Auftragsverarbeitungsvertrag

Umfang der Verarbeitung

Kai verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der Plattform für gemeinsame Vermögensverwaltung, wie in den Nutzungsbedingungen beschrieben. Die Verarbeitung umfasst Speicherung, Abruf, Anzeige und Löschung von Daten gemäß den Anweisungen des Controllers durch die normale Nutzung der Plattform.

Kategorien verarbeiteter Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Identitätsdaten: Name, E-Mail-Adresse, Profilbild
• Kontaktdaten: Telefonnummer, Rechnungsadresse
• Finanzdaten: IBAN, Rechnungsinformationen, Rechnungsunterlagen
• Nutzungsdaten: Buchungen, Nutzungsprotokolle, Ausgabenaufzeichnungen, Wartungsprotokolle
• Kommunikationsdaten: Nachrichten, Support-Tickets
• Technische Daten: IP-Adresse, Browsertyp, Einwilligungsaufzeichnungen

Sicherheitsmaßnahmen

Kai implementiert die folgenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten:

• Verschlüsselung bei der Übertragung (TLS 1.3) und im Ruhezustand (AES-256)
• Sicherheit auf Zeilenebene zur Datenisolierung zwischen Gruppen
• Rollenbasierte Zugriffskontrolle mit dem Prinzip der geringsten Berechtigung
• Automatisierte tägliche Backups mit Point-in-Time-Recovery
• Regelmäßige Sicherheitsaudits und Penetrationstests
• Keine personenbezogenen Daten werden an die Fehlerüberwachung gesendet

Unterauftragsverarbeiter

Kai setzt die folgenden Unterauftragsverarbeiter ein. Der Controller wird über Änderungen an dieser Liste informiert:

• Supabase (AWS Frankfurt, EU) — Datenbank und Authentifizierung
• Stripe (EU/US, SCC) — Zahlungsabwicklung
• Resend (US, SCC) — E-Mail-Zustellung
• Sentry (EU) — Fehlerüberwachung (ohne PII)
• Vercel (EU) — Anwendungs-Hosting
• Google Analytics & Ads (US, DPF) — Analytik und Werbung (einwilligungsabhängig)
• Firebase / Google Cloud (EU) — Dateispeicherung
• Cloudinary (US, SCC) — Bildoptimierung

Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Kai den Controller unverzüglich und spätestens 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen. Die Benachrichtigung umfasst die Art der Verletzung, die Kategorien und die ungefähre Anzahl betroffener Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

Rechte der Betroffenen

Kai unterstützt den Controller bei der Erfüllung von Anfragen betroffener Personen, einschließlich:

• Auskunftsrecht — Benutzer können alle ihre Daten auf der Plattform einsehen
• Recht auf Berichtigung — Benutzer können ihr Profil und ihre Daten aktualisieren
• Recht auf Löschung — die Kontolöschung entfernt alle personenbezogenen Daten
• Recht auf Datenübertragbarkeit — Benutzer können alle ihre Daten als JSON exportieren
• Recht auf Widerruf der Einwilligung — Cookie-Einstellungen können jederzeit geändert werden

Datenrückgabe und Löschung

Bei Beendigung des Vertrags wird Kai alle im Auftrag des Controllers verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen löschen, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist. Der Controller kann seine Daten jederzeit vor der Beendigung über die integrierten Exportfunktionen der Plattform exportieren.

Kontakt

Bei Fragen zu diesem DPA oder zur Anforderung einer unterzeichneten Kopie kontaktieren Sie uns unter [email protected]