AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Version 1.0 | Stand: März 2026 | Vertraulich

Rolle	Angaben
Verantwortlicher (Art. 4 Nr. 7 DSGVO)	[Firmenname des Kunden] [Anschrift des Kunden] [Ansprechpartner] [E-Mail-Adresse]
Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)	Achraf Bolakhrif AVO Solutions / TransferFleet Collenbachstraße 1, 40476 Düsseldorf E-Mail: datenschutz@transferfleet.de

Rechtliche Einordnung Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil des SaaS-Nutzungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Im Falle von Widersprüchen zwischen diesem AVV und den Allgemeinen Geschäftsbedingungen (AGB) gehen die Regelungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor.

§ 1 Gegenstand, Dauer und Rangverhältnis

1.1 Gegenstand

Dieser Auftragsverarbeitungsvertrag regelt die Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch den Auftragsverarbeiter. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen gemäß Art. 28 DSGVO.

1.2 Dauer

Dieser AVV tritt gleichzeitig mit dem SaaS-Nutzungsvertrag in Kraft und endet mit dessen Beendigung. Die Regelungen zur Datenlöschung gemäß § 8 dieses AVV gelten über die Vertragsbeendigung hinaus fort.

1.3 Rangverhältnis

Im Falle von Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen gehen die Regelungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor.

1.4 Keine eigene Verantwortlichkeit des Auftragsverarbeiters TransferFleet ist ausschließlich ein digitales SaaS-Verwaltungswerkzeug. TransferFleet ist KEIN Marktplatz und KEIN eigenständiger Verantwortlicher für die verarbeiteten Kundendaten. Die Daten werden ausschließlich als technisches Werkzeug im Auftrag verarbeitet. TransferFleet hat kein eigenes wirtschaftliches Interesse an den Kundendaten. Es erfolgt keine Nutzung für Marketing, Werbung, Profiling oder KI-Training.

§ 2 Art, Zweck und Gegenstand der Verarbeitung

2.1 Verarbeitungstätigkeiten

Der Auftragsverarbeiter führt im Rahmen der SaaS-Plattform TransferFleet folgende Verarbeitungstätigkeiten durch:

Speicherung und Verwaltung von Auftrags-, Fahrer-, Fahrzeug- und Kundendaten in der Datenbank
Erstellung und Speicherung von Übergabeprotokollen (inkl. Fotos, Unterschriften, Kilometerstand)
Erfassung und Übertragung von GPS-Standortdaten bei aktiven Aufträgen (nur mit Einwilligung)
KI-gestützte Analyse von weitergeleiteten E-Mails zur automatischen Auftragsextraktion (OpenAI GPT-4o)
Routenberechnung und Kartendarstellung über den Kartendienst Mapbox
Dashboard-Anzeige, Statistiken und Leistungsübersichten
Erstellung von PDF-Dokumenten (Rechnungen, Protokolle, Berichte)
Versand von Push-Benachrichtigungen und systeminternen Mitteilungen

2.2 Zweck

Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten SaaS-Leistungen. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten zu keinen eigenen Zwecken.

§ 3 Kategorien betroffener Personen und Datenkategorien

3.1 Betroffene Personen

Kategorie	Beschreibung
Fahrer	Vom Kunden eingesetzte Fahrer, die über die Plattform verwaltet werden
Mitarbeiter	Mitarbeiter des Kunden, die die Plattform als Disponenten oder Administratoren nutzen
Endkunden	Auftraggeber des Kunden, deren Daten im Rahmen der Auftragsverwaltung erfasst werden
Empfänger / Absender	Personen an Abhol- und Zustelladressen
Dritte in E-Mails	Personen, deren Daten in weitergeleiteten E-Mails enthalten sind (KI-Import)

3.2 Datenkategorien

Kategorie	Beispiele
Stammdaten	Name, Vorname, Firmenbezeichnung
Kontaktdaten	E-Mail, Telefon, Anschrift
Zugangsdaten	E-Mail-Adresse, Passwort-Hash (bcrypt), Rolle, Session-Tokens
Fahrzeugdaten	Kennzeichen, Fahrgestellnummer, Typ, Fotos
Auftragsdaten	Abhol-/Zustelladressen, Zeitfenster, Status, Preis, Referenznummern
GPS-Standortdaten	Echtzeit-Koordinaten während aktiver Aufträge
Fahrerdokumente	Führerscheinfoto, Ausweis, Ablaufdaten
Protokolldaten	Fotos, Unterschriften, Kilometerstand, Fahrzeugzustand
Leistungsdaten	Auftragshistorie, Bewertungen, Statistiken
Kommunikationsdaten	E-Mail-Inhalte (KI-Import), Chat-Nachrichten, Notizen
Rechnungsdaten	Rechnungsbeträge, USt-ID, Bankverbindung (IBAN/BIC)

3.3 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) Grundsätzlich werden durch TransferFleet keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet. Eine Ausnahme kann bestehen, sofern der Verantwortliche über die Upload-Funktion Fahrerdokumente (z.B. Führerschein, Ausweis) hochlädt, die biometrische Merkmale enthalten können. Der Verantwortliche ist in diesem Fall verpflichtet, eine geeignete Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO sicherzustellen.

§ 4 Pflichten des Auftragsverarbeiters

4.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Sofern der Auftragsverarbeiter durch das Recht der EU oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist, teilt er dies dem Verantwortlichen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht verbietet.

4.2 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

4.3 Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technisch-organisatorischen Maßnahmen. Die konkreten Maßnahmen sind in Anlage 1 dieses AVV dokumentiert. Der Auftragsverarbeiter überprüft und aktualisiert diese Maßnahmen regelmäßig unter Berücksichtigung des Stands der Technik.

4.4 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 28 Abs. 3 lit. e DSGVO):

Weiterleitung eingehender Anfragen betroffener Personen an den Verantwortlichen innerhalb von 48 Stunden
Bereitstellung technischer Möglichkeiten zur Datenauskunft, -berichtigung und -löschung
Unterstützung beim Datenexport in maschinenlesbarem Format (Art. 20 DSGVO)
Dokumentation aller durchgeführten Maßnahmen zur Beantwortung von Betroffenenanfragen

4.5 Unterstützung bei Datenschutz-Folgenabschätzung (DSFA)

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO sowie bei der vorherigen Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO, soweit dies im Zusammenhang mit der Auftragsverarbeitung erforderlich ist.

4.6 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme (Art. 33 Abs. 2 DSGVO). Die Meldung umfasst mindestens:

Art der Verletzung und betroffene Datenkategorien
Ungefähre Anzahl der betroffenen Personen und Datensätze
Wahrscheinliche Folgen der Verletzung
Ergriffene und vorgeschlagene Maßnahmen zur Behebung und Abmilderung

4.7 Nachweis und Kontrolle

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO). Prüfungen sind mit einer Vorlaufzeit von mindestens 4 Wochen anzumelden.

4.8 Zweckbindung

Ausdrückliche Erklärung zur Zweckbindung Der Auftragsverarbeiter verwendet die im Auftrag verarbeiteten personenbezogenen Daten zu keinem Zeitpunkt und unter keinen Umständen für eigene Zwecke. Insbesondere erfolgt:

Keine Nutzung für Marketing, Werbung oder Profiling
Keine Nutzung für KI-Training oder Modelloptimierung
Keine Weitergabe an Dritte zu kommerziellen Zwecken
Keine statistische Auswertung zu eigenen Geschäftszwecken

§ 5 Pflichten des Verantwortlichen

5.1 Rechtmäßigkeit

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung verantwortlich und stellt insbesondere sicher:

Die Erhebung und Übermittlung der personenbezogenen Daten an den Auftragsverarbeiter erfolgt auf einer gültigen Rechtsgrundlage (Art. 6 DSGVO)
Betroffene Personen werden gemäß Art. 13, 14 DSGVO informiert
Erforderliche Einwilligungen (z.B. GPS-Tracking) werden vor der Verarbeitung eingeholt
Die Verarbeitung besonderer Kategorien (Art. 9 DSGVO) ist durch eine geeignete Rechtsgrundlage gedeckt

5.2 Weisungsrecht

Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen in Bezug auf die Verarbeitung. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

5.3 Meldung von Änderungen

Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über Änderungen in der Art oder dem Umfang der Datenverarbeitung, die Auswirkungen auf die Leistungserbringung haben können.

5.4 Verzeichnis von Verarbeitungstätigkeiten

Der Verantwortliche führt ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, in dem die Auftragsverarbeitung durch TransferFleet dokumentiert ist.

§ 6 Unterauftragsverarbeiter

6.1 Genehmigte Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter gewährleistet, dass mit allen Unterauftragsverarbeitern Verträge abgeschlossen werden, die mindestens die gleichen Datenschutzpflichten auferlegen wie dieser AVV.

6.2 Pflichten gegenüber Unterauftragsverarbeitern

Der Auftragsverarbeiter stellt sicher, dass:

Unterauftragsverarbeiter den gleichen Datenschutzpflichten unterliegen wie der Auftragsverarbeiter selbst
Angemessene technisch-organisatorische Maßnahmen bei den Unterauftragsverarbeitern implementiert sind
Unterauftragsverarbeiter die Daten nur im Rahmen des vereinbarten Zwecks verarbeiten

6.3 Änderungen bei Unterauftragsverarbeitern

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vorab über geplante Änderungen bei Unterauftragsverarbeitern (Hinzufügung oder Austausch). Der Verantwortliche hat das Recht, innerhalb von 14 Tagen nach Zugang der Information Widerspruch gegen die Änderung einzulegen. Im Falle eines berechtigten Widerspruchs sind beide Parteien verpflichtet, eine einvernehmliche Lösung zu finden.

§ 7 Drittlandtransfer

7.1 Grundlagen

Soweit eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) erfolgt, wird diese ausschließlich auf Grundlage anerkannter Garantien durchgeführt:

EU-Standardvertragsklauseln (EU-SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
EU-US Data Privacy Framework (DPF) gemäß Angemessenheitsbeschluss der EU-Kommission

7.2 Datenstandort Supabase

Die primäre Datenbank wird bei Supabase Inc. in der EU-Region Frankfurt (eu-central-1) betrieben. Dadurch verbleiben die personenbezogenen Daten grundsätzlich innerhalb der EU.

7.3 Dokumentation

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage eine vollständige Dokumentation der ergriffenen Garantien für Drittlandtransfers zur Verfügung, einschließlich Kopien der EU-SCC und Nachweise der DPF-Zertifizierungen.

§ 8 Datenlöschung und Rückgabe

8.1 Datenexport

Der Verantwortliche kann jederzeit während der Vertragslaufzeit einen vollständigen Export seiner Daten in einem maschinenlesbaren Format (JSON/CSV) über die Plattform anfordern.

8.2 Karenzfrist nach Vertragsende

Nach Beendigung des SaaS-Nutzungsvertrags gewährt der Auftragsverarbeiter eine Karenzfrist von 30 Tagen, in der der Verantwortliche seine Daten exportieren kann. Während dieser Frist bleibt der Lesezugriff auf die Daten bestehen.

8.3 Vollständige Löschung

Nach Ablauf der Karenzfrist löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten vollständig und unwiderruflich. Dies umfasst:

Alle Datenbankeinträge des Verantwortlichen (Aufträge, Fahrer, Fahrzeuge, Kunden)
Alle hochgeladenen Dateien (Fotos, Dokumente, Protokolle)
Alle GPS-Standortdaten
Alle Audit-Logs und Protokolldaten mit Personenbezug
Alle Backups, die personenbezogene Daten des Verantwortlichen enthalten (innerhalb des nächsten Backup-Zyklus)

8.4 Ausnahmen

Von der Löschungspflicht ausgenommen sind Daten, deren Aufbewahrung aufgrund gesetzlicher Verpflichtungen erforderlich ist, insbesondere steuer- und handelsrechtliche Aufbewahrungspflichten gemäß § 147 AO und § 257 HGB (Aufbewahrungsfrist: 10 Jahre). Diese Daten werden nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht.

8.5 Löschbestätigung

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage eine schriftliche Bestätigung über die vollständige Löschung der Daten aus.

§ 9 Haftung

9.1 Haftung des Auftragsverarbeiters

Der Auftragsverarbeiter haftet gemäß Art. 82 DSGVO für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht werden, oder wenn er in einer Weise gehandelt hat, die über die rechtmäßigen Weisungen des Verantwortlichen hinausgeht oder diesen zuwiderläuft.

9.2 Haftung des Verantwortlichen

Der Verantwortliche haftet für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht werden, insbesondere wenn er dem Auftragsverarbeiter rechtswidrige Weisungen erteilt hat.

9.3 Gesamtschuldnerische Haftung

Sind sowohl der Verantwortliche als auch der Auftragsverarbeiter an einer Verarbeitung beteiligt, die einem Betroffenen Schaden zugefügt hat, haften beide gesamtschuldnerisch gemäß Art. 82 Abs. 4 DSGVO, um einen wirksamen Schadensersatz sicherzustellen.

§ 10 Bearbeitung von Anfragen betroffener Personen

10.1 Zuständigkeit des Verantwortlichen

Die Bearbeitung von Anfragen betroffener Personen (Art. 15–22 DSGVO) obliegt dem Verantwortlichen. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird die Anfrage unverzüglich an den Verantwortlichen weitergeleitet.

10.2 Unterstützung durch den Auftragsverarbeiter

Der Auftragsverarbeiter unterstützt den Verantwortlichen im erforderlichen Umfang bei der Beantwortung von Betroffenenanfragen:

Bereitstellung von Datenauskünften innerhalb von 5 Werktagen nach Anfrage
Technische Unterstützung bei Berichtigung, Löschung und Einschränkung
Export personenbezogener Daten in strukturiertem, maschinenlesbarem Format
Dokumentation aller durchgeführten Maßnahmen

§ 11 Schlussbestimmungen

11.1 Anwendbares Recht

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Berücksichtigung der unmittelbar geltenden Vorschriften der Datenschutz-Grundverordnung (DSGVO).

11.2 Gerichtsstand

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Düsseldorf, sofern dies gesetzlich zulässig ist.

11.3 Schriftform

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Die elektronische Form (E-Mail) genügt der Schriftform.

11.4 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen Bestimmung tritt diejenige wirksame Regelung, die dem wirtschaftlichen und datenschutzrechtlichen Zweck am nächsten kommt.

11.5 Rangverhältnis zu EU-SCC

Soweit im Zusammenhang mit Drittlandtransfers EU-Standardvertragsklauseln (EU-SCC) abgeschlossen werden, gehen die Regelungen der EU-SCC bei Widersprüchen diesem AVV vor.

§ 12 Unterzeichnung

Dieser Auftragsverarbeitungsvertrag wird durch die nachfolgenden Unterschriften beider Vertragsparteien wirksam.

Verantwortlicher

[Firmenname des Kunden]

Ort, Datum

Name, Unterschrift

Auftragsverarbeiter

Achraf Bolakhrif
AVO Solutions / TransferFleet

Ort, Datum

Name, Unterschrift

ANLAGE 1 — Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter hat folgende technisch-organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

A. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

A.1 Zutrittskontrolle

Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren:

Cloud-basierte Infrastruktur — kein physischer Serverzugang erforderlich
Hosting in ISO 27001-zertifizierten Rechenzentren (Supabase/AWS Frankfurt, Vercel/AWS)
Physische Zugangskontrollen der Rechenzentrumsbetreiber (Biometrie, Schleusensysteme, 24/7 Überwachung)

A.2 Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden:

Authentifizierung über Supabase Auth (bcrypt-gehashte Passwörter)
Multi-Faktor-Authentifizierung (MFA) optional verfügbar
Automatische Sitzungsinvalidierung nach Inaktivität
Verschlüsselte Kommunikation ausschließlich über HTTPS/TLS
API-Keys und Service-Rollen mit minimalen Berechtigungen

A.3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen:

Row Level Security (RLS) auf Datenbankebene — strikte Mandantentrennung
Rollenbasierte Zugriffskontrolle (RBAC): Admin, Disponent, Fahrer
Jeder Nutzer sieht ausschließlich die Daten seiner Organisation
Audit-Logging aller sicherheitsrelevanten Zugriffe

A.4 Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

Logische Datentrennung durch Mandanten-IDs (company_id) auf Datenbankebene
RLS-Policies verhindern Cross-Tenant-Zugriffe
Separate Speicherbereiche (Storage Buckets) pro Organisation

B. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

B.1 Weitergabekontrolle

Maßnahmen, die verhindern, dass Daten bei der Übertragung unbefugt gelesen oder verändert werden:

HTTPS/TLS-Verschlüsselung für alle Datenübertragungen
Verschlüsselte API-Kommunikation mit allen Unterauftragsverarbeitern
Keine unverschlüsselte Datenübertragung

B.2 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem Daten eingegeben, verändert oder entfernt wurden:

Audit-Logging aller Datenänderungen mit Zeitstempel und Benutzer-ID
Versionierung kritischer Datensätze
Protokollierung von Login-Versuchen und administrativen Aktionen

C. Verfügbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

C.1 Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Tägliche automatisierte Datenbank-Backups durch Supabase
Point-in-Time Recovery (PITR) verfügbar
Redundante Speicherung der Infrastruktur
Monitoring und Alerting bei Systemausfällen

C.2 Wiederherstellung

Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit bei einem Zwischenfall:

Recovery Time Objective (RTO): 4 Stunden
Recovery Point Objective (RPO): 24 Stunden
Dokumentierter Disaster-Recovery-Plan
Regelmäßige Tests der Wiederherstellungsprozeduren

D. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

D.1 Datenschutz-Management

Regelmäßige Überprüfung der TOMs (mindestens jährlich)
Anpassung an den Stand der Technik
Dokumentation aller Änderungen
Datenschutz-Folgenabschätzung bei Bedarf

D.2 Mitarbeiterschulung

Sensibilisierung für Datenschutz und Informationssicherheit
Verpflichtung auf Vertraulichkeit
Regelmäßige Aktualisierung der Schulungsinhalte

Zusammenfassung der TOMs

Nr.	Maßnahme	Umsetzung
1	Verschlüsselung (Transport)	HTTPS/TLS für alle Verbindungen
2	Verschlüsselung (Speicher)	AES-256 Encryption at Rest (Supabase/AWS)
3	Zugangskontrolle	Supabase Auth + bcrypt + optionale MFA
4	Zugriffskontrolle	Row Level Security (RLS) + RBAC
5	Mandantentrennung	Logische Trennung durch company_id + RLS
6	Backup	Tägliche automatisierte Backups + PITR
7	Audit-Logging	Protokollierung aller sicherheitsrelevanten Aktionen
8	Monitoring	Automatisches Alerting bei Anomalien
9	Datenschutz-Management	Jährliche Überprüfung, dokumentierte Prozesse
10	Mitarbeiterschulung	Regelmäßige Sensibilisierung und Verpflichtung

ANLAGE 2 — Genehmigte Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter sind zum Zeitpunkt des Vertragsschlusses genehmigt:

1. Supabase Inc.

Anschrift	970 Toa Payoh North #07-04, Singapore 318992 / Oakland, CA, USA
Zweck	Datenbank (PostgreSQL), Authentifizierung, Dateispeicher (Storage), Echtzeit-Funktionen
Verarbeitete Daten	Alle in § 3.2 genannten Datenkategorien
Serverstandort	EU Frankfurt (eu-central-1)
Übermittlungsgrundlage	EU-SCC + EU-US Data Privacy Framework (DPF)
AVV/DPA	Data Processing Agreement abgeschlossen
Datenschutz-URL	supabase.com/privacy

2. Vercel Inc.

Anschrift	440 N Barranca Ave #4133, Covina, CA 91723, USA
Zweck	Webhosting, Content Delivery Network (CDN), Edge Functions, Serverless Functions
Verarbeitete Daten	IP-Adressen, HTTP-Anfragen, Session-Daten (technisch notwendig)
Serverstandort	Global CDN (bevorzugt EU-Regionen), USA
Übermittlungsgrundlage	EU-SCC + EU-US Data Privacy Framework (DPF)
AVV/DPA	Data Processing Agreement abgeschlossen
Datenschutz-URL	vercel.com/legal/privacy-policy

3. OpenAI, L.L.C.

Anschrift	3180 18th Street, San Francisco, CA 94110, USA
Zweck	KI-gestützte E-Mail-Analyse zur automatischen Extraktion von Auftragsdaten (GPT-4o API)
Verarbeitete Daten	E-Mail-Inhalte (Auftragsdaten, Adressen, Fahrzeugdaten, Kontaktdaten)
Serverstandort	USA (Microsoft Azure)
Übermittlungsgrundlage	EU-SCC + EU-US Data Privacy Framework (DPF)
AVV/DPA	Data Processing Agreement abgeschlossen — kein Training mit API-Daten
Datenschutz-URL	openai.com/policies/privacy-policy

4. Mapbox Inc.

Anschrift	740 15th Street NW, Suite 500, Washington, DC 20005, USA
Zweck	Kartendarstellung, Routenberechnung, Geocoding, Live-Tracking-Visualisierung
Verarbeitete Daten	GPS-Koordinaten, Adressen (Geocoding), IP-Adressen (technisch bedingt)
Serverstandort	USA
Übermittlungsgrundlage	EU-SCC + EU-US Data Privacy Framework (DPF)
AVV/DPA	Data Processing Agreement abgeschlossen
Datenschutz-URL	mapbox.com/legal/privacy

Datenschutz bei allen Unterauftragsverarbeitern

Alle Unterauftragsverarbeiter sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert
Mit allen Unterauftragsverarbeitern wurden Auftragsverarbeitungsverträge (AVV/DPA) abgeschlossen
EU-Standardvertragsklauseln (EU-SCC) sind als zusätzliche Garantie implementiert
Keiner der Unterauftragsverarbeiter verwendet die Daten für eigene Zwecke oder KI-Training