Letzte Aktualisierung: 29. Juni 2026
Kontakt: [email protected]
Dieser Auftragsverarbeitungsvertrag ist ein informativer Entwurf, der beschreibt, wie Akeye personenbezogene Daten behandeln will, wenn es Daten im Auftrag einer Organisation verarbeitet, die die Akeye-Plattform nutzt.
Akeye ist derzeit ein Projekt in einer frühen kommerziellen und produktbezogenen Validierungsphase und wird hier noch nicht als registrierte juristische Person dargestellt. Wenn Akeye über ein formelles Unternehmen, ein Abonnement oder eine unterzeichnete Vereinbarung bereitgestellt wird, kann dieser Entwurf durch einen formellen Auftragsverarbeitungsvertrag ersetzt oder ergänzt werden.
1. Zweck
Zweck dieses Dokuments ist es, die erwarteten Datenschutzrollen, Verantwortlichkeiten und Schutzmaßnahmen für die Nutzung von Akeye als B2B-Softwareplattform zu beschreiben.
2. Rollen
Für personenbezogene Daten, die von einer Organisation in Akeye eingegeben werden:
- ist die Organisation in der Regel der Verantwortliche;
- handelt Akeye als Auftragsverarbeiter;
- sind die Personen, deren Daten eingegeben werden, betroffene Personen.
Die Organisation bestimmt, warum und wie personenbezogene Daten verarbeitet werden. Akeye verarbeitet diese Daten nur zur Bereitstellung, zum Hosting, Support, zur Sicherung und Wartung der Plattform oder gemäß den Anweisungen der Organisation.
3. Gegenstand und Dauer
Gegenstand ist die Bereitstellung der Akeye-Softwareplattform und zugehöriger Hosting-, Support-, Wartungs-, Sicherheits-, Kommunikations- und Betriebsdienste.
Die Dauer entspricht dem Zeitraum, in dem die Organisation Akeye nutzt, sowie jedem zusätzlichen Zeitraum, der für Export, Löschung, Backup-Zyklen, Fehlerbehebung oder gesetzliche Aufbewahrung erforderlich ist.
4. Art und Zweck der Verarbeitung
Akeye kann Organisationsdaten verarbeiten, um:
- Daten zu hosten und zu speichern;
- autorisierten Benutzern die Nutzung der Plattform zu ermöglichen;
- Benutzer, Rollen, Einheiten, Aktivitäten, Reservierungen, Aufgaben, Nachrichten und Dateien zu verwalten;
- dienstbezogene Benachrichtigungen zu senden;
- Support und Fehlerbehebung zu leisten;
- Protokolle und Backups zu erstellen;
- Sicherheit aufrechtzuerhalten und Missbrauch zu verhindern;
- dokumentierte Anweisungen oder gesetzliche Anforderungen zu erfüllen.
Verarbeitung kann Erhebung, Aufzeichnung, Organisation, Speicherung, Abruf, Einsicht, Nutzung, Übermittlung, Einschränkung, Löschung und Vernichtung umfassen.
5. Kategorien betroffener Personen
Personenbezogene Daten können sich auf Organisationsadministratoren, Mitarbeiter, Benutzer, Mitglieder, Sportler, Kinder, Eltern, Erziehungsberechtigte, Gäste, Mieter, Kunden, Lieferanten, Partner und andere von der Organisation eingegebene Personen beziehen.
6. Kategorien personenbezogener Daten
Je nach Nutzung von Akeye können Daten umfassen:
- Identifikationsdaten;
- Kontaktdaten;
- Konto-, Rollen- und Berechtigungsdaten;
- Beziehungsdaten;
- Daten zu Organisation, Einheiten, Teams, Einrichtungen, Räumen, Fahrzeugen oder Immobilien;
- Aktivitäts-, Reservierungs-, Aufgaben-, Trainings-, Service- und Wartungsdaten;
- Notizen, Nachrichten, Dateien und Anhänge;
- Anwesenheit, Ergebnisse, Fortschritt oder Status;
- technische, Protokoll- und Auditdaten;
- Gesundheits- oder medizinische Informationen, nur wenn die Organisation diese eingibt.
Die Organisation ist dafür verantwortlich, eine gültige Rechtsgrundlage für alle in Akeye eingegebenen Daten zu haben, einschließlich besonderer Kategorien personenbezogener Daten.
7. Pflichten der Organisation
Die Organisation sollte:
- personenbezogene Daten rechtmäßig, fair und transparent verarbeiten;
- Personen über die Nutzung von Akeye informieren, soweit erforderlich;
- die Rechtsgrundlage der Verarbeitung festlegen;
- sicherstellen, dass eingegebene Daten richtig und erforderlich sind;
- Zugriffe, Rollen und Berechtigungen verwalten;
- Anfragen betroffener Personen beantworten;
- Akeye bei Bedarf Anweisungen zu Löschung, Export oder Einschränkung geben;
- sensible Daten nur eingeben, wenn eine gültige Rechtsgrundlage und angemessene Schutzmaßnahmen bestehen.
8. Pflichten von Akeye
Akeye sollte:
- Organisationsdaten nur zur Bereitstellung und Sicherung der Plattform oder gemäß dokumentierten Anweisungen verarbeiten;
- personenbezogene Daten vertraulich behandeln;
- geeignete technische und organisatorische Maßnahmen verwenden;
- die Organisation bei Anfragen betroffener Personen angemessen unterstützen;
- die Organisation unverzüglich über eine Verletzung personenbezogener Daten informieren, die Organisationsdaten betrifft;
- Unterauftragsverarbeiter nur einsetzen, wenn dies für den Dienst erforderlich ist und geeignete Schutzmaßnahmen bestehen;
- Daten am Ende des Dienstes löschen oder zurückgeben, soweit technisch möglich und gesetzlich zulässig.
9. Sicherheitsmaßnahmen
Akeye kann Maßnahmen verwenden wie rollenbasierte Zugriffskontrolle, Authentifizierung, Passwortschutz, verschlüsselte Übertragung, Least-Privilege-Zugriff, logische Trennung zwischen Organisationen, Protokollierung und Monitoring, Backups, Incident-Response-Verfahren, sichere Entwicklungspraktiken und Infrastruktur-Sicherheit der Anbieter.
Die Maßnahmen können sich mit der Plattform weiterentwickeln.
10. Unterauftragsverarbeiter
Akeye kann vertrauenswürdige Unterauftragsverarbeiter für Hosting, Infrastruktur, DNS, Sicherheit, E-Mail-Versand, Monitoring, Support oder ähnliche technische Dienste einsetzen.
Aktuelle oder geplante Anbieter können Microsoft Azure, Cloudflare und Resend umfassen. Die Liste kann sich mit der Entwicklung der Plattform ändern. Akeye sollte sicherstellen, dass Unterauftragsverarbeiter angemessenen Vertraulichkeits-, Sicherheits- und Datenschutzpflichten unterliegen.
11. Anfragen betroffener Personen
Wenn Akeye eine Anfrage einer Person zu Daten erhält, die von einer Organisation eingegeben wurden, wird Akeye die Person in der Regel an die Organisation verweisen oder die Organisation informieren, soweit angemessen.
Akeye wird nicht eigenständig entscheiden, wie auf solche Anfragen zu reagieren ist, es sei denn, dies ist gesetzlich erforderlich oder von der Organisation angewiesen.
12. Verletzungen personenbezogener Daten
Wenn Akeye Kenntnis von einer Verletzung personenbezogener Daten erhält, die Organisationsdaten betrifft, sollte Akeye die Organisation unverzüglich informieren und angemessen verfügbare Informationen bereitstellen, damit die Organisation ihre gesetzlichen Pflichten erfüllen kann.
13. Rückgabe und Löschung
Am Ende der Nutzung können Organisationsdaten gemäß den Anweisungen der Organisation, technischer Machbarkeit und einer etwaigen Vereinbarung exportiert oder gelöscht werden. Backup-Kopien können für einen begrenzten Zeitraum gemäß normalen Backup-Zyklen verbleiben und bleiben bis zur Löschung geschützt.
14. Internationale Übermittlungen
Soweit möglich, sollten Daten in der EU/im EWR verarbeitet werden. Wenn Daten außerhalb der EU/des EWR übermittelt werden, sollten geeignete Garantien wie Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere rechtmäßige Übermittlungsmechanismen verwendet werden.
15. Anhang — Verarbeitungsdetails
| Punkt | Beschreibung |
|---|---|
| Gegenstand | Bereitstellung der Akeye B2B-Softwareplattform und zugehöriger Dienste. |
| Dauer | Nutzungszeitraum zuzüglich Export-, Lösch-, Backup- und gesetzlicher Aufbewahrungszeiträume. |
| Art | Hosting, Speicherung, Abruf, Organisation, Übermittlung, Support, Backup, Protokollierung und Löschung. |
| Zweck | Bereitstellung der Plattform für die Organisation und ihre autorisierten Benutzer. |
| Betroffene Personen | Mitarbeiter, Benutzer, Mitglieder, Sportler, Eltern, Erziehungsberechtigte, Gäste, Mieter, Kunden, Lieferanten und andere von der Organisation eingegebene Personen. |
| Datenkategorien | Identifikations-, Kontakt-, Konto-, Beziehungs-, Betriebs-, Kommunikations-, technische und, wenn von der Organisation eingegeben, Gesundheits- oder andere sensible Daten. |