mob-menu
search
    Demo anfordern
    search
    faqs-bg-vector
     

    AUFTRAGSVERARBEITUNGSVERTRAG

    Zuletzt aktualisiert im September 2025

    Für die Zwecke von Artikel 28 Absatz 3 der Verordnung 2016/679 (DSGVO)

    zwischen

    [Name des Kinderbetreuungsanbieters]

    (der Verantwortliche)

    und

    Parent ApS

    CVR-Nr. 37407747

    Ballerupvej 62

    3500 Værløse

    (der Auftragsverarbeiter)

    jeweils eine „Partei“; gemeinsam die „Parteien“

    HABEN die folgenden Vertragsklauseln (die „Klauseln“) vereinbart, um die Anforderungen der DSGVO zu erfüllen und die Rechte der betroffenen Person zu schützen.


    Inhaltsverzeichnis

    1. Präambel

    2. Rechte und Pflichten des Verantwortlichen

    3. Der Auftragsverarbeiter handelt nach Weisung

    4. Vertraulichkeit

    5. Sicherheit der Verarbeitung

    6. Einsatz von Unterauftragsverarbeitern

    7. Datenübermittlung in Drittländer oder an internationale Organisationen

    8. Unterstützung des Verantwortlichen

    9. Meldung einer Verletzung des Schutzes personenbezogener Daten

    10. Löschung und Rückgabe von Daten

    11. Audit und Inspektion

    12. Vereinbarung der Parteien zu weiteren Bedingungen

    13. Beginn und Beendigung

    14.  Kontakt-/Ansprechpartner des Verantwortlichen und des Auftragsverarbeiters

    Anlage A
    • Informationen zur Verarbeitung personenbezogener Daten von Nutzern (Kinder)
    • Informationen zur Verarbeitung personenbezogener Daten von Nutzern (Eltern)
    • Informationen zur Verarbeitung personenbezogener Daten von Nutzern (Mitarbeiter des Verantwortlichen)

    Anlage B
     • Autorisierte Auftragsverarbeiter (Unterauftragsverarbeiter)

    Anlage C
    • Weisungen zur Verwendung personenbezogener Daten

    Anlage D
    • Übersicht Hosting- und Speichersicherheit (Azure & AWS)

    1. Microsoft Azure – Hosting (Irland)
    2. Amazon Web Services (AWS) – Speicherung (Frankfurt)
    3. Verantwortlichkeiten des Auftragsverarbeiters

    1. Präambel

    1. Diese Vertragsklauseln (die „Klauseln“) legen die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters fest, wenn personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden.

    2. Die Klauseln sollen die Einhaltung von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung – DSGVO) sicherstellen.

    3. Im Rahmen der Bereitstellung und Verwaltung der Kinderbetreuungsplattform „Parent“ verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß diesen Klauseln.

    4. Die Klauseln haben Vorrang vor gleichartigen Regelungen in anderen Vereinbarungen zwischen den Parteien.

    5. Den Klauseln sind vier Anlagen beigefügt, die einen integrierenden Bestandteil der Klauseln bilden.

    6. Anlage A enthält Einzelheiten zur Verarbeitung personenbezogener Daten, einschließlich Zweck und Art der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Dauer der Verarbeitung.

    7. Anlage B enthält die Bedingungen des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter sowie eine Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter.

    8. Anlage C enthält die Weisungen des Verantwortlichen zur Verarbeitung personenbezogener Daten, die vom Auftragsverarbeiter zu implementierenden Mindestschutzmaßnahmen sowie die Durchführung von Audits beim Auftragsverarbeiter und etwaigen Unterauftragsverarbeitern.

    9. Anlage D enthält die „Übersicht der Sicherheitsprozesse von Amazon Web Services“.

    10. Die Klauseln nebst Anlagen werden von beiden Parteien schriftlich, auch elektronisch, aufbewahrt.

    11. Die Klauseln befreien den Auftragsverarbeiter nicht von Pflichten, denen er nach der DSGVO oder sonstigen Gesetzen unterliegt.


    2. Rechte und Pflichten des Verantwortlichen

    1. Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO (vgl. Art. 24 DSGVO), den anwendbaren EU- oder Mitgliedstaaten-Datenschutzvorschriften sowie diesen Klauseln erfolgt.

    2. Der Verantwortliche hat das Recht und die Pflicht, über Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden.

    3. Der Verantwortliche ist u. a. dafür verantwortlich sicherzustellen, dass die Verarbeitung personenbezogener Daten, zu der der Auftragsverarbeiter angewiesen wird, auf einer Rechtsgrundlage beruht.


    3. Der Auftragsverarbeiter handelt nach Weisung

    1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist hierzu nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet. Solche Weisungen sind in den Anlagen A und C spezifiziert. Weitere Weisungen können dem Auftragsverarbeiter während der Dauer der Verarbeitung erteilt werden; sie sind stets zu dokumentieren und in Verbindung mit diesen Klauseln schriftlich, auch elektronisch, aufzubewahren.

    2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn Weisungen des Verantwortlichen nach Auffassung des Auftragsverarbeiters gegen die DSGVO oder anwendbare EU- bzw. Mitgliedstaaten-Datenschutzvorschriften verstoßen.


    4. Vertraulichkeit

    1. Der Auftragsverarbeiter gewährt nur solchen Personen unter seiner Verantwortung Zugang zu den personenbezogenen Daten, die sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen und die den Zugang nur nach dem „Need-to-know“-Prinzip erhalten. Die Liste der Personen mit Zugang wird regelmäßig überprüft. Auf Grundlage dieser Überprüfung kann der Zugang widerrufen werden, wenn er nicht mehr erforderlich ist; personenbezogene Daten sind diesen Personen dann nicht mehr zugänglich zu machen.

    2. Der Auftragsverarbeiter weist dem Verantwortlichen auf dessen Anfrage nach, dass die betreffenden Personen unter seiner Verantwortung der vorstehenden Vertraulichkeit unterliegen.


    5. Sicherheit der Verarbeitung

    1. Gemäß Art. 32 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

    Der Verantwortliche bewertet die Risiken für die Rechte und Freiheiten natürlicher Personen, die der Verarbeitung innewohnen, und setzt Maßnahmen zur Risikominderung um. Je nach Relevanz umfassen diese Maßnahmen insbesondere:

    a. Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    c. die Fähigkeit, die Verfügbarkeit von und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

    Zusätzlich zu den bereits definierten Maßnahmen hält der Auftragsverarbeiter Folgendes aufrecht:

    a. TLS-1.3-Verschlüsselung für Datenübertragungen;
    b. Rollenbasierte Zugriffskontrolle (RBAC) für internes Personal;
    c. Sichere Authentifizierung und regelmäßige verschlüsselte Backups;
    d. Regelmäßige Penetrationstests und Sicherheits-Audits durch Dritte.

    2. Der Auftragsverarbeiter bewertet – unabhängig vom Verantwortlichen – ebenfalls die Risiken gemäß Art. 32 DSGVO und implementiert Maßnahmen zu deren Minderung. Zu diesem Zweck stellt der Verantwortliche alle erforderlichen Informationen bereit.

    3. Ferner unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 DSGVO, u. a. durch Bereitstellung von Informationen zu den bereits implementierten technischen und organisatorischen Maßnahmen sowie aller weiteren Informationen, die der Verantwortliche zur Erfüllung seiner Verpflichtungen benötigt.

    Ergibt sich später – aus Sicht des Verantwortlichen –, dass zur Risikominderung weitere Maßnahmen durch den Auftragsverarbeiter über die bereits gemäß Art. 32 DSGVO implementierten hinaus erforderlich sind, spezifiziert der Verantwortliche diese zusätzlichen Maßnahmen in Anlage C.

    6. Einsatz von Unterauftragsverarbeitern

    1. Der Auftragsverarbeiter erfüllt die Anforderungen der Art. 28 Abs. 2 und 4 DSGVO, um einen weiteren Verarbeiter (Unterauftragsverarbeiter) einzusetzen.

    2. Der Auftragsverarbeiter setzt einen Unterauftragsverarbeiter nur mit vorheriger allgemeiner schriftlicher Genehmigung des Verantwortlichen ein.

    Der Auftragsverarbeiter verfügt über die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Er informiert den Verantwortlichen schriftlich mindestens 14 Tage im Voraus über beabsichtigte Änderungen hinsichtlich der Hinzunahme oder des Austauschs von Unterauftragsverarbeitern, damit der Verantwortliche vor deren Einsatz widersprechen kann. Längere Vorankündigungsfristen für bestimmte Unterauftragsverarbeitungsleistungen können in Anlage B vorgesehen werden. Die Liste der bereits genehmigten Unterauftragsverarbeiter befindet sich in Anlage B.

    3. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit spezifischen Verarbeitungstätigkeiten, werden diesem durch Vertrag oder einen anderen Rechtsakt nach EU- oder Mitgliedstaatenrecht dieselben Datenschutzpflichten auferlegt, wie sie in diesen Klauseln festgelegt sind, insbesondere ausreichende Garantien zur Implementierung geeigneter technischer und organisatorischer Maßnahmen, damit die Verarbeitung den Anforderungen dieser Klauseln und der DSGVO entspricht.

    Der Auftragsverarbeiter ist daher verpflichtet sicherzustellen, dass der Unterauftragsverarbeiter mindestens die Pflichten erfüllt, denen der Auftragsverarbeiter nach diesen Klauseln und der DSGVO unterliegt.

    4. Eine Kopie des Unterauftragsverarbeitungsvertrags und seiner Änderungen wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt, damit dieser prüfen kann, ob dieselben Datenschutzpflichten auferlegt wurden. Regelungen zu geschäftlichen Themen ohne Einfluss auf den datenschutzrechtlichen Inhalt müssen nicht übermittelt werden.

    5. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach im Falle einer Insolvenz des Auftragsverarbeiters der Verantwortliche Drittbegünstigter des Unterauftragsverarbeitungsvertrags ist und diesen gegen den Unterauftragsverarbeiter durchsetzen kann (z. B. Anweisung zur Löschung oder Rückgabe personenbezogener Daten).

    6. Erfüllt der Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Pflichterfüllung des Unterauftragsverarbeiters voll verantwortlich. Die Rechte der betroffenen Personen nach der DSGVO – insbesondere nach den Art. 79 und 82 DSGVO – gegenüber dem Verantwortlichen und dem Auftragsverarbeiter, einschließlich des Unterauftragsverarbeiters, bleiben unberührt.

    7. Der Auftragsverarbeiter ist zur Beauftragung der folgenden Unterauftragsverarbeiter für spezifische Verarbeitungstätigkeiten berechtigt:


    Unterauftragsverarbeiter

    Standort

    Zweck

    Übermittlungsmechanismus

    Amazon Web Services (AWS)

    Frankfurt, Deutschland

    Hosting-Infrastruktur

    EU-basiert

    Microsoft Azure

    Irland (EU)

    Hosting-Infrastruktur

    EU-basiert

    Intercom R&D Unlimited Company

    Irland (EU)

    In-App-Support & Chat

    EU-gehostet

    HubSpot Ireland Ltd.

    Irland (EU)

    CRM & Marketing

    EU-gehostet

    OpenAI

    Vereinigte Staaten

    KI-generierte Inhalte (ParentPilot)

    EU–US DPF-zertifiziert

    Instabug

    Vereinigte Staaten

    Fehler-/Absturzberichte

    SCCs

    Firebase (Google LLC)

    Global

    Push-Benachrichtigungen

    SCCs

    Twilio

    Vereinigte Staaten

    SMS-Zustellung (Registrierung, Passwort-Reset)

    EU–US DPF-zertifiziert

    WhatsApp (Meta Platforms)

    Global (durch den Verantwortlichen konfiguriert)

    Optionale Kommunikation zwischen Personal und Eltern

    DPF/SCCs

    Gmail / Outlook (Google/Microsoft)

    Global (durch den Verantwortlichen konfiguriert)

    Optionaler E-Mail-Kanal

    DPF/SCCs

    WebinarGeek

    EU

    Webinare & Marketing-Events

    EU-basiert

    Zoho Books / QuickBooks (Intuit)

    Global (optional, Konfiguration durch Verantwortlichen)

    Optionale Buchhaltungsintegrationen

    DPF/SCCs

    Stripe, Inc.

    Vereinigte Staaten

    Zahlungsabwicklung und Abonnementsabrechnung

    EU–US DPF-zertifiziert / Standardvertragsklauseln (SCCs)



    Zusätzliche oder ersetzende Unterauftragsverarbeiter folgen dem Benachrichtigungs- und Genehmigungsverfahren gemäß Klausel 7.

     

    7. Datenübermittlung in Drittländer oder an internationale Organisationen

    1. Jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen durch den Auftragsverarbeiter erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen und stets in Übereinstimmung mit Kapitel V DSGVO.

    2. Ist eine Übermittlung in Drittländer oder an internationale Organisationen erforderlich, zu der der Auftragsverarbeiter nicht angewiesen wurde, und ergibt sie sich aus dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, informiert der Auftragsverarbeiter den Verantwortlichen vorab, sofern das Gesetz eine solche Information nicht aus wichtigen Gründen des öffentlichen Interesses untersagt.

    3. Ohne dokumentierte Weisung des Verantwortlichen darf der Auftragsverarbeiter im Rahmen dieser Klauseln nicht:

    a. personenbezogene Daten an einen Verantwortlichen oder Auftragsverarbeiter in einem Drittland oder in einer internationalen Organisation übermitteln,
    b. die Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland vergeben,
    c. personenbezogene Daten in einem Drittland durch den Auftragsverarbeiter verarbeiten lassen.

    4. Die Weisungen des Verantwortlichen hinsichtlich einer Übermittlung in ein Drittland, einschließlich des ggf. zugrunde liegenden Übermittlungsinstruments nach Kapitel V DSGVO, sind in Anlage C.6 festgelegt.

    5. Diese Klauseln sind nicht mit Standarddatenschutzklauseln im Sinne von Art. 46 Abs. 2 Buchst. c und d DSGVO zu verwechseln und können nicht als Übermittlungsinstrument nach Kapitel V DSGVO herangezogen werden.

    6. Erfordert die Verarbeitung Übermittlungen außerhalb des EWR, stützt sich der Auftragsverarbeiter auf:

    a. Standardvertragsklauseln (SCCs),
    b. Angemessenheitsbeschlüsse,
    c. den EU–US Data Privacy Framework (DPF) für zertifizierte Anbieter.


    8. Unterstützung des Verantwortlichen

    1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen – soweit möglich – bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Personen gemäß Kapitel III DSGVO.


    Dies bedeutet, dass der Auftragsverarbeiter den Verantwortlichen – soweit möglich – bei der Einhaltung folgender Pflichten unterstützt:

    a. Informationspflicht bei Erhebung personenbezogener Daten bei der betroffenen Person,
    b. Informationspflicht, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden,
    c. Recht auf Auskunft,
    d. Recht auf Berichtigung,
    e. Recht auf Löschung („Recht auf Vergessenwerden“),
    f. Recht auf Einschränkung der Verarbeitung,
    g. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung,
    h. Recht auf Datenübertragbarkeit,
    i. Recht auf Widerspruch,
    j. Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung – einschließlich Profiling – unterworfen zu werden.

    2. Zusätzlich zur Unterstützung gemäß Klausel 6.3 unterstützt der Auftragsverarbeiter – unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen – den Verantwortlichen bei der Einhaltung folgender Pflichten:

    a. Pflicht des Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und nach Möglichkeit spätestens 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde (Datatilsynet) zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen;

    b. Pflicht des Verantwortlichen, die Verletzung des Schutzes personenbezogener Daten unverzüglich der betroffenen Person mitzuteilen, wenn sie voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt;

    c. Pflicht des Verantwortlichen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für die vorgesehenen Verarbeitungsvorgänge;

    d. Pflicht des Verantwortlichen, die zuständige Aufsichtsbehörde (Datatilsynet) vor der Verarbeitung zu konsultieren, wenn die DSFA ergibt, dass die Verarbeitung ohne Maßnahmen zur Risikominderung wahrscheinlich zu einem hohen Risiko führt.

    3. Die Parteien legen in Anlage C die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den Verantwortlichen unterstützt, sowie Umfang und Ausmaß der Unterstützung. Dies gilt für die in Klausel 9.1 und 9.2 genannten Pflichten.


    9. Meldung einer Verletzung des Schutzes personenbezogener Daten

    1. Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich nach Bekanntwerden.

    2. Die Benachrichtigung des Auftragsverarbeiters erfolgt – sofern möglich – innerhalb von 24 Stunden nach Bekanntwerden, um dem Verantwortlichen die rechtzeitige Meldung an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO zu ermöglichen.

    3. Gemäß Klausel 9(2)(a) unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Meldung an die Aufsichtsbehörde, indem er insbesondere die folgenden, nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen beschafft:

    a. Art der Verletzung einschließlich – soweit möglich – der Kategorien und ungefähren Zahl betroffener Personen sowie der Kategorien und ungefähren Zahl betroffener Datensätze;
    b. wahrscheinliche Konsequenzen der Verletzung;
    c. ergriffene oder vorgeschlagene Maßnahmen des Verantwortlichen zur Behebung der Verletzung, einschließlich ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

    4. Die in Anlage C erforderlichen Elemente, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen bei der Meldung an die Aufsichtsbehörde bereitstellt, sind dort definiert.

    10. Löschung und Rückgabe von Daten

    Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Anwendung modulspezifischer Aufbewahrungsregeln, wie sie über die Einstellungen zur Datenaufbewahrung & Compliance der Plattform konfiguriert werden.

    • Die Aufbewahrung darf die durch die Plattform definierten Höchstdauern nicht überschreiten.
    • Nach Ablauf werden Daten je nach Modul gelöscht oder anonymisiert.
    • Daten ausgeschiedener Kinder werden nach der konfigurierten Aufbewahrungsfrist automatisch anonymisiert.
    • „Ouch-Berichte“ (Verletzungs-/Vorfallmeldungen) sind von der automatischen Löschung ausgenommen und können länger aufbewahrt werden, um medizinische, lizenzrechtliche oder regulatorische Anforderungen zu erfüllen.
    • Nach Beendigung der Leistungen werden Daten sechs (6) Monate aufbewahrt, sofern gesetzlich nichts anderes verlangt wird; danach werden sie gelöscht oder anonymisiert.

    11. Audit und Inspektion

    1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO und in diesen Klauseln festgelegten Pflichten nachzuweisen, und ermöglicht Audits einschließlich Inspektionen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer.

    2. Verfahren für Audits, einschließlich Inspektionen, beim Auftragsverarbeiter und bei Unterauftragsverarbeitern sind in Anlage C.7 festgelegt.

    3. Der Auftragsverarbeiter gewährt den zuständigen Aufsichtsbehörden, die nach geltendem Recht Zugang zu den Einrichtungen des Verantwortlichen und des Auftragsverarbeiters haben, oder deren Beauftragten Zugang zu den physischen Einrichtungen des Auftragsverarbeiters gegen Vorlage eines entsprechenden Ausweises.

    12. Vereinbarung der Parteien zu weiteren Bedingungen

    1. Die Parteien können weitere Klauseln zur Erbringung der Datenverarbeitungsleistungen vereinbaren, z. B. zur Haftung, sofern diese nicht direkt oder indirekt diesen Klauseln widersprechen oder die Grundrechte oder -freiheiten der betroffenen Personen sowie den durch die DSGVO gewährten Schutz beeinträchtigen.


    13. Beginn und Beendigung

    1. Diese Klauseln treten mit der Unterzeichnung durch beide Parteien in Kraft.

    2. Beide Parteien sind berechtigt, eine Neuverhandlung zu verlangen, wenn Rechtsänderungen oder Unzweckmäßigkeiten der Klauseln hierzu Anlass geben.

    3. Die Klauseln gelten für die Dauer der Erbringung von Leistungen zur Verarbeitung personenbezogener Daten. Während dieses Zeitraums können die Klauseln nicht gekündigt werden, es sei denn, die Parteien vereinbaren andere Klauseln zur Regelung der Datenverarbeitungsleistungen.

    4. Wird die Leistungserbringung beendet und die personenbezogenen Daten gemäß Klausel 11.1 und Anlage C.4 gelöscht oder an den Verantwortlichen zurückgegeben, können die Klauseln von jeder Partei schriftlich gekündigt werden.

    5. Unterschrift

    Für den Verantwortlichen

    Name                

    Funktion        

    Datum                

    Unterschrift        

    Für den Auftragsverarbeiter

    Name                Firas El Bizri

    Funktion        Gründer und Managing Partner

    Datum                

    Unterschrift        

    14. Kontakt-/Ansprechpartner des Verantwortlichen und des Auftragsverarbeiters

    1. Die Parteien können einander über die folgenden Kontaktpunkte kontaktieren:

    2. Die Parteien sind verpflichtet, sich laufend über Änderungen der Kontaktpunkte zu informieren.

    Name                

    Funktion        

    Telefon        

    E‑Mail        

    Name            Firas El Bizri

    Funktion        Gründer und Partner

    Telefon     +45 28282808

    E‑Mail        firas@parent.app

     

    Anlage A        

    Informationen zur Verarbeitung personenbezogener Daten von Nutzern (Kinder)

    A.1. Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen ist:

    Den Verantwortlichen über die Parent‑App dabei zu unterstützen, Folgendes zu erledigen:

    • Kinder: Name, Geburtsdatum, Allergien, Gesundheitsakten, Lernaufzeichnungen, Vorfalls-/„Ouch“-Berichte.
    • Eltern: Kontaktinformationen, Abrechnung, Einwilligungen.
    • Personal: Name, Dienstplan, Qualifikationen, Anwesenheit.
    • Gerät & Nutzung: IP‑Adresse, Browser, Absturzprotokolle.
    • Cookies & Analysedaten.
    • KI‑generierte Inhalte (optionale Zusammenfassungen unter Verwendung des Kindernamens).
    • Einwilligung ist für die Verarbeitung von Kinderdaten nach DSGVO und COPPA (unter 13, USA) erforderlich.
    • Überwachung von Betreuungsschlüsseln (Personal‑Kind‑Verhältnis).
    • Erstellen von Vorfallsberichten.
    • Erstellung anpassbarer Listen (z. B. Kinder mit Allergien).
    • Echtzeit‑Dokumentation (Schlafzeiten, Mahlzeiten, Toilettengänge etc.).
    • Aktivitätsplanung.
    • Hinzufügen von Sitzungen oder Produkten für das einzelne Kind.
    • Abwesenheitsmeldungen.
    • Sofortnachrichten zwischen Administratoren/Lehrkräften und Eltern.
    • Erstellung einer Mediengalerie.
    • Täglicher Aktivitätsfeed.
    • Erstellung von Gesundheitslisten.
    • Anwesenheitsregistrierung.
    • Erstellung von Kontaktlisten.

    A.2. Die Verarbeitung umfasst folgende Arten personenbezogener Daten über betroffene Personen:

    • Profilbild
    • Geburtsdaten
    • Situationsfotos
    • Videos
    • Sozialversicherungsnummern
    • Kontaktinformationen (falls vorhanden)
    • Gesundheitsinformationen

    A.3. Verarbeitungskategorien betroffener Personen:

    • Kinder, die Teil der Kinderbetreuung des Verantwortlichen sind

    A.4. Beginn und Dauer der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen:

    Die Verarbeitung dauert an, bis
    • der Nutzer (die Eltern) die Löschung seines Profils verlangen,
    • der Verantwortliche sein Konto schließt,
    • der Verantwortliche die Löschung eines Profils verlangt.


    Informationen zur Verarbeitung personenbezogener Daten von Nutzern (Eltern)

    A.1. Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen ist:

    Den Verantwortlichen über die Parent‑App dabei zu unterstützen, Folgendes zu erledigen:

    • Verwaltung elterlicher Berechtigungen
    • Dokumentenverwaltung
    • Sofortnachrichten
    • Abrechnung und Fakturierung
    • Mehrstufige Zugriffsrechte
    • Liken und Kommentieren
    • Abwesenheitsmeldungen
    • Zahlungsübersicht
    • Zahlungserinnerungen
    • Berechtigungen & Einwilligungen
    • Kontaktlisten

    A.2. Die Verarbeitung umfasst folgende Arten personenbezogener Daten über betroffene Personen:

    • Name
    • Benutzername
    • Adresse
    • E‑Mail
    • Telefonnummer

    A.3. Verarbeitungskategorien betroffener Personen:

    • Eltern (oder gesetzliche Vertreter) von Kindern, die Teil der Kinderbetreuung des Verantwortlichen sind

    A.4. Beginn und Dauer der Verarbeitung:

    Die Verarbeitung dauert an, bis
    • der Nutzer (die Eltern) die Löschung seines Profils verlangt,
    • der Verantwortliche sein Konto schließt,
    • der Verantwortliche die Löschung eines Profils verlangt.

    Informationen zur Verarbeitung personenbezogener Daten von Nutzern (Mitarbeiter des Verantwortlichen)

    A.1. Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen ist:

    Den Verantwortlichen über die Parent‑App dabei zu unterstützen, Folgendes zu erledigen:

    • Nachverfolgung der Personal‑Anwesenheit
    • Überwachung des Personal‑Kind‑Verhältnisses
    • Dokumentenverwaltung
    • Aktivitätsplanung
    • Sofortnachrichten
    • Erstellung einer Mediengalerie
    • Täglicher Aktivitätsfeed
    • Kontaktlisten

    A.2. Die Verarbeitung umfasst folgende Arten personenbezogener Daten:

    • Name
    • Benutzername
    • E‑Mail
    • Profilbild
    • Situationsfotos

    A.3. Verarbeitungskategorien betroffener Personen:

    • Mitarbeiter des Verantwortlichen

    A.4. Beginn und Dauer der Verarbeitung:

    Die Verarbeitung dauert an, bis
    • der Verantwortliche sein Konto schließt,
    • der Verantwortliche die Löschung des Mitarbeiterprofils verlangt.


    Anlage B  Autorisierte Unterauftragsverarbeiter

    B.1. Genehmigte Unterauftragsverarbeiter

    Zu Beginn der Klauseln genehmigt der Verantwortliche die Beauftragung der folgenden Unterauftragsverarbeiter:

    Unterauftragsverarbeiter

    Standort

    Zweck

    Übermittlungsmechanismus

    Amazon Web Services (AWS)

    Frankfurt, Deutschland

    Hosting-Infrastruktur

    EU-basiert

    Microsoft Azure

    Irland (EU)

    Hosting-Infrastruktur

    EU-basiert

    Intercom R&D Unlimited Company

    Irland (EU)

    In-App-Support & Chat

    EU-gehostet

    HubSpot Ireland Ltd.

    Irland (EU)

    CRM & Marketing

    EU-gehostet

    OpenAI

    Vereinigte Staaten

    KI‑generierte Inhalte (ParentPilot)

    EU–US DPF‑zertifiziert

    Instabug

    Vereinigte Staaten

    Fehler-/Absturzberichte

    SCCs

    Firebase (Google LLC)

    Global

    Push‑Benachrichtigungen

    SCCs

    Twilio

    Vereinigte Staaten

    SMS‑Zustellung (Registrierung, Passwort‑Reset)

    EU–US DPF‑zertifiziert

    WhatsApp (Meta Platforms)

    Global (durch den Verantwortlichen konfiguriert)

    Optionale Kommunikation zwischen Personal und Eltern

    DPF/SCCs

    Gmail / Outlook (Google/Microsoft)

    Global (durch den Verantwortlichen konfiguriert)

    Optionaler E‑Mail‑Kanal

    DPF/SCCs

    WebinarGeek

    EU

    Webinare & Marketing‑Events

    EU‑basiert

    Zoho Books / QuickBooks (Intuit)

    Global (optional, Konfiguration durch Verantwortlichen)

    Optionale Buchhaltungsintegrationen

    DPF/SCCs


    Der Verantwortliche genehmigt zu Beginn der Klauseln die Nutzung der vorgenannten Unterauftragsverarbeiter für die jeweils beschriebenen Verarbeitungen. Ohne ausdrückliche schriftliche Genehmigung des Verantwortlichen ist der Auftragsverarbeiter nicht berechtigt, einen Unterauftragsverarbeiter für eine „andere“ Verarbeitung einzusetzen oder die beschriebene Verarbeitung von einem anderen Unterauftragsverarbeiter durchführen zu lassen.

    Anlage C        

    Weisungen zur Verwendung personenbezogener Daten

    C.1. Gegenstand/Weisung für die Verarbeitung

    Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen umfasst folgende Leistung:

    • Bereitstellung einer Plattform zur Verwaltung von Kinderbetreuung für den Verantwortlichen

    C.2. Sicherheit der Verarbeitung

    Das Sicherheitsniveau berücksichtigt:

    Dass die Verarbeitung ein großes Volumen personenbezogener Daten von Kindern umfasst. Dass ein kleiner Teil dieser Daten besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO betrifft; daher ist ein „hohes“ Sicherheitsniveau zu gewährleisten.

    Der Auftragsverarbeiter ist berechtigt und verpflichtet, die technischen und organisatorischen Sicherheitsmaßnahmen zu bestimmen, die zur Herstellung des erforderlichen (und vereinbarten) Sicherheitsniveaus notwendig sind.

    Der Auftragsverarbeiter implementiert jedoch mindestens die folgenden, mit dem Verantwortlichen vereinbarten Maßnahmen:

    • Sehr eingeschränkter Zugriff der Mitarbeiter des Auftragsverarbeiters auf personenbezogene Daten; alle Daten im System werden anonymisiert, sodass die Mitarbeiter keine Betroffenen identifizieren können.
    • Support-Team
    • Die Mitarbeiter des Auftragsverarbeiters unterliegen strengen Vertraulichkeitsvereinbarungen.
    • Alle Mitarbeiter verwenden Zwei-Faktor-Authentifizierung auf ihren Telefonen und PCs.
    • Hohes Sicherheitsniveau für Kinderdaten und besondere Kategorien gemäß Art. 9 DSGVO.
    • Einschließlich TLS 1.3, RBAC, Backups, Penetrationstests, Anonymisierung und Vertraulichkeit des Personals.
    • Der Verantwortliche bewertet kontinuierlich die technischen Sicherheitsmaßnahmen und lässt jährlich das allgemeine Sicherheitsniveau extern überprüfen.
    • Alle Daten werden bei Amazon Web Services in Frankfurt gespeichert. Eine Beschreibung der Sicherheitsprozesse von AWS findet sich in Anlage D („Amazon Web Services, Übersicht der Sicherheitsprozesse“).
    • Vorfalls-/„Ouch“-Berichte, Allergien und medizinische Daten fallen unter besondere Kategorien nach Art. 9 DSGVO; diese Daten erfordern jederzeit ein „hohes“ Sicherheitsniveau.
    • Der Auftragsverarbeiter nutzt kein Home-/Remote‑Working.
    • Sämtliche Aktivitäten im System werden protokolliert.

    C.3. Unterstützung des Verantwortlichen

    Soweit möglich – im nachstehend festgelegten Umfang – unterstützt der Auftragsverarbeiter den Verantwortlichen gemäß Klausel 9.1 und 9.2 durch folgende technische und organisatorische Maßnahmen:

    • Der Verantwortliche kann schnell und einfach eine Liste aller im System über eine betroffene Person verarbeiteten Daten generieren.
    • Das Parent‑System verfügt über die Funktion „DSGVO‑Funktionen aktivieren“. Der Verantwortliche kann nach dem Austritt eines Kindes eine Frist festlegen, nach deren Ablauf alle personenbezogenen Daten automatisch gelöscht werden. Die Eltern erhalten eine Benachrichtigung, wenn die Daten gelöscht werden.
    • Einrichtungen können modulspezifische Aufbewahrung über die Einstellungen zur Datenaufbewahrung & Compliance konfigurieren.
    • Der Verantwortliche kann den Support des Auftragsverarbeiters jederzeit für weitere Unterstützung kontaktieren. Der Support antwortet innerhalb der wöchentlichen Öffnungszeiten (8:00 – 16:15) unverzüglich.
    • Die Support-Teams haben keinen Zugriff auf personenbezogene Daten der Betroffenen. Alle Daten sind anonymisiert; das Support-Team kann keine Betroffenen identifizieren.

    C.4. Speicherdauer/Löschverfahren

    Personenbezogene Daten werden für den vom Verantwortlichen gewählten Zeitraum gespeichert und anschließend – vgl. C.3 – automatisch durch den Auftragsverarbeiter gelöscht.

    Nach Beendigung der Leistungen löscht der Auftragsverarbeiter die personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück gemäß Klausel 11.1., es sei denn, der Verantwortliche hat seine ursprüngliche Wahl nach Vertragsunterzeichnung geändert. Solche Änderungen sind in Verbindung mit diesen Klauseln schriftlich, auch elektronisch, zu dokumentieren.

    • Spiegelt modulspezifische Aufbewahrungsfristen wider.
    • „Ouch‑Berichte“ sind von der automatischen Löschung ausgenommen.

    C.5. Verarbeitungsort

    Die Verarbeitung personenbezogener Daten nach diesen Klauseln darf ohne vorherige schriftliche Genehmigung des Verantwortlichen nur an den folgenden Standorten erfolgen:

    • Frankfurt

    C.6. Weisung zur Übermittlung personenbezogener Daten in Drittländer

    Der Verantwortliche akzeptiert, dass der Auftragsverarbeiter personenbezogene Daten an Intercom R&D Unlimited Company, 2. Etage, Stephen Court, 18–21 Saint Stephen’s Green, Dublin, Irland, übermittelt und dass Intercom R&D Unlimited Company die Daten im Auftrag des Auftragsverarbeiters an Intercom Inc. außerhalb des EWR übermittelt. Intercom Inc. befindet sich in San Francisco, CA 94105, USA.

    Zwischen Intercom R&D Unlimited Company und Intercom Inc. bestehen Standardvertragsklauseln (SCC) für Datenübermittlungen zwischen EU- und Nicht‑EU‑Ländern.

    Der Auftragsverarbeiter hat eine Transfer Impact Assessment (TIA) zu Intercom Inc. erstellt und festgestellt, dass Art. 46 DSGVO eingehalten ist.

    Übermittlungen stützen sich – soweit anwendbar – auf SCCs, Angemessenheitsbeschlüsse und den EU–US DPF.

    C.7. Verfahren für Audits/Inspektionen des Verantwortlichen

    Der Verantwortliche oder sein Vertreter kann einmal jährlich eine physische Inspektion der Orte durchführen, an denen der Auftragsverarbeiter personenbezogene Daten verarbeitet – einschließlich physischer Einrichtungen sowie der für die Verarbeitung verwendeten und damit verbundenen Systeme –, um die Einhaltung der DSGVO, der anwendbaren Datenschutzvorschriften und dieser Klauseln festzustellen. Eine solche Inspektion ist 60 Tage vorher anzukündigen.

    Zusätzlich zur geplanten Inspektion kann der Verantwortliche eine Inspektion durchführen, wenn er dies für erforderlich hält.

    Die dem Verantwortlichen ggf. entstehenden Kosten im Zusammenhang mit der physischen Inspektion trägt der Verantwortliche. Der Auftragsverarbeiter ist jedoch verpflichtet, die hierfür erforderlichen Ressourcen (insbesondere Zeit) bereitzustellen.

    Anlage D – Übersicht Hosting- und Speichersicherheit (Azure & AWS)  

    Der Auftragsverarbeiter nutzt Microsoft Azure (Irland) als primären Hosting‑Anbieter und Amazon Web Services (AWS, Frankfurt) für Speicherdienste. Beide Anbieter verfügen über branchenübliche Zertifizierungen und Schutzmaßnahmen, die auf die Einhaltung der DSGVO und internationaler Sicherheitsrahmen ausgelegt sind.

    1. Microsoft Azure – Hosting (Irland)

    • Primärer Hosting‑Anbieter der Parent‑Plattform.
    • Rechenzentrum in der EU (Irland).
    Sicherheitszertifizierungen und Compliance:
    ○ ISO/IEC 27001, 27017, 27018 (Informationssicherheit, Cloud‑Sicherheit und Schutz personenbezogener Daten in der Cloud).
    ○ SOC 1, SOC 2, SOC 3.
    ○ DSGVO- und EU‑Datenschutz‑Compliance.
    ○ CSA‑STAR‑Zertifizierung.

    Technische Maßnahmen:
    ○ Verschlüsselung ruhender Daten und Datenübertragung (TLS 1.2+ / TLS 1.3).
    ○ Rollenbasierte Zugriffskontrolle (RBAC).
    ○ Integrierte Bedrohungserkennung, Protokollierung und Monitoring.
    ○ Geo‑redundante Backups und Notfallwiederherstellung.

    2. Amazon Web Services (AWS) – Speicherung (Frankfurt)

    • Wird ausschließlich für die sichere Datenspeicherung verwendet (kein Hosting).
    • EU‑Rechenzentrum in Frankfurt, Deutschland.
    Sicherheitszertifizierungen und Compliance:
    ○ ISO/IEC 27001, 27017, 27018.
    ○ SOC 1, SOC 2, SOC 3.
    ○ DSGVO‑ und EU‑Datenschutz‑Compliance.

    Technische Maßnahmen:
    ○ Verschlüsselung ruhender Daten mit AES‑256.
    ○ TLS‑1.2+‑Verschlüsselung für Datenübertragung.
    ○ Fein granularer Zugriff via AWS‑IAM‑Richtlinien.
    ○ Kontinuierliches Monitoring, Protokollierung und Auditing.
    ○ Hohe Verfügbarkeit und Redundanz.

    3. Verantwortlichkeiten des Auftragsverarbeiters

    • Der Auftragsverarbeiter stellt sicher, dass sowohl Azure als auch AWS gemäß DSGVO und den in Anlage C beschriebenen technischen/organisatorischen Maßnahmen konfiguriert sind.
    • Der Auftragsverarbeiter überprüft und auditiert regelmäßig die Sicherheitszertifizierungen von Azure und AWS.
    • Änderungen bei Hosting- oder Speicheranbietern werden dem Verantwortlichen vorab gemäß Klausel 7 dieser Vereinbarung mitgeteilt.