Vertrag zur Auftragsverarbeitung

Gemäß Art. 28 DSGVO · Version 1.0 · Stand: 10. Juni 2026

Parteien

Dieser Vertrag wird geschlossen zwischen der Fahrschule, in deren Namen er im Rahmen des geblinkt-Kontos elektronisch angenommen wird (Name und Anschrift gemäß den Stammdaten der Fahrschule), nachfolgend „Verantwortlicher", und der Barth & Brode GbR (Gesellschafter David Barth und Hans Erik Brode, Am Bach 18, 04509 Wiedemar OT Kyhna, info@geblinkt.de), nachfolgend „Auftragsverarbeiter".

Präambel

Der Auftragsverarbeiter stellt dem Verantwortlichen die Anwendung „geblinkt" zur Dokumentation der praktischen Fahrausbildung bereit (nachfolgend „Hauptvertrag" bzw. „Leistung"). Im Rahmen der Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten der Fahrschüler des Verantwortlichen im Auftrag und nach Weisung des Verantwortlichen. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO.

Abgrenzung: Dieser Vertrag regelt ausschließlich die Fahrschülerdaten, für die die Fahrschule als Verantwortliche im Sinne der DSGVO fungiert. Die Daten des Fahrlehrers selbst (Konto, E-Mail, Abrechnung, Nutzungsverhalten) verarbeitet die Barth & Brode GbR als eigene Verantwortliche; diese sind nicht Gegenstand dieses Vertrags, sondern der Datenschutzerklärung der App.

§ 1 Gegenstand und Dauer

  1. Gegenstand, Art und Zweck der Verarbeitung, die Art der Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1.
  2. Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Eine darüber hinausgehende Verarbeitung erfolgt nur nach Maßgabe von § 10.

§ 2 Weisungsrecht des Verantwortlichen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf die Übermittlung in Drittländer, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist.
  2. Die Nutzung der Funktionen der App durch den Verantwortlichen gilt als Weisung im Sinne dieses Vertrags. Weitergehende Einzelweisungen sind in Textform (z. B. E-Mail an info@geblinkt.de) zu erteilen.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Er ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie bestätigt oder geändert wird.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter gewährleistet, dass er:

  1. die Daten nur im Rahmen der Weisungen des Verantwortlichen und der Zwecke gemäß Anlage 1 verarbeitet;
  2. die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen ergreift (Anlage 2);
  4. die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter gemäß § 5 einhält;
  5. den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen (Art. 12-23 DSGVO) nachzukommen (§ 6);
  6. den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO unterstützt (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen;
  7. nach Abschluss der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen löscht oder zurückgibt (§ 10);
  8. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung stellt und Überprüfungen ermöglicht und dazu beiträgt (§ 7).

§ 4 Technische und organisatorische Maßnahmen

  1. Der Auftragsverarbeiter setzt die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen um und hält sie während der Vertragsdauer aufrecht.
  2. Die Maßnahmen können im Lauf der Zeit angepasst und weiterentwickelt werden, solange das vereinbarte Schutzniveau nicht unterschritten wird.

§ 5 Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragnehmer)

  1. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung (Art. 28 Abs. 2 DSGVO) zur Inanspruchnahme der in Anlage 3 aufgeführten weiteren Auftragsverarbeiter.
  2. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter. Die jeweils aktuelle Liste wird unter geblinkt.de/legal/subprozessoren geführt; Änderungen werden dort sowie per Hinweis in der App bekannt gemacht.
  3. Der Verantwortliche kann einer Änderung innerhalb von 14 Tagen aus berechtigten datenschutzrechtlichen Gründen widersprechen. Im Fall eines Widerspruchs sind die Parteien bemüht, eine einvernehmliche Lösung zu finden; gelingt dies nicht, ist der Verantwortliche zur Kündigung des Hauptvertrags berechtigt.
  4. Der Auftragsverarbeiter erlegt jedem weiteren Auftragsverarbeiter dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind. Er bleibt gegenüber dem Verantwortlichen für die Einhaltung der Pflichten durch die weiteren Auftragsverarbeiter verantwortlich.

§ 6 Unterstützung bei Betroffenenrechten

  1. Wendet sich eine betroffene Person zur Wahrnehmung ihrer Rechte direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter und beantwortet es nicht selbst.
  2. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung von Auskunfts-, Berichtigungs-, Lösch-, Einschränkungs-, Widerspruchs- und Datenübertragbarkeitsanträgen.

§ 7 Nachweis- und Kontrollrechte

  1. Der Auftragsverarbeiter weist die Einhaltung der vertraglichen Pflichten durch geeignete Mittel nach, insbesondere durch Bereitstellung von Informationen sowie ggf. Berichten anerkannter Stellen oder Zertifizierungen.
  2. Der Verantwortliche ist berechtigt, sich von der Einhaltung der vereinbarten Maßnahmen zu überzeugen. Vor-Ort-Kontrollen erfolgen mit angemessener Vorankündigung, zu üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs.

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

  1. Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden.
  2. Die Meldung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien, der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Gegenmaßnahmen. Die Meldepflichten gegenüber Aufsichtsbehörde und betroffenen Personen (Art. 33, 34 DSGVO) obliegen dem Verantwortlichen.

§ 9 Drittlandübermittlung

  1. Eine Verarbeitung personenbezogener Daten außerhalb der EU/des EWR erfolgt nur, soweit die in Anlage 3 genannten weiteren Auftragsverarbeiter dies bedingen, und nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO.
  2. Einzelne der in Anlage 3 genannten weiteren Auftragsverarbeiter sind US-amerikanische Unternehmen, verarbeiten und speichern die Daten jedoch auf Servern in der EU. Soweit gleichwohl eine Übermittlung in die USA erfolgt, ist diese durch geeignete Garantien (Standardvertragsklauseln der EU-Kommission) abgesichert, wie in Anlage 3 ausgewiesen.

§ 10 Löschung und Rückgabe nach Beendigung

  1. Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  2. Daten in Sicherungskopien werden im Rahmen der üblichen Löschzyklen entfernt.

§ 11 Verantwortung des Verantwortlichen

  1. Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
  2. Der Verantwortliche stellt insbesondere sicher, dass eine Rechtsgrundlage für die Verarbeitung der Fahrschülerdaten besteht und dass die betroffenen Fahrschüler gemäß Art. 13/14 DSGVO informiert wurden. Bei minderjährigen Fahrschülern stellt der Verantwortliche die erforderliche Einwilligung, ggf. der Sorgeberechtigten, sicher.
  3. Der Auftragsverarbeiter stellt dem Verantwortlichen hierfür eine Muster-Datenschutzinformation zur Weitergabe an die Fahrschüler bereit; diese wird dem Fahrschüler zudem im Schülerbereich angezeigt.

§ 12 Haftung und Schlussbestimmungen

  1. Die Haftung richtet sich nach Art. 82 DSGVO und den Regelungen des Hauptvertrags.
  2. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags in datenschutzrechtlichen Fragen vor.
  3. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  4. Dieser Vertrag kann in Textform geschlossen werden; die elektronische Annahme durch den Verantwortlichen im Rahmen des App-Onboardings (mit Protokollierung von Datum und Version) genügt der Schriftform im Sinne von Art. 28 Abs. 9 DSGVO.

Anlage 1 - Beschreibung der Verarbeitung

GegenstandBereitstellung der App "geblinkt" zur Dokumentation der praktischen Fahrausbildung.
Art der VerarbeitungErheben, Speichern, Strukturieren, Synchronisieren (zwischen Gerät und Server), Anzeigen, automatisierte Klassifizierung von Sprachnotizen, Versand von E-Mails, Löschen.
ZweckDokumentation des Ausbildungsfortschritts, Aufzeichnung und Darstellung von Fahrstrecken, Erfassung und Einordnung von Bewertungen.
Art der personenbezogenen Daten
  • Stammdaten der Fahrschüler: Name, E-Mail, Telefon
  • Führerscheinklasse, erworbene Klassen
  • Standort-/Bewegungsdaten: GPS-Koordinaten, Höhe, Geschwindigkeit, Richtung, Zeitstempel
  • Fahrstundendaten: Datum, Art, Anzahl, Streckenverlauf
  • Bewertungen: Fehlerschwere, Kompetenzbereiche, Freitext-Notizen
  • Transkriptionen von Sprachnotizen (Text)
Kategorien betroffener PersonenFahrschüler des Verantwortlichen (teils minderjährig).
Dauer der VerarbeitungFür die Laufzeit des Hauptvertrags, vorbehaltlich § 10.

Anlage 2 - Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

VerschlüsselungÜbertragung ausschließlich über TLS; Verschlüsselung der Daten im Ruhezustand beim Hosting-Dienstleister (AES-256); Authentifizierungsdaten im sicheren Gerätespeicher (iOS Keychain / Android Keystore).
Zugriffskontrolle / VertraulichkeitAuthentifizierung (E-Mail/Passwort, Apple, Google); Row Level Security mit Eigentümer-Bindung; rollenbasierte Beschränkung (Fahrlehrer / Schul-Administrator).
TrennungLogische Trennung der Daten je Verantwortlichem über Eigentümer-Kennungen und Datenbank-Policies.
IntegritätZugriff nur über definierte Schnittstellen; serverseitige Prüfung der Zugriffsberechtigung.
VerfügbarkeitRegelmäßige Sicherungen beim Hosting-Dienstleister; Offline-Fähigkeit mit anschließender Synchronisierung.
Belastbarkeit / ÜberprüfungFehler- und Sicherheitsüberwachung; regelmäßige Überprüfung der Maßnahmen.
Löschung / AufbewahrungKaskadierende Löschung bei Konto- und Schülerlöschung; automatische Löschung inaktiver Fahrschüler nach 2 Jahren.

Anlage 3 - Weitere Auftragsverarbeiter (Unterauftragnehmer)

SupabaseDatenbank, Authentifizierung, Dateispeicher (EU-Hosting; Vertragspartner USA) - AVV inkl. SCC
PowerSync (Journey Mobile, Inc.)Synchronisierung Gerät/Server (EU-Hosting; Vertragspartner USA) - AVV inkl. SCC (Modul 2/3)
Mistral AIKI-gestützte Klassifizierung und Zusammenfassung von Bewertungen/Transkriptionen (Frankreich, EU) - AVV
Resend, Inc.Versand von E-Mails (EU-Hosting; Vertragspartner USA) - AVV inkl. SCC
Sentry (Functional Software, Inc.)Fehleranalyse und Bearbeitung von Feedback (EU-Hosting; Vertragspartner USA) - AVV inkl. SCC

Die jeweils aktuelle Liste finden Sie unter geblinkt.de/legal/subprozessoren.

← Zurück zur Startseite