Allgemeine Geschäftsbedingungen (AGB) für die Nutzung von RoadReview
1. Geltungsbereich
(1) Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Verträge zwischen der RoadReview GmbH, Alfred-Nobel-Straße 29, 50226 Frechen, Deutschland (im Folgenden „Anbieter“) und Fahrschulen im DACH-Raum (Deutschland, Österreich, Schweiz) als Kunden (im Folgenden „Nutzer“), die die Softwarelösung RoadReview zur Dokumentation und Analyse von Fahrstunden nutzen.
(2) Das Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, nicht an Verbraucher.
(3) Bestandteil jedes Vertrags sind diese AGB einschließlich der Anlage 1 (Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO) und der Anlage 2 (Liste der Unterauftragsverarbeiter und Dienstleister).
2. Vertragsgegenstand
(1) Der Anbieter stellt die Softwarelösung RoadReview (Apps für iOS und Android einschließlich Begleit-Apps, Server- und Verwaltungsdienste) zur Verfügung. RoadReview ermöglicht es Fahrschulen, Fahrstunden zu dokumentieren — einschließlich Streckenverlauf, Fahrfehlern mit Position und Medien, Bewertungen und Notizen —, den Ausbildungsfortschritt zu verwalten und die Inhalte für Fahrschüler, Fahrlehrer und (auf Einladung des Fahrschülers) Eltern bereitzustellen.
(2) Der Anbieter entwickelt die Software laufend weiter. Der Funktionsumfang kann sich im Rahmen der Weiterentwicklung ändern, sofern der vertragswesentliche Kern (Dokumentation und Verwaltung der Fahrausbildung) erhalten bleibt und die Änderung für den Nutzer unter Berücksichtigung seiner berechtigten Interessen zumutbar ist. Als Beta oder Test gekennzeichnete Funktionen werden ohne Gewähr bereitgestellt und können jederzeit geändert oder entfernt werden.
3. Registrierung und Vertragsschluss
(1) Der Vertrag kommt durch die Registrierung der Fahrschule und die Freischaltung durch den Anbieter zustande, spätestens jedoch mit dem ersten Erwerb von Schülerlizenzen.
(2) Mit der Registrierung akzeptiert der Nutzer diese AGB einschließlich der Anlagen sowie die Datenschutzerklärung.
(3) Die Annahme der AGB wird bei der Registrierung ausdrücklich erklärt; die jeweils geltende Fassung wird dem Nutzer in speicher- und druckbarer Form bereitgestellt.
4. Lizenzmodell und Nutzungsrechte
(1) Schülerlizenzen: Die Nutzung von RoadReview wird nach Fahrschülern abgerechnet. Der Nutzer erwirbt im Voraus ein Kontingent an Schülerlizenzen (z. B. ein Paket mit 15 Schülerlizenzen) und kann diese eigenständig an seine Fahrschüler vergeben. Mit der Vergabe an einen Fahrschüler ist die Lizenz verbraucht; sie berechtigt diesen Fahrschüler zur Nutzung der App für die Dauer seiner Ausbildung beim Nutzer. Die Ausbildung gilt als beendet, wenn der Nutzer den Fahrschüler in der App deaktiviert oder die Verknüpfung zwischen Fahrschüler und Fahrschule endet.
(2) Erworbene Schülerlizenzen sind unbegrenzt gültig und verfallen nicht; noch nicht vergebene Lizenzen können jederzeit vergeben werden. Eine vergebene Lizenz ist nicht auf einen anderen Fahrschüler übertragbar; der Anbieter kann hiervon auf Anfrage Ausnahmen zulassen (z. B. bei versehentlicher Vergabe vor erster Nutzung).
(3) Fahrlehrer- und Verwaltungskonten: Die Anzahl der Fahrlehrer- und Verwaltungskonten des Nutzers ist nicht beschränkt und verursacht keine zusätzlichen Lizenzkosten. Konten dürfen nur für eigene Mitarbeiter bzw. für den Nutzer tätige Fahrlehrer angelegt werden.
(4) Jedes Konto ist personengebunden. Die gemeinsame Nutzung eines Kontos durch mehrere Personen ist nicht gestattet.
(5) Der Nutzer erhält ein nicht ausschließliches, nicht übertragbares Recht zur Nutzung der Software für die in diesen AGB beschriebenen Zwecke. Der Weiterverkauf, die Dekompilierung, das Reverse Engineering oder eine anderweitige Verwertung der Software ohne schriftliche Genehmigung des Anbieters ist untersagt, soweit nicht gesetzlich zwingend erlaubt (§§ 69d, 69e UrhG).
5. Preise und Zahlung
(1) Es gelten die zum Zeitpunkt der Bestellung vereinbarten Preise bzw. die aktuelle Preisliste des Anbieters. Schülerlizenz-Kontingente werden im Voraus erworben und sind nach Rechnungsstellung ohne Abzug zur Zahlung fällig.
(2) Es bestehen keine laufenden Grundgebühren, keine Gebühren pro Fahrlehrer und keine Mindestabnahmemengen. Einrichtungs-, Schulungs- oder Sonderleistungen werden nur erbracht und berechnet, soweit sie gesondert vereinbart wurden.
(3) Bezahlte Schülerlizenzen werden nicht erstattet; im Gegenzug verfallen sie nicht (Ziffer 4 Abs. 2, Ziffer 6 Abs. 2). Gesetzliche Rückabwicklungsansprüche — insbesondere bei einer vom Anbieter zu vertretenden außerordentlichen Vertragsbeendigung — bleiben unberührt.
(4) Der Nutzer ist berechtigt, seinen Fahrschülern für die Nutzung von RoadReview eine Gebühr in Rechnung zu stellen und die Einnahmen eigenständig zu verwalten.
(5) Schülerlizenz-Kontingente werden nach Zahlungseingang freigeschaltet. Gerät der Nutzer mit fälligen Zahlungen in Verzug, kann der Anbieter nach Mahnung und angemessener Nachfrist die Vergabe neuer Lizenzen und die Verwaltungsfunktionen sperren; bereits vergebene Schülerzugänge bleiben von der Sperre unberührt.
6. Laufzeit und Kündigung
(1) Der Vertrag läuft auf unbestimmte Zeit. Es besteht keine Mindestlaufzeit. Beide Parteien können den Vertrag jederzeit in Textform kündigen.
(2) Nach Wirksamwerden einer Kündigung können keine neuen Schülerlizenzen mehr erworben werden. Bereits erworbene Lizenzen verfallen nicht: Vergebene Lizenzen bleiben für die Ausbildung der betreffenden Fahrschüler nutzbar, und noch nicht vergebene Lizenzen können auch nach Vertragsende weiterhin vergeben werden. Für diese fortgesetzte Nutzung gelten diese AGB einschließlich der Anlagen entsprechend fort.
(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Bei fristloser Kündigung durch den Anbieter wegen Missbrauchs oder schwerwiegender Verstöße gegen diese AGB erfolgt keine Erstattung nicht verbrauchter Lizenzen; dem Nutzer bleibt der Nachweis gestattet, dass dem Anbieter kein oder ein wesentlich geringerer Schaden entstanden ist.
(4) Nach Vertragsende richtet sich der Umgang mit den gespeicherten Daten nach § 8 der Vereinbarung zur Auftragsverarbeitung (Anlage 1), einschließlich der dort geregelten gesetzlichen Aufbewahrungsfristen.
7. Pflichten des Nutzers
(1) Der Nutzer verpflichtet sich, RoadReview ausschließlich gemäß den geltenden Gesetzen und diesen AGB zu nutzen. Missbräuchliche Nutzungen — insbesondere die unbefugte Weitergabe von Zugängen an Dritte, gezielte Überlastung der Systeme, Dekompilierung oder Weitergabe an Mitbewerber — sind untersagt und berechtigen den Anbieter zur fristlosen Kündigung und gegebenenfalls zur Einleitung rechtlicher Schritte. Soweit der Verstoß nicht so schwer wiegt, dass die Fortsetzung des Vertrags für den Anbieter unzumutbar ist, geht der fristlosen Kündigung eine Abmahnung mit angemessener Abhilfefrist voraus.
(2) Der Nutzer hält Zugangsdaten geheim und sorgt dafür, dass seine Fahrlehrer dies ebenfalls tun. Konten ausgeschiedener Mitarbeiter sind unverzüglich zu deaktivieren.
(3) Datenschutzrechtliche Verantwortung: Der Nutzer ist Verantwortlicher im Sinne der DSGVO für die Verarbeitung der Ausbildungsdaten seiner Fahrschüler; der Anbieter verarbeitet diese Daten als Auftragsverarbeiter gemäß Anlage 1. Der Nutzer stellt sicher, dass
a) seine Fahrschüler vor Beginn der Dokumentation gemäß Art. 13/14 DSGVO über die Datenverarbeitung informiert werden (der Anbieter stellt hierfür die Datenschutzerklärung der App sowie auf Wunsch eine Muster-Datenschutzinformation bereit),
b) für die Verarbeitung eine Rechtsgrundlage besteht, auch im Hinblick auf minderjährige Fahrschüler, und
c) seine Fahrlehrer die App nur bestimmungsgemäß einsetzen.
(4) Standortaufzeichnung: Die Aufzeichnung des Streckenverlaufs erfolgt ausschließlich über das Gerät des Fahrlehrers, das während der Fahrstunde mitgeführt wird; der Fahrlehrer zeichnet damit technisch die von ihm begleitete Fahrt auf. Eine Ortung des Fahrschülers oder seines Endgeräts findet nicht statt. Die aufgezeichnete Strecke wird der dokumentierten Fahrstunde und damit der Ausbildung des jeweiligen Fahrschülers zugeordnet. Der Nutzer informiert seine Fahrschüler über diese Dokumentation (Abs. 3 lit. a).
8. Übungsorte-Netzwerk
(1) Der Nutzer kann am schulübergreifenden Übungsorte-Netzwerk teilnehmen. Dabei werden anonymisierte und aggregierte Fehlerdaten zur Identifikation häufig auftretender Fahraufgaben und Gefahrenstellen verwendet. Die Teilnahme ist standardmäßig aktiviert und kann jederzeit in den Einstellungen deaktiviert werden (vgl. § 10 Abs. 2 der Anlage 1).
(2) Der Anbieter stellt sicher, dass Netzwerk-Übungsorte ausschließlich auf Basis aggregierter Daten mehrerer Fahrschulen erzeugt werden und keine Rückschlüsse auf einzelne Personen oder Fahrschulen möglich sind. Zur automatisierten Kategorisierung und Benennung von Übungsorten können aggregierte Fehlerkategorien, Kommentartexte der Fahrlehrer und statistische Angaben an externe KI-Dienstleister übermittelt werden; Standortkoordinaten, Schulkennungen, Zeitstempel oder Medieninhalte werden dabei nicht übertragen.
9. Nutzung anonymisierter Daten
(1) Der Anbieter ist berechtigt, die im Rahmen der Nutzung von RoadReview erhobenen Daten — insbesondere Strecken-, Fehler- und Gefahrenstellen-Daten aus dokumentierten Fahrten — in anonymisierter bzw. aggregierter Form zu eigenen Zwecken zu nutzen, kommerziell zu verwerten, an Dritte weiterzugeben oder zu verkaufen und in andere Produkte und Dienste einzubinden (z. B. Verkehrs- und Mobilitätsauswertungen). Die Anonymisierung erfolgt so, dass kein Bezug zu einzelnen Personen oder Fahrschulen mehr herstellbar ist; Einzelheiten und die datenschutzrechtliche Gestattung regelt § 10 der Anlage 1.
(2) Eine Weitergabe oder ein Verkauf personenbezogener Daten an Dritte zu deren eigenen Zwecken findet nicht statt; sollte dies künftig beabsichtigt sein, erfolgt es nur mit ausdrücklicher Einwilligung der betroffenen Personen.
10. Verfügbarkeit, Updates und Support
(1) Der Anbieter schuldet eine Verfügbarkeit der serverseitigen Dienste von 95 % im Monatsmittel, gemessen am Übergabepunkt der Server-Infrastruktur. Geplante Wartungsarbeiten (Ankündigung mindestens 48 Stunden im Voraus, Durchführung soweit möglich außerhalb üblicher Nutzungszeiten) sowie Ausfälle durch höhere Gewalt oder sonstige vom Anbieter nicht zu vertretende Umstände gelten nicht als Ausfallzeit. Die gesetzlichen Rechte des Nutzers bei Mängeln (insbesondere Minderung) bleiben unberührt.
(2) Der Anbieter stellt regelmäßige Updates bereit, um die Software funktionsfähig und sicher zu halten. Infolge von Updates kann die Unterstützung älterer Betriebssystemversionen entfallen; ein Erstattungsanspruch entsteht hierdurch nicht, sofern die Software auf marktüblichen aktuellen Geräten nutzbar bleibt.
11. Haftung
(1) Der Anbieter haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit, für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie nach dem Produkthaftungsgesetz.
(2) Bei einfacher Fahrlässigkeit haftet der Anbieter nur für die Verletzung wesentlicher Vertragspflichten (Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf), und zwar begrenzt auf den vertragstypischen, vorhersehbaren Schaden.
(3) Im Übrigen ist die Haftung ausgeschlossen. Die Haftung wegen arglistigen Verschweigens eines Mangels sowie aus der Übernahme einer Garantie bleibt unberührt. Insbesondere haftet der Anbieter nicht für Schäden, die dadurch entstehen, dass Fahrlehrer die App entgegen der bestimmungsgemäßen Nutzung während der Fahrt in einer Weise bedienen, die sie vom Verkehrsgeschehen ablenkt; die Verantwortung für die sichere Durchführung der Fahrstunde liegt beim Fahrlehrer bzw. Nutzer.
(4) Die verschuldensunabhängige Haftung für anfängliche Mängel (§ 536a Abs. 1 Alt. 1 BGB) ist ausgeschlossen.
(5) Der Nutzer ist für die regelmäßige Sicherung eigener, außerhalb von RoadReview vorgehaltener Daten selbst verantwortlich. Für die in RoadReview gespeicherten Daten trifft der Anbieter die in Unteranlage 2 der Anlage 1 (technische und organisatorische Maßnahmen) beschriebenen Sicherungsmaßnahmen.
12. Datenschutz und Datenaufbewahrung
(1) Die Verarbeitung personenbezogener Daten erfolgt gemäß den gesetzlichen Vorschriften. Für die Ausbildungsdaten der Fahrschüler ist der Nutzer Verantwortlicher; der Anbieter verarbeitet sie auf Grundlage der Vereinbarung zur Auftragsverarbeitung (Anlage 1). Die eingesetzten Unterauftragsverarbeiter und Dienstleister ergeben sich aus Anlage 2. Einzelheiten zur Datenverarbeitung in der App und zu den Rechten der betroffenen Personen regelt die Datenschutzerklärung der RoadReview-App.
(2) Aufbewahrung: Die im Rahmen der Nutzung gespeicherten Daten werden so lange aufbewahrt, wie es gesetzlich vorgeschrieben bzw. zulässig ist — insbesondere für die Dauer der Aufzeichnungs- und Aufbewahrungspflichten der Fahrschule nach § 31 Fahrlehrergesetz (fünf Jahre nach Ablauf des Jahres, in dem der Unterricht abgeschlossen wurde) sowie der handels- und steuerrechtlichen Fristen (§ 147 AO, § 257 HGB). Der Nutzer weist den Anbieter gemäß § 8 der Anlage 1 an, die betreffenden Daten für die Dauer dieser Fristen gespeichert zu halten. Lösch- und Auskunftsersuchen betroffener Personen werden nach Maßgabe der DSGVO und der Anlage 1 bearbeitet; gesetzliche Aufbewahrungspflichten können der Löschung einzelner Daten für die Dauer der jeweiligen Frist entgegenstehen.
13. Änderungen der AGB
(1) Der Anbieter kann diese AGB mit Wirkung für die Zukunft anpassen, soweit hierfür ein berechtigter Anlass besteht (z. B. Gesetzesänderungen, Rechtsprechung oder Weiterentwicklung der Software) und die Änderung dem Nutzer zumutbar ist.
(2) Änderungen werden dem Nutzer mindestens 30 Tage vor Wirksamwerden in der App und/oder per E-Mail mitgeteilt. Widerspricht der Nutzer nicht innerhalb der Frist oder stimmt er in der App zu, gelten die geänderten AGB; hierauf wird in der Mitteilung hingewiesen. Im Fall des Widerspruchs steht beiden Parteien ein Kündigungsrecht gemäß Ziffer 6 zu.
(3) Die Zustimmungsfiktion nach Abs. 2 gilt nicht für Änderungen, die die Hauptleistungspflichten der Parteien, das Lizenzmodell oder die Preise betreffen oder das Verhältnis von Leistung und Gegenleistung zulasten des Nutzers verschieben; solche Änderungen bedürfen der ausdrücklichen Zustimmung des Nutzers (z. B. in der App oder mit dem nächsten Lizenzerwerb).
14. Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist — soweit gesetzlich zulässig — der Sitz des Anbieters. Der Anbieter ist berechtigt, den Nutzer auch an dessen allgemeinem Gerichtsstand zu verklagen.
(3) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Individuelle Vertragsabreden haben Vorrang und können formlos getroffen werden (§ 305b BGB).
(4) Der Nutzer kann nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen oder ein Zurückbehaltungsrecht geltend machen. Die Abtretung von Rechten aus diesem Vertrag bedarf der Zustimmung der jeweils anderen Partei; der Anbieter darf den Vertrag auf ein mit ihm verbundenes Unternehmen übertragen, sofern die Vertragserfüllung dadurch nicht gefährdet wird.
(5) Übergangsregelung für Bestandskunden: Für Verträge, die vor Inkrafttreten dieser AGB mit der The CodeCave GmbH geschlossen wurden, gelten diese AGB und der Wechsel des Vertragspartners auf die RoadReview GmbH erst, wenn die Fahrschule der Vertragsübernahme ausdrücklich zugestimmt hat. Bestehende Lizenzen werden dabei einvernehmlich in das Schülerlizenz-Modell überführt; bis zur Zustimmung gilt der bisherige Vertrag fort.
(6) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, wird die Gültigkeit der übrigen Bestimmungen davon nicht berührt.
RoadReview GmbH · Alfred-Nobel-Straße 29 · 50226 Frechen · Deutschland Geschäftsführer: Aleksandar Vuk Jovanovic, Tilman Kieselbach · HRB 46351, Amtsgericht Bielefeld USt-IdNr.: DE457364602 · E-Mail: info@thecodecave.de · Telefon: +49 176 56829883
Anlage 1 — Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO
zwischen
der Fahrschule als Kundin der RoadReview GmbH gemäß Hauptvertrag/AGB — nachfolgend „Verantwortlicher“ —
und der
RoadReview GmbH, Alfred-Nobel-Straße 29, 50226 Frechen, vertreten durch die Geschäftsführer Aleksandar Vuk Jovanovic und Tilman Kieselbach — nachfolgend „Auftragsverarbeiter“ —
Diese Vereinbarung ist Bestandteil des Vertrags über die Nutzung der RoadReview-Software (nachfolgend „Hauptvertrag“) und gilt mit dessen Abschluss, ohne dass es einer gesonderten Unterzeichnung bedarf.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen die RoadReview-App und zugehörige Dienste zur digitalen Dokumentation und Verwaltung der Fahrausbildung bereit. Dabei verarbeitet er personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen im Sinne von Art. 28 DSGVO.
(2) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags. Pflichten, die ihrer Natur nach über das Vertragsende hinauswirken (insbesondere §§ 8 und 10), bleiben unberührt.
§ 2 Umfang der Verarbeitung
(1) Gegenstand, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen sind in Unteranlage 1 beschrieben.
(2) Die Verarbeitung findet grundsätzlich in der Europäischen Union statt (Hosting: Frankfurt am Main). Übermittlungen in Drittländer erfolgen ausschließlich über die in Anlage 2 der AGB genannten Unterauftragsverarbeiter und Dienste und nur, sofern die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (Angemessenheitsbeschluss, insbesondere EU-U.S. Data Privacy Framework, oder EU-Standardvertragsklauseln). Die Genehmigung der in Anlage 2 der AGB genannten Unterauftragsverarbeiter gilt zugleich als dokumentierte Weisung des Verantwortlichen für die dort beschriebenen Drittlandübermittlungen.
§ 3 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation —, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zu einer Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO). Als dokumentierte Weisungen gelten der Hauptvertrag, diese Vereinbarung sowie die Nutzung der Funktionen der Software durch den Verantwortlichen und seine Fahrlehrer (z. B. das Anlegen einer Fahrstunde, das Starten einer Fahrtaufzeichnung, das Erstellen einer Sprachnotiz).
(2) Einzelweisungen darüber hinaus bedürfen der Textform und sind an die RoadReview GmbH unter aleks@roadreview.de zu richten.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Er darf die Umsetzung der Weisung bis zur Bestätigung oder Änderung aussetzen.
§ 4 Vertraulichkeit
Der Auftragsverarbeiter setzt nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Der Zugriff auf personenbezogene Daten erfolgt nach dem Need-to-know-Prinzip.
§ 5 Sicherheit der Verarbeitung
(1) Der Auftragsverarbeiter trifft die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, die in Unteranlage 2 beschrieben sind.
(2) Die Maßnahmen dürfen an den Stand der Technik angepasst und weiterentwickelt werden, sofern das Schutzniveau dabei nicht unterschritten wird. Wesentliche Änderungen werden in Unteranlage 2 dokumentiert.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 2 der AGB („Liste der Unterauftragsverarbeiter und Dienstleister“) genannten Unterauftragsverarbeiter. Die jeweils aktuelle Liste ist unter roadreview.de abrufbar.
(2) Beabsichtigte Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) teilt der Auftragsverarbeiter dem Verantwortlichen mindestens 30 Tage vorab per E-Mail an die hinterlegte Admin-Adresse mit. Der Verantwortliche kann der Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen; im Fall des Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht des Hauptvertrags zu, sofern keine zumutbare Abhilfe möglich ist.
(3) Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in dieser Vereinbarung festgelegt sind (Art. 28 Abs. 4 DSGVO). Er haftet gegenüber dem Verantwortlichen für die Einhaltung der Pflichten seiner Unterauftragsverarbeiter.
(4) Erster Unterauftragsverarbeiter ist die The CodeCave GmbH (Frechen, HRB 44492 AG Bielefeld) als technischer Partner für Entwicklung und Betrieb; weitere Unterauftragsverarbeiter (Hosting, Cloud-Dienste, KI-Transkription) sind in Anlage 2 der AGB aufgeführt, teilweise unter Vertrag der The CodeCave GmbH (Unterauftragsverarbeiter zweiter Stufe).
§ 7 Unterstützung des Verantwortlichen
(1) Betroffenenrechte: Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen nach Art. 12–23 DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) zu beantworten. Gehen Anträge betroffener Personen direkt beim Auftragsverarbeiter ein, leitet er sie unverzüglich an den Verantwortlichen weiter, soweit sie dessen Verantwortungsbereich betreffen.
(2) Datenschutzverletzungen: Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die Auftragsdaten betrifft, unverzüglich nach Kenntniserlangung an die hinterlegte Admin-Adresse. Die Meldung enthält, soweit verfügbar, die Angaben nach Art. 33 Abs. 3 DSGVO. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).
(3) Datenschutz-Folgenabschätzung: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen (Art. 35, 36 DSGVO) mit den ihm verfügbaren Informationen.
§ 8 Löschung und Rückgabe nach Auftragsende
(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter die Auftragsdaten oder gibt sie auf Wunsch des Verantwortlichen in einem gängigen Format heraus, nach dessen Wahl.
(2) Soweit der Verantwortliche gesetzlichen Aufbewahrungspflichten unterliegt — insbesondere für Ausbildungsaufzeichnungen nach § 31 Fahrlehrergesetz (fünf Jahre nach Ablauf des Jahres, in dem der Unterricht abgeschlossen wurde) sowie für abrechnungsrelevante Unterlagen nach § 147 AO / § 257 HGB —, weist er den Auftragsverarbeiter hiermit an, die betreffenden Daten für die Dauer der jeweiligen Frist gespeichert zu halten und in der Verarbeitung einzuschränken; diese Vereinbarung gilt insoweit über das Vertragsende hinaus fort (§ 1 Abs. 2). Nach Fristablauf werden die Daten gelöscht oder anonymisiert. Alternativ kann der Verantwortliche jederzeit die Herausgabe der betreffenden Daten und anschließende Löschung verlangen.
(3) Eigene gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters (z. B. für Rechnungs- und Vertragsdaten im Verhältnis zum Verantwortlichen) bleiben unberührt; insoweit ist der Auftragsverarbeiter selbst Verantwortlicher.
(4) Auf Verlangen bestätigt der Auftragsverarbeiter die Löschung in Textform.
§ 9 Nachweise und Kontrollen
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO), insbesondere die Beschreibung der technischen und organisatorischen Maßnahmen (Unteranlage 2) und die Liste der Unterauftragsverarbeiter (Anlage 2 der AGB).
(2) Der Verantwortliche kann Kontrollen — auch durch beauftragte Dritte, die nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen — durchführen. Kontrollen vor Ort erfolgen nach vorheriger Ankündigung mit angemessener Frist, höchstens einmal jährlich, während der üblichen Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs; weitergehende Kontrollen bei konkretem Anlass (z. B. Datenschutzverletzung) bleiben unberührt.
§ 10 Anonymisierung und eigenverantwortliche Verarbeitungen
(1) Gestattung der Anonymisierung: Der Verantwortliche weist den Auftragsverarbeiter an bzw. gestattet ihm, Auftragsdaten (insbesondere Strecken-, Fehler- und Gefahrenstellen-Daten) so zu anonymisieren bzw. zu aggregieren, dass kein Bezug zu betroffenen Personen oder zum Verantwortlichen mehr herstellbar ist, und die so anonymisierten Daten zu eigenen Zwecken zu nutzen (z. B. Verkehrs- und Mobilitätsauswertungen, Produktentwicklung und -verbesserung, schulübergreifende Übungsorte, Bereitstellung an Dritte). Diese Gestattung gilt als dokumentierte Weisung im Sinne von Art. 28 Abs. 3 lit. a DSGVO. Für die anonymisierten Daten gilt die DSGVO nicht; ihre Nutzung erfolgt in eigener Verantwortung des Auftragsverarbeiters.
(2) Übungsorte-Netzwerk: Sofern die Teilnahme aktiviert ist, fließen dokumentierte Fehler- und Gefahrenstellen ausschließlich anonymisiert und aggregiert gemäß Abs. 1 in schulübergreifende Auswertungen ein; der Verantwortliche kann die Teilnahme jederzeit in den Einstellungen deaktivieren.
(3) Eigenverantwortliche Verarbeitungen: Nicht Gegenstand dieser Auftragsverarbeitung sind Verarbeitungen, für die die RoadReview GmbH selbst Verantwortlicher ist. Dies sind insbesondere: die Verwaltung der Nutzerkonten und Authentifizierung einschließlich der Telefonnummer-Verifikation und der Information des Verantwortlichen über Neuregistrierungen, die Absturz- und Fehleranalyse, die Nutzungsanalyse zur Produktverbesserung, das In-App-Feedback sowie die Nutzung anonymisierter Daten gemäß Abs. 1 (vgl. Ziffern 2, 5.2, 5.3, 6.8 und 7–9 der Datenschutzerklärung der RoadReview-App).
§ 11 Haftung und Schlussbestimmungen
(1) Für die Haftung gilt Art. 82 DSGVO; im Übrigen gelten die Haftungsregelungen des Hauptvertrags.
(2) Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag geht diese Vereinbarung in Bezug auf den Datenschutz vor. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Unteranlage 1 — Gegenstand der Verarbeitung
Zweck: Digitale Dokumentation und Verwaltung der Fahrausbildung (Fahrstunden, Fahrfehler, Ausbildungsnachweise, Lernfortschritt) einschließlich Bereitstellung der Inhalte für Fahrschüler, Fahrlehrer und — auf Einladung des Fahrschülers — Eltern.
Kategorien betroffener Personen:
Fahrschülerinnen und Fahrschüler des Verantwortlichen (auch Minderjährige, z. B. BF17)
Fahrlehrerinnen und Fahrlehrer sowie Verwaltungspersonal des Verantwortlichen
Eltern/Erziehungsberechtigte mit Lese-Zugang (soweit vom Fahrschüler eingeladen)
Arten personenbezogener Daten:
Kategorie Daten
Stammdaten Fahrschüler Vor-/Nachname, E-Mail, Mobilfunknummer (inkl. Verifikationsstatus), Anschrift, Führerscheinklasse, Schulzuordnung
Stammdaten Fahrlehrer / Verwaltung Vor-/Nachname, E-Mail, Rolle in der Fahrschule; Verwaltungskontakt der Fahrschule (Admin-E-Mail)
Fahrstunden Datum, Dauer, Distanz, Typ, Getriebeart, Bewertungen, Notizen (inkl. nur für Fahrlehrer sichtbarer Notizen), per KI erstellte Stundenzusammenfassungen
Standortdaten GPS-Streckenverlauf der dokumentierten Fahrt (Position, Fahrtrichtung, Geschwindigkeit, Zeitstempel), Positionen von Fahrfehlern und Ausbildungsaufgaben
Fahrfehler Art, Kategorie, Beschreibung, Position, Zeitpunkt
Gefahrenmeldungen Von Fahrlehrern gemeldete Gefahrenstellen: Typ, Position, meldender Fahrlehrer (Anzeigedauer 1 Stunde bis 7 Tage; Löschung der Datensätze gemäß § 8)
Medien Fotos, Videos und Sprachaufnahmen zu Fahrfehlern; Audio-Anweisungen der Fahrlehrer zu Ausbildungsaufgaben. Sprachnotizen zur Stundenzusammenfassung werden vom Auftragsverarbeiter nicht gespeichert, sondern nur zur Transkription an den Unterauftragsverarbeiter OpenAI übermittelt (dortige Speicherung max. 30 Tage, vgl. Anlage 2 der AGB); gespeichert wird das Textergebnis
Ausbildungsfortschritt Ausbildungsdiagrammkarte, Pflichtstunden, Prüfreife-Einschätzung, Selbsteinschätzungen, Lernaktivität (angesehene Fehler, Lernfortschritts-Punkte)
Eltern-Zugang Zugriffstoken (nur als Hash gespeichert), optionale Bezeichnung der Einladung, Gültigkeit/Widerruf
Technische Daten Push-Kennungen (FCM-Token), Geräte-/App-Informationen
Klarstellung: Der Prozess der Telefonnummer-Verifikation (SMS-Versand) erfolgt in eigener Verantwortung des Auftragsverarbeiters (§ 10 Abs. 3); Gegenstand der Auftragsverarbeitung ist nur der gespeicherte Verifikationsstatus als Teil der Stammdaten.
Art der Verarbeitung: Erhebung über die App, Speicherung, Anzeige für Berechtigte, Auswertung (z. B. Heatmaps, Lernfortschritt), Übermittlung an Unterauftragsverarbeiter und Dienste gemäß Anlage 2 der AGB, Anonymisierung gemäß § 10 Abs. 1, Löschung.
Unteranlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Zugangs- und Zugriffskontrolle
Alle personenbezogenen App-Endpunkte erfordern ein serverseitig geprüftes Firebase-Identitäts-Token; der Eltern-Lesezugriff ein eigenes signiertes, widerrufbares Zugriffstoken; interne Verwaltungsschnittstellen einen geheimen API-Schlüssel
Rollen- und mandantenbasierte Berechtigungen für die regulären App-Zugriffe: Daten sind der jeweiligen Fahrschule zugeordnet; Fahrschüler sehen nur ihre eigenen Daten, Eltern nur per Token freigegebene Inhalte
Zugriff von Administratoren/Entwicklern nach dem Need-to-know-Prinzip
Übertragungskontrolle
Verschlüsselte Übertragung sämtlicher Daten (TLS/HTTPS)
Zugriff auf Mediendateien ausschließlich über kurzlebige signierte URLs (5 Minuten gültig); keine öffentlichen Speicher
Zugriff auf die Datenbank durch IP-Firewall (Trusted Sources) auf das Server-Cluster und einzelne administrative Zugänge beschränkt
Pseudonymisierung und Datenminimierung
SMS-Einmalcodes nur als HMAC-Hash, IP-Adressen für Rate-Limits nur als gesalzener Hash (48 h), Eltern-Zugangstokens nur als SHA-256-Hash gespeichert
Fehleranalyse ohne SQL-Parameter und ohne Telefonnummern; Crash-Berichte können Bildschirmfotos des Fehlerzustands sowie Nutzerkennung/E-Mail enthalten (vgl. Anlage 2 der AGB, Sentry)
Verfügbarkeitskontrolle
Betrieb in einem professionellen Rechenzentrum (Frankfurt am Main) mit verwalteter Datenbank
Automatische tägliche Sicherungskopien (rollierend 7 Tage) einschließlich Point-in-Time-Recovery
Speicherung der Daten verschlüsselt im Ruhezustand (Encryption at Rest der eingesetzten Cloud-Plattformen)
Trennungskontrolle
Logische Mandantentrennung über Fahrschul-Zuordnung der Datensätze; logisch getrennte Produktions- und Staging-Datenbestände und -konfigurationen
Organisation
Vertraulichkeitsverpflichtung der eingesetzten Personen
Laufende technische Fehler- und Sicherheitsüberwachung (Monitoring/Alerting)
Auswahl der Unterauftragsverarbeiter nach Datenschutz- und Sicherheitskriterien (EU-Standorte bevorzugt, DPF-Zertifizierung/SCCs bei US-Anbietern)
Anlage 2 — Liste der Unterauftragsverarbeiter und Dienstleister
Stand: 11.06.2026 · Diese Liste ist Anlage 2 der AGB; in der gesondert bereitgestellten Fassung der Vereinbarung zur Auftragsverarbeitung wird sie als Anlage 3 geführt. Sie wird zusätzlich unter roadreview.de veröffentlicht. Über Änderungen informiert die RoadReview GmbH die Fahrschulen mindestens 30 Tage im Voraus per E-Mail an die hinterlegte Admin-Adresse (Widerspruchsrecht gemäß § 6 der Anlage 1).
A. Unterauftragsverarbeiter für Ausbildungsdaten
Diese Dienstleister verarbeiten personenbezogene Daten, die RoadReview im Auftrag der Fahrschule verarbeitet (Schüler-Stammdaten, Fahrstunden, GPS-Strecken, Fahrfehler, Medien, Bewertungen, Notizen). Einträge mit Vertragspartner „The CodeCave GmbH“ sind Unterauftragsverarbeiter zweiter Stufe (Kette: Fahrschule → RoadReview GmbH → The CodeCave GmbH → Anbieter).
Dienstleister Funktion Verarbeitete Daten Ort der Verarbeitung Drittlandtransfer-Garantie Vertragspartner
The CodeCave GmbH, Alfred-Nobel-Straße 29, 50226 Frechen, Deutschland (HRB 44492, AG Bielefeld) Technische Entwicklung, Betrieb und Administration der App und Server Alle in Unteranlage 1 der Anlage 1 genannten Daten (Zugriff nach Erforderlichkeit); umfasst auch die von der RoadReview GmbH eigenverantwortlich verarbeiteten Datenbestände Deutschland / EU — (EU) RoadReview GmbH
DigitalOcean, LLC, 105 Edgeview Drive, Broomfield, CO 80021, USA Server-Hosting (Kubernetes) und Datenbank (PostgreSQL) Gesamte Anwendungsdatenbank Rechenzentrum Frankfurt am Main (Region fra1); tägliche Backups (7 Tage) EU-U.S. DPF (zertifiziert) + SCCs als Fallback im DPA zu verifizieren (RoadReview oder CodeCave)
Google LLC (Firebase / Google Cloud), 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA Anmeldung (Firebase Authentication), Push-Nachrichten (FCM), Medien-Speicher (Cloud Storage), App-Konfiguration (Remote Config), Bestandsdaten aus früherer Systemversion (Firestore) Anmeldedaten (UID, E-Mail, Name), Push-Tokens, Fotos/Videos/Audioaufnahmen zu Fahrfehlern, Alt-Datenbestände (u. a. Schüler-Stammdaten, GPS-Strecken früherer Fahrstunden) Medien-Speicher: EU (Multi-Region); Firestore: Frankfurt (europe-west3); Auth: global EU-U.S. DPF (zertifiziert) + SCCs (Google Data Processing Terms) zu verifizieren (RoadReview oder CodeCave)
OpenAI Ireland Ltd, 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland (Verarbeitung: OpenAI-Gruppe, USA) Umwandlung von Sprachnotizen in Text und Zusammenfassung; Benennung von Übungsorten Audio-Sprachnotizen der Fahrlehrer (können Schülerbezug enthalten), Transkripte, aggregierte Fehlerkategorien und Kommentartexte der Fahrlehrer USA SCCs gemäß OpenAI-DPA (abgeschlossen 11.06.2026, Vertragspartnerin The CodeCave GmbH); kein Modell-Training, Speicherung max. 30 Tage The CodeCave GmbH
Functional Software, Inc. („Sentry“), 45 Fremont Street, San Francisco, CA 94105, USA Absturz- und Fehleranalyse (App und Server) Fehler-/Absturzberichte, Geräteinformationen, Nutzerkennung + E-Mail; Crash-Berichte können Bildschirmfotos enthalten, auf denen Ausbildungsdaten sichtbar sind USA EU-U.S. DPF (zertifiziert) + SCCs im Sentry-DPA The CodeCave GmbH
B. Dienstleister in eigener Verantwortlichkeit der RoadReview GmbH
Diese Dienstleister setzt RoadReview für Verarbeitungen ein, für die RoadReview selbst Verantwortlicher ist (Kontoverwaltung, technischer Betrieb, Produktverbesserung, Feedback — siehe Ziffern 2, 5.2, 5.3, 6.8 und 7–9 der Datenschutzerklärung sowie § 10 Abs. 3 der Anlage 1). Sie sind hier zur Transparenz mit aufgeführt.
Dienstleister Funktion Verarbeitete Daten Ort der Verarbeitung Drittlandtransfer-Garantie Vertragspartner
LINK Mobility Poland Sp. z o.o. (Marke „SMSAPI“), ul. Toszecka 101, 44-117 Gliwice, Polen SMS-Versand zur Telefonnummer-Verifikation (Teil der eigenverantwortlichen Kontoverwaltung, § 10 Abs. 3 der Anlage 1) Mobilfunknummern Polen / EWR — (EWR); AVV als Anlage der SMSAPI-GTC zu verifizieren
Mailgun Technologies, Inc. (Sinch), 112 E Pecan St. #1135, San Antonio, TX 78205, USA E-Mail-Versand: Information der Fahrschule über Neuregistrierungen (Onboarding-Kommunikation im Rahmen der eigenverantwortlichen Kontoverwaltung, § 10 Abs. 3 der Anlage 1) Name, Anschrift, E-Mail, Telefonnummer, Führerscheinklasse des Schülers; E-Mail-Adresse der Fahrschule EU-Server (api.eu.mailgun.net) EU-U.S. DPF (zertifiziert) + SCCs zu verifizieren
Google LLC (Firebase Analytics + Performance Monitoring) Nutzungsanalyse und Performance-Messung zur Produktverbesserung Nutzungs-Events, Bildschirmaufrufe, Nutzerkennung, Geräte-Kennungen (inkl. Werbe-ID auf Android), Performance-Messwerte global / USA EU-U.S. DPF (zertifiziert) + SCCs (Google Data Processing Terms) zu verifizieren
Amplitude, Inc., 201 3rd Street, San Francisco, CA 94103, USA Nutzungsanalyse zur Produktverbesserung Nutzungs-Events, Nutzerkennung, Geräteinformationen Server in der EU (EU-ServerZone) EU-U.S. DPF (zertifiziert) + SCCs zu verifizieren
GitHub, Inc., 88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA Bearbeitung von In-App-Feedback (internes, nicht öffentliches Ticketsystem) Feedback-Text, E-Mail-Adresse, Nutzerkennung, App-Version USA EU-U.S. DPF (zertifiziert) + SCCs (GitHub DPA) The CodeCave GmbH
C. Eingebundene Dienste mit (teilweise) eigener Verantwortlichkeit des Anbieters
Bei den folgenden Diensten agiert der Anbieter nach seinem Vertragswerk ganz oder teilweise als eigenständiger Verantwortlicher (keine klassische Auftragsverarbeitung). Sie sind Bestandteil der App-Funktionen und werden in der Datenschutzerklärung (Ziffern 3, 5.1 und 6.1) erläutert.
Anbieter Dienst Übermittelte Daten Einordnung
Google LLC (Google Maps Platform) Kartendarstellung, Straßenabgleich der Strecken (Roads API), Street View, Adresssuche (Places), Kartenbilder (Static Maps), Routenberechnung GPS-Strecken, Fehler-Koordinaten, Adresseingaben, IP-Adressen Einordnung als Auftragsverarbeiter oder (teilweise) eigenständiger Verantwortlicher gemäß den Google-Maps-Platform-Terms — vor Veröffentlichung verifizieren
Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA Sign in with Apple, Umgebungsansicht „Look Around“ (iOS), Push-Zustellung (APNs), App Store, In-App-Review Konto-E-Mail (Sign-In), Koordinaten von Fehlerorten + IP (Look Around), Push-Zustelldaten Apple agiert insoweit als eigenständiger Verantwortlicher bzw. auf Grundlage des Apple Developer Program License Agreement
