Fusion Cars
F

Closed Access

Das Fusion Cars-Portal ist aktuell durch ein Passwort geschützt. Bitte identifiziere dich.

Protected by Fusion Cars

Zurück zur Registrierung

Noch nicht anwaltlich geprüft — Entwurf

Dieser AVV ist ein struktureller Platzhalter und wurde noch nicht von einem Datenschutzbeauftragten oder Rechtsanwalt geprüft. Er wird beim Onboarding automatisch akzeptiert und bedarf einer rechtlichen Prüfung vor dem produktiven Einsatz.

Art. 28 DSGVO

Auftrags­verarbeitungs­vertrag

Fusion Solutions GbR (Auftragsverarbeiter) ↔ Tenant (Verantwortlicher) · Stand: Mai 2026 (Entwurf)

Auftragsverarbeiter

Fusion Solutions GbR

Lange Hecke 16, 64521 Groß-Gerau
Deutschland

Stellt die Fusion Cars Plattform bereit und verarbeitet Endkunden-Daten im Auftrag des Tenants.

Verantwortlicher

Der jeweilige Tenant

Gemäß Registrierungsdaten

Betreibt eine Autovermietung und ist gegenüber seinen Endkunden datenschutzrechtlich verantwortlich.

§ 1 Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten zwischen dem Verantwortlichen (Tenant) und dem Auftragsverarbeiter (Fusion) bei der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Fusion Cars SaaS-Plattform.

Der AVV gilt für die gesamte Laufzeit des Nutzungsvertrags zwischen Tenant und Fusion und endet automatisch mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung

Fusion verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf Weisung des Tenants. Die Verarbeitung erfolgt zum Zweck der Bereitstellung der Plattformfunktionen:

  • Verwaltung von Buchungsdaten der Endkunden des Tenants
  • Verarbeitung von Zahlungen via Stripe Connect (im Auftrag des Tenants)
  • Versand von transaktionalen E-Mails (Buchungsbestätigungen, Erinnerungen)
  • Speicherung von Mietvertragsdaten und digitalen Signaturen
  • Führerschein-Verifikation und KYC-Prozesse (sofern genutzt)

§ 3 Kategorien betroffener Personen und Daten

Betroffene Personen: Endkunden des Tenants (Mietwagen-Kunden)

Kategorien personenbezogener Daten:

  • Identifikationsdaten: Vor- und Nachname, Geburtsdatum
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer
  • Adressdaten: Straße, PLZ, Ort, Land
  • Buchungsdaten: Fahrzeug, Zeitraum, Preis, Extras, Schutzpaket
  • Zahlungsdaten: Zahlungsstatus, Transaktions-ID (keine Kartenrohdaten)
  • Führerscheindaten: Führerscheinnummer, Ausstellungsland, Ablaufdatum
  • Vertragsdaten: Digitale Signatur, Mietvertrag-PDF
  • Consent-Daten: AGB-Akzeptanz-Timestamp, Marketing-Einwilligung

§ 4 Pflichten des Auftragsverarbeiters (Fusion)

Fusion verpflichtet sich:

  • Daten ausschließlich auf dokumentierte Weisung des Tenants zu verarbeiten
  • Zur Verschwiegenheit verpflichtete Personen einzusetzen
  • Alle erforderlichen technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO umzusetzen
  • Den Tenant unverzüglich zu informieren, wenn eine Weisung gegen Datenschutzrecht verstößt
  • Den Tenant bei der Einhaltung seiner DSGVO-Pflichten zu unterstützen (Art. 28 Abs. 3 lit. e, f, g)
  • Den Tenant bei Datenschutzverletzungen gemäß Art. 33, 34 DSGVO unverzüglich (spätestens 72h) zu informieren
  • Alle Daten nach Vertragsende auf Wunsch zurückzugeben oder zu löschen

§ 5 Weisungsbefugnis

Der Tenant ist gegenüber Fusion weisungsbefugt hinsichtlich der Verarbeitung der Endkunden-Daten. Weisungen erteilt der Tenant über die Admin-Oberfläche der Plattform oder schriftlich per E-Mail an hello@fusion-solutions.de.

Fusion verarbeitet die Daten nicht zu eigenen Zwecken und gibt sie nicht an Dritte weiter, es sei denn, der Tenant hat ausdrücklich eingewilligt oder es besteht eine gesetzliche Verpflichtung.

§ 6 Technische und organisatorische Maßnahmen (TOM)

Fusion hat folgende TOM implementiert (Art. 32 DSGVO):

  • Verschlüsselung: TLS 1.3 für alle Datenübertragungen; Datenverschlüsselung at-rest via Supabase
  • Zugriffskontrolle: Row Level Security (RLS) in der Datenbank; Rollen-basierte Zugriffskontrolle
  • Mandantentrennung: Vollständige Datenisolierung zwischen Tenants via tenantId-Filterung
  • Authentifizierung: Supabase Auth mit sicheren Session-Tokens
  • Protokollierung: Audit-Logs für alle datenschutzrelevanten Aktionen
  • Backups: Automatische tägliche Backups via Supabase (Frankfurt, EU)
  • Penetrationstests: [Platzhalter — regelmäßige Tests geplant]

§ 7 Unterauftragsverarbeiter

Fusion setzt folgende Sub-Auftragsverarbeiter ein. Der Tenant stimmt deren Einsatz mit Akzeptanz dieses AVV zu:

  • Supabase Inc. — Datenbankhosting (Frankfurt, Deutschland)
  • Vercel Inc. — Hosting und Edge-CDN (EU-Region)
  • Stripe Inc. — Zahlungsabwicklung (Irland / EU)
  • Resend Inc. / SMTP-Anbieter — Transaktionale E-Mails (USA/EU)
  • Anthropic PBC — KI-Chatbot (USA; EU-Standardvertragsklauseln; Zero-Data-Retention)

Fusion informiert den Tenant über geplante Änderungen bei Unterauftragsverarbeitern. Der Tenant hat das Recht, berechtigte Einwände zu erheben.

§ 8 Rückgabe und Löschung nach Vertragsende

Nach Beendigung des Nutzungsvertrags stellt Fusion dem Tenant auf Anfrage innerhalb von 30 Tagen einen vollständigen Datenexport (JSON/CSV) aller Endkunden-Daten zur Verfügung.

Anschließend werden alle Endkunden-Daten des Tenants unwiderruflich gelöscht. Daten, für die gesetzliche Aufbewahrungspflichten bestehen (z.B. Buchungsbelege nach § 147 AO), werden für die vorgeschriebene Frist aufbewahrt und danach gelöscht.