1. Anwendungsbereich und Rollen — und wie Sie ihn eingehen
Wenn Ihr Stall seinen Betrieb über Nose führt, sind Sie (der Stall) der Verantwortliche für die Reiter- und Betriebsdaten, die Sie eingeben, und horsenose ist Ihr Auftragsverarbeiter — wir verarbeiten diese Daten nur nach Ihren dokumentierten Weisungen. Dieser Auftragsverarbeitungsvertrag (AVV) ist der Vertrag nach Art. 28 DSGVO, der dieses Verhältnis regelt.
Der AVV ist Bestandteil Ihrer Nutzungsbedingungen: Sie schließen ihn automatisch ab, indem Sie die Nutzungsbedingungen akzeptieren, und es gibt nichts Gesondertes zu unterzeichnen. Für Ihre eigenen Konto- und Kontaktdaten, unsere Marketing-Website-Daten, einwilligungsbasierte Analysedaten und Sicherheitsdaten ist horsenose selbst der Verantwortliche (siehe Datenschutzerklärung → Wer verantwortlich ist).
2. Was wir mit Ihren Daten tun — nur nach Ihren Weisungen
Wir verarbeiten die personenbezogenen Daten Ihrer Mitglieder, um den Dienst bereitzustellen, und für nichts anderes: Einrichtung und Isolierung Ihres Mandanten; Erstellung von Reiter-, Kunden- und Teilnehmerdatensätzen in Ihrem Auftrag; Planung von Ritten und Erfassung der Teilnahme; Verwaltung von Reitpässen und Geschenkgutscheinen; Erfassung von Zahlungskennzeichnungen (Bar/Reitpass/Gutschein/BLIK — Kennzeichnungen, keine Zahlungen); Berechnung der Reitlehrer-Vergütung; Versand der von Ihnen veranlassten Einweg-Mitteilungen; Bereitstellung einer Selbstbedienungsansicht der eigenen Buchungen für jedes Mitglied; sowie den für all dies erforderlichen Support, die Missbrauchsprävention und die Audit-Protokollierung.
Wir nutzen Ihre Daten nicht für eigene Zwecke, wir verkaufen oder teilen sie nicht für Werbezwecke, und wir verwenden sie nicht, um KI- oder Machine-Learning-Modelle zu trainieren.
Sie bestätigen, dass Sie für jede Weisung, die Sie uns erteilen, und für jede personenbezogene Angabe, die Sie in Nose eingeben, über eine Rechtsgrundlage nach Art. 6 DSGVO (und, soweit einschlägig, Art. 9 oder Art. 8 DSGVO) verfügen, dass Sie Ihren Mitgliedern die nach Art. 13 und 14 DSGVO erforderlichen Hinweise erteilt haben, und dass Ihre Weisungen uns nicht dazu veranlassen, gegen geltendes Recht zu verstoßen.
3. Kinder
Reitschulen unterrichten Kinder, daher ist Nose so gebaut, dass es Daten von Kindern in Ihrem Auftrag verarbeiten kann — typischerweise ein Kind, das von einem Elternteil, der Ihr Kunde ist, als Unterrichtsteilnehmer eingetragen wird. Sie sind verantwortlich für die Rechtsgrundlage und für jede erforderliche elterliche Einwilligung oder Befugnis, auch nach Art. 8 DSGVO; sofern Sie sich auf die Einwilligung des Kindes selbst stützen, bestätigen Sie, angemessene Anstrengungen zur Überprüfung der elterlichen Befugnis unternommen zu haben. Wir beschränken die über ein Kind gespeicherten Daten auf ein Minimum (typischerweise Name und besuchte Reitstunden) und bewerben oder adressieren den Dienst niemals gezielt an Kinder.
4. Vertraulichkeit, Sicherheit und Unterauftragsverarbeiter
Jede Person mit Zugriff auf Ihre Daten ist zur Vertraulichkeit verpflichtet, und wir wenden die auf unserer Seite Sicherheit & Vertrauen beschriebenen technischen und organisatorischen Maßnahmen an — einschließlich einer datenbankseitig durchgesetzten Row-Level-Security, die die Daten jedes Stalls auf diesen Stall beschränkt, TLS bei der Übertragung, Verschlüsselung im Ruhezustand und eines unveränderlichen (append-only) Audit-Protokolls.
Wir setzen eine kleine Anzahl geprüfter Unterauftragsverarbeiter ein, um den Dienst zu betreiben; die aktuelle Liste mit Zweck, Region und Übermittlungsmechanismus jedes Einzelnen finden Sie unter Unterauftragsverarbeiter und in Datenschutzerklärung → Weitergabe — Unterauftragsverarbeiter. Bevor wir einen Unterauftragsverarbeiter hinzufügen oder ersetzen, informieren wir mindestens 15 Tage im Voraus (per E-Mail an die Konto-Adresse des Stalls oder im Produkt) — früher nur, wenn dies aus Gründen der Sicherheit oder der Dienstkontinuität wirklich erforderlich ist; in diesem Fall benachrichtigen wir Sie so bald wie vernünftigerweise möglich, und Sie können innerhalb von 15 Tagen nach dieser Benachrichtigung weiterhin widersprechen. Widersprechen Sie und können wir dies nicht klären, können Sie den betroffenen Teil des Dienstes — oder, wenn dieser Unterauftragsverarbeiter für den gesamten Dienst wesentlich ist, die gesamte Vereinbarung — beenden, mit anteiliger Erstattung im Voraus bezahlter Gebühren für den ungenutzten Zeitraum. Wir verpflichten jeden Unterauftragsverarbeiter zu Datenschutzpflichten, die mindestens so schützend sind wie dieser AVV, und bleiben Ihnen gegenüber für dessen Leistung in vollem Umfang verantwortlich.
Der Großteil der Verarbeitung findet innerhalb des EWR statt. Für die wenigen Komponenten mit einem Bezug außerhalb des EWR (das globale Edge-Netzwerk von Cloudflare; Google OAuth) stützen sich Übermittlungen auf die EU-Standardvertragsklauseln und das EU-US Data Privacy Framework, ergänzt um das britische International Data Transfer Addendum, soweit die UK-DSGVO Anwendung findet, wie auf der Seite Unterauftragsverarbeiter dargelegt.
5. Audits
Auf Anfrage stellen wir Ihnen als ersten Schritt zur Verfügung, was Sie zum Nachweis unserer Einhaltung von Art. 28 DSGVO benötigen — unsere Seite Sicherheit & Vertrauen, diesen AVV, einschlägige Berichte Dritter über unsere Unterauftragsverarbeiter, soweit uns deren Weitergabe gestattet ist, sowie schriftliche Antworten auf angemessene Sicherheits- und Verarbeitungsfragebögen. Reicht dies nicht aus, vereinbaren wir mit Ihnen Umfang, Zeitpunkt und Durchführung eines weitergehenden Audits oder einer Prüfung — mit mindestens 30 Tagen vorheriger Ankündigung (früher nur nach einem Sicherheitsvorfall oder auf Anordnung einer Aufsichtsbehörde), höchstens einmal pro Kalenderjahr (außer nach einer Ihre Daten betreffenden Verletzung oder wenn eine Aufsichtsbehörde dies verlangt), während unserer üblichen Geschäftszeiten und ohne unangemessene Störung des Dienstes für andere Ställe. Sie tragen die angemessenen Kosten eines solchen weitergehenden Audits, es sei denn, es deckt einen wesentlichen Verstoß gegen diesen AVV auf unserer Seite auf; in diesem Fall tragen wir unsere eigenen Kosten der Mitwirkung.
6. Die Rechte Ihrer Mitglieder und Datenschutzverletzungen
Übt eines Ihrer Mitglieder ein Recht nach der DSGVO aus (Auskunft, Berichtigung, Löschung usw.), entscheiden Sie über die Antwort — Sie sind dessen Verantwortlicher. Wir unterstützen Sie und leiten jede uns erreichende Anfrage an Sie weiter; wir entscheiden nicht selbst darüber (Art. 28 Abs. 3 lit. e DSGVO).
Werden wir uns einer Verletzung des Schutzes personenbezogener Daten bewusst, die Ihre Daten betrifft, benachrichtigen wir Sie unverzüglich, damit Sie Ihren eigenen Pflichten nach Art. 33–34 DSGVO nachkommen können.
Würde eine Weisung, die Sie uns erteilen, nach unserer Einschätzung gegen die DSGVO oder anderes Datenschutzrecht verstoßen, teilen wir Ihnen dies mit, bevor wir danach handeln. Unter Berücksichtigung der Art der Verarbeitung und der uns verfügbaren Informationen unterstützen wir Sie außerdem angemessen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen einer Aufsichtsbehörde (Art. 35–36 DSGVO), soweit diese die Verarbeitung über Nose betreffen.
7. Aufbewahrung, Rückgabe und Löschung Ihrer Daten
Wir bewahren Ihre Daten für die gesamte Laufzeit Ihres aktiven Kontos auf, da ein Stall seine eigene Historie für den Betrieb benötigt. Wird ein einzelnes Mitglied gelöscht, entfernen wir dessen direkte Kennungen nach einer 30-tägigen, widerrufbaren Karenzzeit (Pseudonymisierung nach Art. 4 Nr. 5 DSGVO), wobei anonymisierte Finanz- und Unterrichtseinträge in Ihren Büchern verbleiben, damit diese abgestimmt werden können.
Die Archivierung oder Schließung eines Stalls startet automatisch ein 90-tägiges, widerrufbares Offboarding-Zeitfenster. Innerhalb dieses Zeitraums kann der Stall wiederhergestellt werden, und ein vollständiger Export ist auf Anfrage verfügbar; endet der Zeitraum, werden Ihre Daten insgesamt höchstens 90 Tage lang aufbewahrt und anschließend automatisch gelöscht. Ihre eigenen gesetzlichen Aufzeichnungen (zum Beispiel die 5-jährigen polnischen Buchhaltungs-/Umsatzsteuerunterlagen) verbleiben bei Ihnen — horsenose hat keine eigenständige Pflicht, personenbezogene Reiterdaten fünf Jahre lang aufzubewahren; exportieren Sie daher, was Sie benötigen, bevor das Zeitfenster abläuft.
8. Haftung, Rangfolge und Fortgeltung
Unsere Haftung nach diesem AVV folgt den Begrenzungen und Ausschlüssen Ihrer Nutzungsbedingungen, soweit das Gesetz deren Beschränkung nicht ausschließt — einschließlich Art. 82–83 DSGVO. Widersprechen sich dieser AVV und Ihre Nutzungsbedingungen hinsichtlich der Verarbeitung personenbezogener Daten, geht dieser AVV vor; widerspricht dieser AVV den Standardvertragsklauseln, auf die wir uns für eine Übermittlung stützen, gehen die Standardvertragsklauseln vor. Dieser AVV gilt so lange, wie wir Daten in Ihrem Auftrag verarbeiten; die Bestimmungen, die darüber hinaus fortgelten müssen — Vertraulichkeit, die Meldung später entdeckter Verletzungen, die Aufbewahrung, Rückgabe und Löschung Ihrer Daten, Audits für den Zeitraum vor Ihrem Ausscheiden sowie dieser Abschnitt — bleiben auch nach seinem Ende bestehen.
9. Was diesen AVV ausmacht
Diese Seite legt die operativen Bestimmungen des AVV fest. Zusammen mit der Seite Sicherheit & Vertrauen (unsere technischen und organisatorischen Maßnahmen), der Seite Unterauftragsverarbeiter (die zugelassene Liste der Unterauftragsverarbeiter) und den oben beschriebenen Einzelheiten der Verarbeitung bildet sie den vollständigen Auftragsverarbeitungsvertrag zwischen Ihrem Stall und horsenose — es gibt nichts Gesondertes zu unterzeichnen. Soweit eine Übermittlung außerhalb des EWR sie erfordert, gelten die in die Verträge mit unseren Unterauftragsverarbeitern einbezogenen EU-Standardvertragsklauseln. Benötigen Sie eine gegengezeichnete Kopie oder eine detaillierte Verarbeitungsübersicht für Ihre eigene Rechenschaftsdokumentation, schreiben Sie an support@horsenose.eu, und wir stellen Ihnen eine zur Verfügung.