Rechtliches

AVV

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Dieser Entwurf wird im Onboarding digital bestätigt.

Parteien

Verantwortlicher ist der jeweilige Salon. Auftragsverarbeiter ist FRIZZAI!.

Gegenstand

Verarbeitung von Endkunden-Fotos zur Erstellung KI-gestützter Frisurvorschauen.

Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Laufzeit des FRIZZAI!-Abos. Sie endet mit Beendigung des Vertrags. Beratungsbilder werden ausschließlich flüchtig im Rahmen der jeweiligen Beratung verarbeitet und nicht dauerhaft gespeichert.

Datenarten

  • Foto-/Bilddaten
  • Session-Metadaten
  • Technische Geräteinformationen
  • Nutzungs- und Fehlerprotokolle ohne gespeicherte Bilddateien

Betroffene Personen

Endkundinnen und Endkunden des Salons.

Pflichten des Auftragsverarbeiters

  • Weisungsgebundenheit
  • Vertraulichkeit aller mit der Verarbeitung befassten Personen
  • Umsetzung geeigneter technisch-organisatorischer Maßnahmen
  • Meldung von Datenschutzvorfällen unverzüglich nach Kenntnis, in der Regel innerhalb von 24 Stunden
  • Unterstützung des Verantwortlichen bei Betroffenenrechten und Datenschutz-Folgenabschätzungen
  • Nachweis der Einhaltung auf Anforderung

Subprocessor

  • Vercel: Hosting, Serverless Functions und Auslieferung der Webseite
  • Supabase: Datenbank, Auth, Storage
  • Stripe Payments Europe: Zahlungsabwicklung
  • Google Gemini API: KI-Bildbearbeitung
  • IONOS SMTP: Transaktionsmails

Subprocessor-Wechsel

Der Auftragsverarbeiter ist berechtigt, weitere Subprocessor hinzuzuziehen oder bestehende auszutauschen. Über geplante Änderungen wird der Salon mindestens 30 Tage im Voraus per E-Mail oder durch Aktualisierung der Subprocessor-Liste informiert. Der Salon kann der Beauftragung aus wichtigem datenschutzrechtlichen Grund schriftlich widersprechen; in diesem Fall steht beiden Parteien ein Sonderkündigungsrecht zu, soweit eine Fortführung der Verarbeitung ohne den betroffenen Subprocessor nicht möglich ist.

Datenpannen-Meldung

Der Auftragsverarbeiter informiert den Salon unverzüglich, in der Regel innerhalb von 24 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten. Die Meldung enthält Art und Umfang des Vorfalls, betroffene Datenkategorien, getroffene oder vorgeschlagene Maßnahmen sowie eine Kontaktstelle für Rückfragen, soweit zum Zeitpunkt der Meldung bekannt.

Technisch-organisatorische Maßnahmen

  • TLS-Transportverschlüsselung
  • Zugriffsbeschränkung
  • Mandantentrennung pro Salon
  • Geräte-Limit und widerrufbare Gerätezugänge
  • Protokollierung technischer Nutzung ohne Bildarchiv
  • Löschkonzept für Beratungsbilder

Löschung

Nach Ende der Verarbeitung werden personenbezogene Daten gelöscht oder nach Weisung zurückgegeben, soweit keine gesetzlichen Pflichten entgegenstehen.