Fahrschuldaten

Name der Fahrschule, Adresse, Kontaktdaten

4. Kategorien betroffener Personen

  • Fahrschüler des Verantwortlichen
  • Fahrlehrer und Mitarbeiter des Verantwortlichen
  • Fahrschulinhaber

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet
  • Zu gewährleisten, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
  • Die in Art. 28 Abs. 2 und 4 DSGVO genannten Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters einzuhalten
  • Den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen zu unterstützen
  • Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen
  • Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht
  • Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen

6. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit

  • Verschlüsselung aller Daten bei der Übertragung (TLS/SSL)
  • Verschlüsselung der Daten im Ruhezustand
  • Zugriffskontrolle durch sichere Authentifizierung (Auth0)
  • Verwendung von httpOnly Cookies für Zugangsdaten

Integrität

  • Eingabekontrolle durch Protokollierung
  • Regelmäßige Sicherheitsupdates

Verfügbarkeit und Belastbarkeit

  • Regelmäßige Datensicherungen (Backups)
  • Redundante Datenhaltung
  • Notfallwiederherstellungsverfahren

7. Unterauftragsverarbeiter

Der Auftragsverarbeiter nutzt folgende Unterauftragsverarbeiter:

Auth0 (Okta, Inc.)

Zweck: Authentifizierung und Benutzerverwaltung
Standort: EU

Stripe, Inc.

Zweck: Zahlungsabwicklung
Standort: EU

Cloud-Hosting-Anbieter

Zweck: Hosting der Anwendung und Datenbanken
Standort: EU

Der Verantwortliche erklärt sich mit der Nutzung dieser Unterauftragsverarbeiter einverstanden. Bei geplanten Änderungen wird der Auftragsverarbeiter den Verantwortlichen informieren.

8. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen, insbesondere bei:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

9. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wurde. Die Meldung erfolgt an die vom Verantwortlichen hinterlegte E-Mail-Adresse.

Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung
  • Die Kategorien und ungefähre Zahl der betroffenen Personen
  • Die wahrscheinlichen Folgen der Verletzung
  • Eine Beschreibung der ergriffenen Maßnahmen zur Behebung

10. Aufbewahrung und Löschung

Für die Aufbewahrung und Löschung von Fahrschülerdaten gelten folgende Regelungen:

Aufbewahrung nach bestandener Prüfung

Die Daten eines Fahrschülers werden nach bestandener praktischer Prüfung für einen Zeitraum von 5 Jahren aufbewahrt. Dies ermöglicht der Fahrschule, die Ausbildungsnachweise bei behördlichen Prüfungen oder Anfragen vorzulegen.

Löschung durch Fahrlehrer

Wird ein Fahrschüler durch einen Fahrlehrer gelöscht, werden die Daten zunächst als gelöscht markiert (Soft Delete) und für 60 Tage in der Datenbank aufbewahrt. Nach Ablauf dieser Frist werden die Daten endgültig und unwiderruflich gelöscht.

Vertragsbeendigung

Nach Beendigung des Hauptvertrags oder auf Weisung des Verantwortlichen werden personenbezogene Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

11. Kontrollrechte

Der Verantwortliche hat das Recht, nach vorheriger Abstimmung Überprüfungen durchzuführen oder durch einen Prüfer durchführen zu lassen. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zur Verfügung.

12. Schlussbestimmungen

Dieser AVV unterliegt deutschem Recht. Änderungen und Ergänzungen bedürfen der Schriftform. Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen zwischen den Parteien gehen die Regelungen dieses AVV vor.

Durch die Registrierung und Nutzung der easyADK-Anwendung stimmt der Verantwortliche diesem Auftragsverarbeitungsvertrag zu.

Kontakt

Bei Fragen zu diesem AVV können Sie uns erreichen unter:

easyADK

Am Hang 4

86570 Inchenhofen

E-Mail: support@easyadk.de