Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem Salon (nachfolgend „Verantwortlicher") und dem Anbieter von TimeBoss (nachfolgend „Auftragsverarbeiter"). Der Verantwortliche ist für die personenbezogenen Daten seiner Endkunden, Mitarbeiter und Kontakte datenschutzrechtlich verantwortlich. Der Auftragsverarbeiter stellt die technische Plattform bereit und verarbeitet diese Daten ausschließlich im Auftrag des Verantwortlichen.

Refik Ibrahimović (Einzelunternehmen in Gründung) Mattseerstrasse 26 5230 Mattighofen, Österreich E-Mail: info@timeboss.eu Tel: +43 660 5077469 Gewerbeanmeldung in Vorbereitung — Anbieter erbringt Leistungen derzeit unentgeltlich bzw. im Rahmen der Vorbereitungshandlungen gem. § 1 GewO.

Bereitstellung einer SaaS-Plattform für Terminplanung, Kundenkommunikation, Salon-App und Zahlungsabwicklung. Art der Verarbeitung: Erheben, Speichern, Anzeigen, Löschen, Exportieren, Übermitteln an vom Verantwortlichen beauftragte Sub-Systeme (z. B. Push-Versand über Firebase, Zahlungen über Stripe).

Endkunden des Salons, Mitarbeiter des Salons, Interessenten, Bewertende. Kategorien der Daten: Kontaktdaten, Buchungshistorie, Avatar-Bilder, Bewertungen, FCM-Push-Token, Login-/Session-Daten.

Für die Laufzeit des TimeBoss-Hauptvertrages, danach Löschung gemäß Abschnitt 9.

• Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen • Vertraulichkeit aller eingesetzten Personen • Umsetzung technisch-organisatorischer Maßnahmen (siehe Anlage TOM) • Unterstützung bei Auskunfts-, Lösch- und Berichtigungsanfragen • Unterstützung bei Datenschutz-Folgenabschätzung • Meldung von Datenschutzverletzungen innerhalb 48 Stunden • Nachweis der Einhaltung auf Anforderung

• Zugangskontrolle: Passwort-Policy, Firebase Auth Multi-Tenancy, Admin-2FA • Verschlüsselung: TLS 1.2+ im Transit; At-Rest-Verschlüsselung durch Render/Firebase • Zugriffskontrolle: rollenbasiert (Owner/Staff/Admin/SuperAdmin), salonscoped Queries • Trennungskontrolle: Mandantentrennung auf DB-Ebene (tenantId + Prisma Row-Level-Checks) • Backup: tägliche Postgres-Backups (Render), 14 Tage Retention • Audit-Logs: Auth-Events, Booking-Lifecycle, Admin-Aktionen in AuditLog-Tabelle • Löschkonzept: privacyRetention-Job; Recht-auf-Vergessen API pro Kunde

Der Verantwortliche erteilt hiermit seine generelle Zustimmung zum Einsatz folgender Sub-Auftragsverarbeiter: • Google Ireland Ltd. (Firebase Auth/FCM/Hosting) — Irland (EU) + SCC • Stripe Payments Europe Ltd. — Irland (EU) • Render Services, Inc. (Hosting) — EU-Region Frankfurt (Deutschland); SCC für US-Support-Zugriffe • Cloudflare, Inc. — Edge-/CDN- und Schutz-Infrastruktur in der Delivery-Chain öffentlich erreichbarer Dienste • Google LLC (Gemini API, operatorseitige KI-Hilfen) — US • ImageKit.io — Bildspeicherung und Auslieferung • Hostinger International Ltd. — Domain / E-Mail, EU • Apple Distribution International — App-Distribution, EU • Google LLC — Play-Store-Distribution, US Kanonische, fortlaufend aktualisierte Liste inkl. Sitz, Verarbeitungszweck und Rechtsgrundlage: docs/compliance/SUBPROCESSORS.md. Wechsel oder Hinzufügung eines Sub-Auftragsverarbeiters wird mit 30-tägiger Ankündigungsfrist per E-Mail an die im Account hinterlegte Kontaktadresse des Verantwortlichen mitgeteilt; der Verantwortliche hat das Recht, aus wichtigem Grund innerhalb dieser Frist zu widersprechen.

Der Verantwortliche kann einmal jährlich oder anlassbezogen die Einhaltung der TOM überprüfen (Remote-Audit oder schriftliche Auskunft). Kosten der Prüfung trägt der Verantwortliche, außer bei nachgewiesenen Verstößen.

Nach Ende des Hauptvertrages werden die Daten des Verantwortlichen auf Verlangen exportiert (CSV/JSON) und innerhalb von 30 Tagen vollständig gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Die Haftung richtet sich nach Art. 82 DSGVO und den Hauptvertrags-AGB. Im Innenverhältnis haftet jede Partei anteilig für ihren jeweiligen Verantwortungsbereich.

Änderungen bedürfen der Textform. Es gilt österreichisches Recht. Gerichtsstand Mattighofen. Bei Widersprüchen zwischen AVV und Hauptvertrag geht der AVV vor, soweit Datenschutz betroffen ist.

Folgende Anlagen sind Bestandteil dieses Vertrages: • Anlage 1 — Gegenstand, Art und Zweck der Verarbeitung: entspricht Abschnitt 2 dieses Vertrages. • Anlage 2 — Kategorien betroffener Personen und Datenkategorien: entspricht Abschnitt 3 dieses Vertrages. • Anlage 3 — Technische und Organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO: zusammenfassend in Abschnitt 6 dieses Vertrages; ausführliches eigenständiges Dokument unter docs/legal/TimeBoss_TOMs_Technische_Organisatorische_Massnahmen.html (auf Anfrage als PDF). • Anlage 4 — Sub-Auftragsverarbeiter: entspricht Abschnitt 7 dieses Vertrages; kanonische, fortlaufend aktualisierte Liste unter docs/compliance/SUBPROCESSORS.md bzw. auf Anfrage. Die Anlagen werden bei Änderungen der Plattformarchitektur oder der Sub-Auftragsverarbeiter aktualisiert. Wesentliche Änderungen werden mit 30 Tagen Vorlauf an die im Account hinterlegte Kontaktadresse des Verantwortlichen mitgeteilt.