gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) zwischen dem Dienstleister (Verantwortlicher) und Doppelklick – Agentur für "NEUE" Medien Kevin Kellermann (Auftragsverarbeiter)
§ 1 Gegenstand und Dauer
(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Doppelklick – Agentur für "NEUE" Medien Kevin Kellermann(nachfolgend "Auftragsverarbeiter") im Auftrag des Dienstleisters (nachfolgend "Verantwortlicher") im Rahmen der Nutzung der SaaS-Plattform TerminKasten.
(2) Der AVV wird mit der Registrierung des Verantwortlichen auf der Plattform wirksam und gilt für die gesamte Dauer der Nutzung der Plattform.
(3) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags (Nutzungsvertrag/AGB) zwischen den Parteien.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zu folgenden Zwecken:
- Bereitstellung und Betrieb der Online-Terminbuchungsplattform
- Speicherung und Verwaltung von Buchungsdaten
- Versand von Terminbestätigungen und -erinnerungen per E-Mail und SMS
- Zahlungsabwicklung (Weiterleitung an den Zahlungsdienstleister Stripe)
- Bereitstellung von Buchungsstatistiken für den Verantwortlichen
- Kundenverwaltung und Buchungshistorie
(2) Die Art der Verarbeitung umfasst: Erhebung, Speicherung, Veränderung, Abfrage, Verwendung, Übermittlung (an Unterauftragsverarbeiter gemäß § 7), Einschränkung und Löschung personenbezogener Daten.
§ 3 Art der personenbezogenen Daten
Folgende Arten personenbezogener Daten sind Gegenstand der Verarbeitung:
- Vor- und Nachname der Endkunden
- E-Mail-Adressen der Endkunden
- Telefonnummern der Endkunden (soweit angegeben)
- Buchungsdaten (gebuchter Service, Datum, Uhrzeit, Mitarbeiter)
- Buchungsstatus und -historie
- IP-Adressen zum Zeitpunkt der Buchung (zu Sicherheitszwecken)
- Zahlungsinformationen (werden an Stripe weitergeleitet und nicht dauerhaft beim Auftragsverarbeiter gespeichert)
§ 4 Kategorien betroffener Personen
Die folgenden Kategorien betroffener Personen sind von der Datenverarbeitung betroffen:
- Endkunden: Natürliche Personen, die über die Plattform Termine bei dem Verantwortlichen buchen.
§ 5 Pflichten des Auftragsverarbeiters
(1) Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet.
(2) Vertraulichkeit: Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Sicherheit: Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 6).
(4) Unterauftragsverarbeiter: Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch (siehe § 7).
(5) Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen (siehe § 8).
(6) Meldepflichten: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
(7) Prüfungsrecht: Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:
6.1 Vertraulichkeit
- Zugangskontrolle: Zugriff auf Systeme nur mit Authentifizierung (E-Mail/Passwort + optionale Zwei-Faktor-Authentifizierung). Rollenbasierte Berechtigungen.
- Zugriffskontrolle: Row Level Security (RLS) in der Datenbank stellt sicher, dass jeder Dienstleister nur auf seine eigenen Daten zugreifen kann. API-Zugriffe sind tokenbasiert.
- Trennungskontrolle: Mandantentrennung auf Datenbankebene durch RLS-Policies. Logische Trennung der Daten verschiedener Verantwortlicher.
6.2 Integrität
- Weitergabekontrolle: Verschlüsselte Datenübertragung (TLS 1.2+) für alle Verbindungen. API-Kommunikation ausschließlich über HTTPS.
- Eingabekontrolle: Protokollierung von Buchungen und Stornierungen. Nachvollziehbarkeit von Datenänderungen durch Zeitstempel.
6.3 Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: Hosting über Vercel mit globalem CDN und automatischem Failover. Datenbankhosting über eigene PostgreSQL-Infrastruktur mit automatischen Backups.
- Belastbarkeit: Automatische Skalierung der Infrastruktur. DDoS-Schutz durch Vercel Edge Network.
- Wiederherstellbarkeit: Tägliche automatische Datenbank-Backups. Wiederherstellung innerhalb von Stunden möglich.
6.4 Verschlüsselung
- Verschlüsselung in Transit: TLS 1.2+ für alle Verbindungen
- Verschlüsselung at Rest: AES-256-Verschlüsselung der Datenbank
- Passwort-Hashing: bcrypt mit Salt
6.5 Regelmäßige Überprüfung
- Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen
- Aktualisierung der Maßnahmen bei Änderung der Bedrohungslage oder des Stands der Technik
§ 7 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter. Der Verantwortliche kann gegen diese Änderungen Einspruch erheben.
(2) Folgende Unterauftragsverarbeiter werden derzeit eingesetzt:
| Unternehmen | Sitz | Zweck | Datenkategorien | Garantien |
|---|---|---|---|---|
| Strato AG / IONOS SE | Pascalstraße 10, 10587 Berlin, Deutschland | Hosting (Dedicated Server) | IP-Adressen, Zugriffsdaten, Seitenaufrufe | Serverstandort Deutschland, DSGVO-konform, AV-Vertrag |
| Self-hosted PostgreSQL | Eigener Server | Datenbank und Authentifizierung | Kontodaten, Buchungsdaten, Kundendaten, Authentifizierungsdaten | Lokale Infrastruktur, Verschlüsselung at rest und in transit |
| Stripe Payments Europe Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland | Zahlungsabwicklung | Zahlungsdaten, Name, E-Mail-Adresse, IP-Adresse | PCI DSS Level 1, eigenständiger Verantwortlicher für Zahlungsdaten |
| SMTP E-Mail-Server | Eigener Server / Konfigurierbar | Transaktionaler E-Mail-Versand | E-Mail-Adressen, Namen | Abhängig vom konfigurierten SMTP-Provider |
| seven communications GmbH & Co. KG | Schleiermacherstraße 12, 73431 Aalen, Deutschland | SMS-Versand (Terminerinnerungen) | Telefonnummern | Serverstandort Deutschland, DSGVO-konform, AV-Vertrag |
(3) Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter die gleichen Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind. Insbesondere muss ausreichende Garantien dafür geboten werden, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.
§ 8 Rechte der Betroffenen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber den betroffenen Personen, insbesondere bei Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Datenübertragbarkeits- und Widerspruchsanfragen.
(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieser die Anfrage unverzüglich an den Verantwortlichen weiterleiten.
(3) Der Auftragsverarbeiter stellt dem Verantwortlichen die Möglichkeit zur Verfügung, Kundendaten über die Plattform einzusehen, zu bearbeiten und zu löschen (Self-Service).
§ 9 Löschung nach Vertragsende
(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, innerhalb von 30 Tagen, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
(2) Der Verantwortliche hat die Möglichkeit, seine Daten vor der Löschung über eine Exportfunktion in der Plattform herunterzuladen.
(3) Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.
§ 10 Haftung
(1) Für die Haftung des Auftragsverarbeiters gelten die Regelungen des Art. 82 DSGVO.
(2) Der Auftragsverarbeiter haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, nur wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder wenn er unter Missachtung der Weisungen des Verantwortlichen gehandelt hat.
§ 11 Laufzeit und Kündigung
(1) Dieser AVV tritt mit Annahme (Registrierung auf der Plattform) in Kraft und gilt für die Dauer des Hauptvertrags.
(2) Eine Kündigung des Hauptvertrags führt automatisch zur Beendigung dieses AVV. Die Pflichten aus § 9 (Löschung nach Vertragsende) bleiben davon unberührt.
(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragsverarbeiter wesentliche Bestimmungen dieses AVV verletzt.
Hinweis: Dieser AVV wurde als Entwurf erstellt und ersetzt keine Rechtsberatung. Bitte lassen Sie die Angaben vor dem Launch von einem Rechtsanwalt prüfen.