Zum Inhalt springen
KITALE
DEEN
Anlage 1 zum Software-Nutzungsvertrag (SaaS) für KITALE

Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.

Rechtsgrundlage Art. 28 DSGVOVersion 1.0Stand 21.04.2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) ist fester Bestandteil des Software-Nutzungsvertrags (SaaS) für „KITALE“ (nachfolgend „Hauptvertrag“) und gilt einheitlich für alle Kunden des Auftragsverarbeiters. Der AVV tritt automatisch mit Unterzeichnung des Hauptvertrags in Kraft und bedarf keiner gesonderten Unterschrift.

Auftragsverarbeiter:

Baumgartner IT (Inhaber: Marc Baumgartner)
Klausenweg 28, 89568 Hermaringen, Deutschland
(handelnd für das Projekt „KITALE“)

Verantwortlicher:

Der jeweilige Kunde, der den Hauptvertrag mit dem Auftragsverarbeiter abgeschlossen hat.

§ 1 Gegenstand und Dauer der Verarbeitung

  1. 1.1

    Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Auftragsverarbeitung gemäß Art. 28 DSGVO, die sich aus dem Hauptvertrag ergeben. Er gilt einheitlich für alle Kunden, die den Hauptvertrag mit dem Auftragsverarbeiter abschließen.

  2. 1.2

    Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen im Rahmen der Bereitstellung der Software „KITALE“.

  3. 1.3

    Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV, unbeschadet der Pflichten zur Rückgabe und Löschung gemäß § 10 dieses AVV.

§ 2 Art und Zweck der Verarbeitung

  1. 2.1

    Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung und des Betriebs der Software „KITALE“ für den Verantwortlichen, insbesondere:

    • Verwaltung von Kinderstammdaten und Gruppenstrukturen
    • Eltern- und Erzieherkommunikation
    • Abwesenheitsmeldungen und Anwesenheitsdokumentation
    • Essensbestellung, -abrechnung und Verpflegungsmanagement
    • Verwaltung von Bildung-und-Teilhabe-Leistungen (BuT)
    • KI-gestützter Assistent (Chatbot, Automatisierung) zur Unterstützung der Einrichtungsverwaltung
    • Automatische Übersetzungen von Inhalten (z.B. Elternkommunikation)
    • E-Mail-Versand (transaktionale E-Mails, Benachrichtigungen)
    • Technischer Betrieb, Wartung und Support der Software
    • Datensicherung (Backups) gemäß § 5 des Hauptvertrags

§ 3 Art der personenbezogenen Daten

  1. 3.1

    Folgende Kategorien personenbezogener Daten werden verarbeitet:

Daten der Kinder

  • Stammdaten (Name, Vorname, Geburtsdatum, Geschlecht)
  • Gruppenzugehörigkeit und Betreuungszeiten
  • Anwesenheits- und Abwesenheitsdaten
  • Ernährungspräferenzen und Essensbestellungen
  • Gesundheitsdaten gemäß Art. 9 DSGVO (z.B. Allergien, Unverträglichkeiten, besondere Ernährungsbedürfnisse)
  • BuT-Bescheide und Sozialdaten gemäß Art. 9 DSGVO (z.B. Leistungsbewilligungen, Förderstatus)

Daten der Eltern/Erziehungsberechtigten

  • Stammdaten (Name, Vorname, Anschrift)
  • Kontaktdaten (E-Mail-Adresse, Telefonnummer)
  • Kommunikationsdaten (Nachrichten, Benachrichtigungen)
  • Zahlungs- und Abrechnungsdaten

Daten der Erzieher/Mitarbeiter

  • Stammdaten (Name, Vorname)
  • Kontaktdaten (dienstliche E-Mail, Telefonnummer)
  • Zugangsdaten (Benutzername, verschlüsseltes Passwort)
  • Gruppenzuordnung und Rollenberechtigungen

§ 4 Kategorien betroffener Personen

  1. 4.1

    Von der Verarbeitung betroffen sind:

    • Kinder, die in den Einrichtungen des Verantwortlichen betreut werden
    • Eltern bzw. Erziehungsberechtigte der betreuten Kinder
    • Erzieher, pädagogische Fachkräfte und sonstige Mitarbeiter des Verantwortlichen
    • Ggf. weitere von der Einrichtung autorisierte Personen (z.B. Abholberechtigte)

§ 5 Pflichten des Verantwortlichen

  1. 5.1

    Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen, allein verantwortlich.

  2. 5.2

    Der Verantwortliche erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel in Textform (E-Mail ist ausreichend). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

  3. 5.3

    Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

  4. 5.4

    Der Verantwortliche ist verpflichtet, die erforderlichen Einwilligungen der betroffenen Personen (insbesondere der Eltern/Erziehungsberechtigten) einzuholen, soweit eine Einwilligung Rechtsgrundlage für die Verarbeitung ist. Dies gilt insbesondere für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.

  5. 5.5

    Der Verantwortliche benennt dem Auftragsverarbeiter einen Ansprechpartner für datenschutzrelevante Fragestellungen.

§ 6 Pflichten des Auftragsverarbeiters

  1. 6.1

    Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen („Weisungsgebundenheit“), es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

  2. 6.2

    Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

  3. 6.3

    Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zum Schutz personenbezogener Daten. Die aktuellen TOMs sind in Anhang A zu diesem AVV dokumentiert.

  4. 6.4

    Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, vorherige Konsultation).

  5. 6.5

    Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

§ 7 Unterauftragsverarbeiter

  1. 7.1

    Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.

  2. 7.2

    Die jeweils aktuell eingesetzten Unterauftragsverarbeiter sind in Anhang B zu diesem AVV aufgeführt. Der Anhang B wird vom Auftragsverarbeiter zentral gepflegt und in der jeweils gültigen Fassung unter https://kitale.de/auftragsverarbeitungsvertrag veröffentlicht. Mit Abschluss des Hauptvertrags stimmt der Verantwortliche dem Einsatz der zum jeweiligen Zeitpunkt in Anhang B gelisteten Unterauftragsverarbeiter zu.

  3. 7.3

    Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus in Textform (z.B. per E-Mail) über den beabsichtigten Einsatz neuer oder den Wechsel bestehender Unterauftragsverarbeiter und aktualisiert Anhang B entsprechend. Der Verantwortliche kann dem Einsatz aus berechtigten datenschutzrechtlichen Gründen innerhalb von 14 Tagen nach Mitteilung schriftlich widersprechen. Die Regelungen des § 8.6 des Hauptvertrags gelten entsprechend.

  4. 7.4

    Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind, insbesondere hinsichtlich der technischen und organisatorischen Maßnahmen und der Weisungsgebundenheit.

  5. 7.5

    Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch seine Unterauftragsverarbeiter.

  6. 7.6

    Der Auftragsverarbeiter setzt Degeler Consulting e.U. als eng begrenzten Unterauftragsverarbeiter zur Unterstützung im Zusammenhang mit KITALE ein. Der Zugriff durch Degeler Consulting e.U. erfolgt ausschließlich, soweit dies für Produktmanagement, Projektsteuerung, Kundenkommunikation, Vertragsabwicklung und Datenschutzprozessberatung erforderlich ist. Der Zugriff kann insbesondere Vertragsunterlagen, Software- und Administrationsoberflächen, Kunden- und Kommunikationsdaten, Supportdaten sowie technische Betriebsinformationen wie Logs oder Infrastrukturinformationen umfassen, jeweils nur im erforderlichen Umfang und ausschließlich auf Weisung des Auftragsverarbeiters. Eine Verarbeitung zu eigenen Zwecken durch Degeler Consulting e.U. ist ausgeschlossen.

§ 8 Rechte der betroffenen Personen

  1. 8.1

    Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anfragen betroffener Personen gemäß Kapitel III der DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

  2. 8.2

    Wendet sich eine betroffene Person mit Anfragen direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und wartet dessen Weisung ab, sofern sich nicht bereits aus der Anfrage ergibt, dass diese an den Verantwortlichen gerichtet sein soll.

  3. 8.3

    Der Auftragsverarbeiter stellt dem Verantwortlichen über die Software Export-Funktionen zur Verfügung, die es dem Verantwortlichen ermöglichen, Betroffenenrechte eigenständig zu erfüllen (z.B. Datenexport für Auskunftsersuchen, Löschung einzelner Datensätze).

§ 9 Meldung von Datenschutzverletzungen

  1. 9.1

    Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten (Datenschutzverletzung gemäß Art. 33 DSGVO) unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung.

  2. 9.2

    Die Meldung enthält mindestens:

    • Eine Beschreibung der Art der Datenschutzverletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
    • Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
    • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
    • Eine Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen zur Behebung und Minderung der Verletzung
  3. 9.3

    Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und den betroffenen Personen (Art. 34 DSGVO).

  4. 9.4

    Soweit die Datenschutzverletzung durch den Auftragsverarbeiter oder seine Unterauftragsverarbeiter verursacht wurde, ergreift der Auftragsverarbeiter unverzüglich geeignete Maßnahmen zur Eindämmung und Behebung der Verletzung.

§ 10 Löschung und Rückgabe personenbezogener Daten

  1. 10.1

    Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten gemäß den Bestimmungen des § 9.4 und § 9.5 des Hauptvertrags (30-tägige Übergangsphase mit Export-Möglichkeit, anschließend vollständige Löschung).

  2. 10.2

    Die Löschung umfasst sämtliche Kopien der Daten, einschließlich Backups und Sicherungskopien, sofern keine gesetzliche Aufbewahrungspflicht (z.B. nach AO, HGB) besteht. Im Falle gesetzlicher Aufbewahrungspflichten werden die betreffenden Daten gesperrt und nach Ablauf der jeweiligen Frist gelöscht.

  3. 10.3

    Der Auftragsverarbeiter bestätigt dem Verantwortlichen die vollständige Löschung auf Anfrage schriftlich.

§ 11 Nachweispflichten und Kontrollrechte

  1. 11.1

    Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

  2. 11.2

    Der Verantwortliche ist berechtigt, Audits (Inspektionen) durchzuführen oder durch einen beauftragten, zur Verschwiegenheit verpflichteten Prüfer durchführen zu lassen. Die Audits können umfassen:

    • Überprüfung der technischen und organisatorischen Maßnahmen
    • Einsichtnahme in relevante Dokumentationen und Zertifizierungen
    • Vor-Ort-Inspektionen der Rechenzentren (soweit verhältnismäßig und unter Berücksichtigung der Geheimhaltungsinteressen des Auftragsverarbeiters und anderer Kunden)
  3. 11.3

    Audits sind mit einer Vorlaufzeit von mindestens 14 Tagen in Textform anzukündigen und während der üblichen Geschäftszeiten durchzuführen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung. Die Kosten der Audits trägt der Verantwortliche, es sei denn, das Audit deckt wesentliche Verstöße des Auftragsverarbeiters auf.

  4. 11.4

    Der Auftragsverarbeiter kann den Nachweis der Einhaltung der Pflichten auch durch Vorlage geeigneter, aktueller Zertifizierungen oder Prüfberichte (z.B. ISO 27001, SOC 2) erbringen. Solche Nachweise können ein Vor-Ort-Audit ersetzen, sofern der Verantwortliche dem zustimmt.

§ 12 Datenverarbeitung in Drittländern

  1. 12.1

    Die Verarbeitung personenbezogener Daten erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR). Das Hosting erfolgt auf Servern in Deutschland (vgl. § 1.3 des Hauptvertrags).

  2. 12.2

    Eine Übermittlung personenbezogener Daten in ein Drittland (außerhalb EU/EWR) oder an eine internationale Organisation bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen und ist nur unter den Voraussetzungen der Art. 44–49 DSGVO zulässig.

  3. 12.3

    Sollte ein Unterauftragsverarbeiter personenbezogene Daten in einem Drittland verarbeiten, stellt der Auftragsverarbeiter sicher, dass angemessene Garantien gemäß Art. 46 DSGVO bestehen (z.B. Standardvertragsklauseln der EU-Kommission, Angemessenheitsbeschluss).

§ 13 Besondere Kategorien personenbezogener Daten

  1. 13.1

    Die Parteien sind sich bewusst, dass im Rahmen der Nutzung der Software besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden können, insbesondere:

    • Gesundheitsdaten von Kindern (Allergien, Unverträglichkeiten, Ernährungsbesonderheiten)
    • Sozialdaten (BuT-Bescheide, Förderstatus)
  2. 13.2

    Der Auftragsverarbeiter ergreift für diese besonderen Kategorien zusätzliche Schutzmaßnahmen, insbesondere:

    • Verschlüsselung der Daten bei Übertragung (TLS 1.2 oder höher) und im Ruhezustand (AES-256 oder vergleichbar)
    • Strenge Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung (Least Privilege)
    • Protokollierung sämtlicher Zugriffe auf besondere Kategorien personenbezogener Daten
    • Regelmäßige Sensibilisierung und Schulung der Mitarbeiter im Umgang mit sensiblen Daten

§ 14 Datenschutzbeauftragter

  1. 14.1

    Der Datenschutzbeauftragte des Auftragsverarbeiters (bzw. die datenschutzrechtliche Anlaufstelle) ist erreichbar unter:

    • E-Mail: privacy@kitale.de
  2. 14.2

    Der Verantwortliche teilt dem Auftragsverarbeiter die Kontaktdaten seines Datenschutzbeauftragten (sofern bestellt) bzw. seines datenschutzrechtlichen Ansprechpartners in Textform mit.

§ 15 Schlussbestimmungen

  1. 15.1

    Dieser AVV ist integraler Bestandteil des Hauptvertrags. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor.

  2. 15.2

    Der Auftragsverarbeiter ist berechtigt, diesen AVV sowie die Anhänge A und B bei Änderungen der Rechtslage, behördlichen Anforderungen oder bei Einsatz neuer Unterauftragsverarbeiter einseitig anzupassen, sofern dadurch das Datenschutzniveau nicht abgesenkt wird. Über wesentliche Änderungen wird der Verantwortliche mindestens 30 Tage vor Inkrafttreten in Textform (z.B. per E-Mail) informiert. Die jeweils aktuelle Fassung dieses AVV ist unter https://kitale.de/auftragsverarbeitungsvertrag abrufbar.

  3. 15.3

    Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt.

  4. 15.4

    Auf diesen AVV findet das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts Anwendung. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragsverarbeiters (Hermaringen, Deutschland).

Dieser AVV bedarf keiner gesonderten Unterschrift. Er gilt als angenommen mit Unterzeichnung des Hauptvertrags.

Anhang A Technische und organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO — Stand: 21.04.2026

A.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (physischer Zugang zu Datenverarbeitungsanlagen)

  • Hosting in ISO-zertifizierten Rechenzentren in Deutschland (z.B. Hetzner)
  • Zutrittskontrollsysteme des Rechenzentrumsbetreibers (Chipkarten, biometrische Systeme, Videoüberwachung)
  • Kein physischer Zugang des Auftragsverarbeiters zu den Servern erforderlich (Remote-Administration)

Zugangskontrolle (Verhinderung unbefugter Nutzung)

  • Authentifizierung über individuelle Benutzerkonten mit sicherem Passwort
  • Verschlüsselung der Passwörter mittels moderner Hash-Verfahren (z.B. bcrypt)
  • Automatische Sitzungszeitbegrenzung (Session-Timeout)
  • Schutz der Administrationszugänge durch Zwei-Faktor-Authentifizierung (2FA)

Zugriffskontrolle (Beschränkung auf berechtigte Daten)

  • Rollenbasiertes Berechtigungskonzept (Role-Based Access Control)
  • Prinzip der geringsten Berechtigung (Least Privilege)
  • Regelmäßige Überprüfung der Zugriffsrechte
  • Protokollierung von Zugriffen auf personenbezogene Daten

Trennungskontrolle (getrennte Verarbeitung verschiedener Zwecke)

  • Logische Mandantentrennung (jeder Kunde erhält einen eigenen Datenbereich)
  • Trennung von Produktiv-, Test- und Entwicklungsumgebungen
  • Keine Verwendung von Echtdaten in Test- oder Entwicklungsumgebungen

A.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle (Schutz bei Übertragung)

  • Verschlüsselung sämtlicher Datenübertragungen mittels TLS 1.2 oder höher
  • Verschlüsselung der Daten im Ruhezustand (Encryption at Rest, AES-256 oder vergleichbar)
  • Einsatz von VPN-Verbindungen für administrative Zugriffe

Eingabekontrolle (Nachvollziehbarkeit der Dateneingabe)

  • Protokollierung von Erstellung, Änderung und Löschung von Datensätzen
  • Zuordnung von Eingaben zu individuellen Benutzerkonten

A.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

  • Tägliche automatisierte Backups mit mindestens 30 Tagen Aufbewahrung
  • Redundante Speichersysteme im Rechenzentrum
  • Notfallwiederherstellungskonzept (Disaster Recovery)
  • USV-Absicherung und Notstromversorgung im Rechenzentrum
  • Monitoring der Systemverfügbarkeit und automatisierte Alarmierung

A.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Überprüfung und Aktualisierung der TOMs (mindestens jährlich)
  • Regelmäßige Sicherheitsupdates und Patches
  • Sensibilisierung und Schulung der Mitarbeiter zu Datenschutz und Informationssicherheit
  • Incident-Response-Prozess für Datenschutzverletzungen

Anhang B Liste der Unterauftragsverarbeiter

Stand: 24.04.2026

UnterauftragsverarbeiterAnschrift / LandArt der LeistungVerarbeitete DatenGarantien (Drittland)
Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, DeutschlandServer-Hosting, Infrastruktur (IaaS); KI-Assistent (Ollama, self-hosted auf Hetzner); LibreTranslate (self-hosted, letzter Fallback für Übersetzungen)Sämtliche in der Software gespeicherten personenbezogenen Daten; KI-Anfragen und -Antworten; zu übersetzende TextinhalteEntfällt (EU/EWR)
DeepL SEMaarweg 165, 50825 Köln, DeutschlandAutomatische Übersetzungen via DeepL API (bevorzugter Übersetzungsdienst)Zu übersetzende Textinhalte (z.B. Nachrichten, Mitteilungen)Entfällt (EU/EWR)
Google Ireland LtdGordon House, Barrow Street, Dublin 4, IrlandGemini API (Fallback KI-Assistent); Google Cloud Translation API (Fallback Übersetzungen)KI-Anfragen und -Antworten (nur bei Ausfall des primären KI-Dienstes); zu übersetzende Textinhalte (nur bei Ausfall von DeepL)EU-Standardvertragsklauseln (SCCs); Verarbeitung primär in EU/EWR, ggf. USA auf Basis des EU-US Data Privacy Framework
Brevo (Sendinblue SAS)106 Boulevard Haussmann, 75008 Paris, FrankreichSMTP-Dienst / E-Mail-Versand aus dem Backend (transaktionale E-Mails, Benachrichtigungen)E-Mail-Adressen, Absender- und Empfängerdaten, E-Mail-InhalteEntfällt (EU/EWR)
Stripe, Inc.354 Oyster Point Blvd, South San Francisco, CA 94080, USAZahlungsabwicklung (Wallet-Aufladung via Stripe Checkout); Verarbeitung von Kreditkarten-, SEPA- und Mobile-Payment-TransaktionenName, E-Mail-Adresse, Zahlungsdaten (Kreditkarte, IBAN), IP-Adresse, TransaktionsdatenEU-Standardvertragsklauseln (SCCs); EU-US Data Privacy Framework; Stripe Payments Europe Ltd (Dublin) als EU-Vertragspartner
Groq, Inc.900 De Guigne Dr, Sunnyvale, CA 94085, USAKI-Inferenz-API (Fallback-KI-Assistent, 3. Priorität nach Ollama und Gemini); Vision/OCR für DokumentenverarbeitungKI-Anfragen und -Antworten (nur bei Ausfall der primären KI-Dienste); hochgeladene Bilder zur OCR-VerarbeitungEU-Standardvertragsklauseln (SCCs); EU-US Data Privacy Framework; Daten werden laut Groq-DPA nicht für Modelltraining verwendet
Degeler Consulting e.U.Bruno-Marek-Allee 5/10/6, 1020 Wien, ÖsterreichProduktmanagement und Projektsteuerung; Kundenkommunikation; Vertragsabwicklung; Datenschutzprozessberatung im Zusammenhang mit KITALEVertragsunterlagen; Software- und Administrationszugänge; Kunden-, Kommunikations- und Supportdaten; technische Betriebsinformationen wie Logs oder Infrastrukturinformationen, jeweils nur soweit für die Leistungserbringung erforderlichEntfällt (EU/EWR)

Diese Liste wird vom Auftragsverarbeiter zentral gepflegt und bei Änderungen gemäß § 7.3 dieses AVV aktualisiert. Die jeweils aktuelle Fassung ist unter https://kitale.de/auftragsverarbeitungsvertrag einsehbar. Kunden werden über Änderungen mindestens 30 Tage im Voraus per E-Mail informiert.