Allgemeine Geschäftsbedingungen und Auftragsverarbeitungsvertrag

Version: 1.0
Zuletzt aktualisiert: 2026-05-05

Geltungsbereich

Diese Bedingungen regeln die Nutzung des von der JTB UG (haftungsbeschränkt) („Anbieter“) bereitgestellten Dienstes durch Geschäftskunden („Kunde“).

Der Dienst richtet sich ausschließlich an Unternehmen, Freiberufler, öffentliche Stellen und andere Einrichtungen, die im Rahmen ihrer gewerblichen oder beruflichen Tätigkeit handeln (B2B). Er richtet sich nicht an Verbraucher im Sinne des § 13 BGB. Mit der Erstellung eines Kontos bestätigt der Kunde, dass er in dieser geschäftlichen Eigenschaft handelt.

Soweit der Anbieter personenbezogene Daten im Auftrag des Kunden verarbeitet, stellt dieses Dokument zugleich einen Auftragsverarbeitungsvertrag (AVV) dar.

Dienst

Der Anbieter bietet eine SaaS-Plattform zur Erhebung von Daten über Formulare, zur Erstellung von Berichten, zum Versand von E-Mails sowie zur Bereitstellung von APIs und Integrationen mit Drittanbieterdiensten. Optionale KI-basierte Textoptimierung und Formularerstellung können genutzt werden, sofern sie vom Kunden ausgelöst werden.

Rollen

Der Kunde ist der Verantwortliche.

Der Anbieter ist der Auftragsverarbeiter und verarbeitet personenbezogene Daten ausschließlich im Auftrag des Kunden.

Pflichten des Kunden

Der Kunde ist verantwortlich für:

die Sicherstellung einer Rechtsgrundlage für jede Datenverarbeitung
die Information aller betroffenen Personen (einschließlich Nutzer, Kunden und Subunternehmer) über die Erhebung und Verarbeitung ihrer Daten
alle an den Dienst übermittelten Daten, einschließlich von Dritten erhobener Daten
die Sicherstellung, dass er über alle erforderlichen Rechte und Befugnisse verfügt, um solche Daten zu verarbeiten und weiterzugeben
den Inhalt der übermittelten Daten, einschließlich personenbezogener Daten sowie vertraulicher oder sensibler Geschäftsinformationen
die Entscheidung, ob KI-Funktionen für bestimmte Daten genutzt werden, insbesondere bei vertraulichen oder sensiblen Daten

Unterauftragsverarbeiter

Der Anbieter setzt Unterauftragsverarbeiter ein, darunter:

Render.com (Anwendungshosting und Datenbankspeicherung)
Storj (Objektspeicher für hochgeladene Dateien)
Sentry (Fehlerüberwachung und Logging)
Postmark (E-Mail-Versand)
Anthropic (KI-Verarbeitung, optional)
vom Kunden gewählte Drittanbieter-Integrationen (z. B. Dropbox, Microsoft OneDrive)

Der Anbieter kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit aktualisieren und stellt die aktuelle Liste den Kunden zur Verfügung.

KI-Verarbeitung

KI-basierte Verarbeitung erfolgt ausschließlich auf Weisung des Kunden.

Zu diesem Zweck können Daten an einen Drittanbieter (Anthropic) übermittelt werden.

Der Anbieter verwendet Kundendaten nicht zum Training von KI-Modellen.

Internationale Übermittlungen

Personenbezogene Daten können außerhalb der EU/des EWR übermittelt werden (z. B. in die USA).

Solche Übermittlungen werden durch Standardvertragsklauseln (SCCs) abgesichert.

Einzelheiten der Verarbeitung

Der Anbieter verarbeitet personenbezogene Daten, um:

Formulareingaben zu speichern und zu verwalten
Berichte zu erstellen
Berichte per E-Mail, API und über andere Integrationen zu versenden
optionale KI-basierte Verarbeitung durchzuführen

Zu den Datenarten können gehören:

Namen von Nutzern
Adressen
GPS-Standorte
Unterschriften
Fotos und Videos
Freitexteingaben

Alle Daten werden vom Kunden oder dessen Nutzern bereitgestellt. Der Anbieter hat keine Kontrolle über die übermittelten Daten.

Weisungen

Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden.

Die Nutzung des Dienstes, einschließlich der Konfiguration und Nutzung optionaler Funktionen, stellt solche Weisungen dar.

Vertraulichkeit

Zur Verarbeitung personenbezogener Daten befugte Personen sind zur Vertraulichkeit verpflichtet.

Sicherheit

Der Anbieter trifft geeignete technische und organisatorische Maßnahmen, darunter:

Verschlüsselung bei der Übertragung (HTTPS)
Verschlüsselung im Ruhezustand
Zugriffskontrollen
automatisierte und häufige Backups

Unterstützung

Der Anbieter unterstützt den Kunden bei der Erfüllung seiner Datenschutzpflichten, einschließlich der Bearbeitung von Anfragen betroffener Personen.

Prüfung

Der Anbieter stellt auf Anfrage die zur Nachweisführung der Einhaltung dieses AVV erforderlichen angemessenen Informationen bereit.

Datenschutzverletzung

Der Anbieter benachrichtigt den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.

Aufbewahrung und Löschung von Daten

Daten werden für die Dauer der Nutzung des Dienstes durch den Kunden gespeichert.

Der Kunde kann das gesamte Konto jederzeit löschen.

Die selektive Löschung einzelner Datensätze kann über den Support angefragt werden.

Eine Massenlöschung erfolgt über die Kontolöschung.

Nach der Kontolöschung werden alle Daten innerhalb von 30 Tagen gelöscht, mit Ausnahme von Backups, die für einen begrenzten Zeitraum aufbewahrt werden.

Rückgabe oder Löschung

Nach Beendigung werden personenbezogene Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

E-Mail und Integrationen

Daten können per E-Mail oder über Drittanbieter-Integrationen übermittelt werden.

Solche Übermittlungen sind möglicherweise nicht vollständig sicher. Der Kunde ist für die Entscheidung über die Nutzung dieser Funktionen verantwortlich.

Anwendbares Recht und Gerichtsstand

Diese Bedingungen unterliegen dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesen Bedingungen ist, soweit gesetzlich zulässig, Mainz, Deutschland.

Annahme

Mit der Erstellung eines Kontos oder der Nutzung des Dienstes stimmt der Kunde diesen Bedingungen und dem Auftragsverarbeitungsvertrag zu.