WheelOwl WheelOwl

Auftragsverarbeitungsvertrag (AVV)

Stand: Juni 2026

Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist ein Anhang zu den WheelOwl-Nutzungsbedingungen zwischen der ByteZoo Labs UG (haftungsbeschränkt), Domenica-Niehoff-Twiete 2, 22765 Hamburg („Anbieter“, Auftragsverarbeiter) und dem Studio, das ein WheelOwl-Konto betreibt („Studio“, Verantwortlicher). Er wird durch die Kontoerstellung geschlossen und regelt alle personenbezogenen Mitgliederdaten, die das Studio in WheelOwl verarbeitet.

§ 1 Gegenstand und Dauer

Gegenstand ist der Betrieb der WheelOwl-Studioverwaltungssoftware (SaaS). Die Laufzeit entspricht der Laufzeit des Hauptvertrags und endet mit Löschung des Kontos bzw. Studios.

§ 2 Art und Zweck der Verarbeitung

Hosting, Speicherung, Anzeige, Übermittlung (E-Mail-Benachrichtigungen), Export und Löschung von Mitgliederdaten zur Studioverwaltung: Mitgliedschafts- und Tarifverwaltung, Check-in-Erfassung, Brand- und Abrechnungsdaten, monatliche Kostenübersichten sowie optionaler Brennservice-Aufträge.

§ 3 Datenkategorien und Kreis der Betroffenen

Kategorien: Kontaktdaten (Name, E-Mail, Telefon), Mitgliedschafts- und Tarifdaten, Besuchszeiten (Check-ins), Brand- und Abrechnungsdaten, optional Fotos von Keramikstücken. Betroffene: Studiomitglieder, Gäste/Kunden des optionalen Brennservice, Studio-Mitarbeitende.

§ 4 Weisungsrecht

Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Studios. Die Nutzung der Funktionen von WheelOwl und deren Konfiguration durch das Studio gelten als Weisung.

§ 5 Vertraulichkeit

Personen, die zur Verarbeitung befugt sind, sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Anbieter setzt folgende Maßnahmen um:

  • Verschlüsselung bei der Übertragung (TLS)
  • Verschlüsselung im Ruhezustand beim Hosting-Anbieter
  • Mandantentrennung nach studio_id auf Anwendungsebene sowie Row-Level Security in PostgreSQL
  • Rollenbasierte Zugriffskontrolle (Admin/Mitglied)
  • JWT-basierte Sitzungsvalidierung
  • Sicherheitsheader (CSP, HSTS)
  • Geheimnisse ausschließlich in serverseitigem Code
  • EU-Hosting (Frankfurt) für die Datenbank
  • Tägliche Backups

§ 7 Unterauftragsverarbeiter

Das Studio erteilt seine Einwilligung zu folgenden Unterauftragsverarbeitern. Der Anbieter informiert Studio-Admins mindestens 30 Tage vor dem Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters per E-Mail; das Studio kann aus wichtigem Grund widersprechen und bei fehlender Lösung kündigen.

  • Supabase Inc. — Datenbank, Authentifizierung, Dateispeicher. Infrastruktur EU (Frankfurt); EU-Standardvertragsklauseln.
  • Cloudflare Inc. — Hosting und Content Delivery. USA/global; EU-US Data Privacy Framework und Standardvertragsklauseln.
  • Plus Five Five Inc. (Resend) — Transaktions-E-Mails. Versand EU (Irland), Dienstdaten USA; Data Privacy Framework und Standardvertragsklauseln.
  • Anthropic PBC — nur bei vom Studio aktivierten KI-Funktionen (standardmäßig aus). USA; EU-Standardvertragsklauseln.

Änderungen an Unterauftragsverarbeitern werden wie oben beschrieben angekündigt; das Studio kann innerhalb der Frist aus wichtigem Grund widersprechen.

§ 8 Unterstützung und Betroffenenrechte

Der Anbieter unterstützt das Studio bei der Beantwortung von Betroffenenanfragen über die eingebauten Funktionen: CSV-Export pro Mitglied (Mitgliederdetail und Mitglieder-Self-Service), Mitgliederlöschung (Mitgliederseite — bereinigt Name, E-Mail, Telefon und Avatar sowie trennt die Anmeldung; Abrechnungs-Snapshots und bereits versandte Benachrichtigungsempfänger bleiben als unveränderliche Prüfdaten erhalten) und Studio-Löschung (Einstellungen). Darüber hinaus: wheelowl@bytezoolabs.com.

§ 9 Meldepflichten

Der Anbieter informiert das Studio unverzüglich über Verletzungen des Schutzes personenbezogener Daten, die die Daten des Studios betreffen (Art. 33 Abs. 2 DSGVO).

§ 10 Löschung und Rückgabe

Bei Vertragsende kann das Studio seine Daten vorher exportieren (CSV-Exporte). Die Studio-Löschung bereinigt Profil- und Mitglieder-PII wie in der Datenschutzerklärung beschrieben; Abrechnungs-Prüfdaten werden gemäß gesetzlicher Aufbewahrungspflichten aufbewahrt. Kontroll- und Nachweisrechte (Art. 28 Abs. 3 lit. h DSGVO): Der Anbieter stellt auf Anfrage die zur Nachweisführung erforderlichen Informationen bereit.

Es gilt deutsches Recht. Die Haftungsregeln der Nutzungsbedingungen gelten entsprechend. Bei Widersprüchen zwischen diesem AVV und den Nutzungsbedingungen gilt der AVV für datenschutzrechtliche Angelegenheiten.

Nutzungsbedingungen · Impressum · Datenschutzerklärung