Auftragsverarbeitungsvertrag (AVV) Vorlage

Zuletzt aktualisiert: 9. Oktober 2025

Dieser AVV entspricht Artikel 28 der Datenschutz-Grundverordnung (DSGVO).

Gegenstand der Verarbeitung

Dieser Auftragsverarbeitungsvertrag ("Vertrag") ist Bestandteil der Nutzungsbedingungen zwischen BookThem ("Auftragsverarbeiter") und dem den Dienst nutzenden Geschäftsinhaber ("Verantwortlicher"). Der Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der SaaS-Plattform zur Terminverwaltung.

Rollen und Verantwortlichkeiten

  • Verantwortlicher: Der Geschäftsinhaber, der über Zwecke und Mittel der Verarbeitung personenbezogener Daten seiner Kunden und Mitarbeiter entscheidet.
  • Auftragsverarbeiter: BookThem, das personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung der Plattform verarbeitet.
  • Betroffene Personen: Personen, deren personenbezogene Daten verarbeitet werden, einschließlich Geschäftsinhaber, Mitarbeiter und Kunden.

Art und Zweck der Verarbeitung

  • Hosting und Betrieb der Terminbuchungsplattform
  • Verwaltung von Terminen, Dienstleistungen, Mitarbeiterplänen und Verfügbarkeiten
  • Versand transaktionaler Benachrichtigungen (z. B. Bestätigungen, Stornierungen)
  • Support, Fehlersuche, Analytik, Sicherheit und Betrugsprävention

Kategorien personenbezogener Daten und betroffene Personen

  • Geschäftsinhaber: Name, E-Mail, Geschäftsdaten, Mitarbeiter- und Servicekonfiguration
  • Kunden: Name, E-Mail, Telefon, Termindetails, besondere Wünsche
  • Mitarbeiter: Name, E-Mail (falls angegeben), zugewiesene Dienstleistungen und Zeitpläne
  • Technische Daten: IP-Adresse, Geräte- und Browserinformationen, Protokolle

Pflichten des Auftragsverarbeiters

  • Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung des Verantwortlichen
  • Wahrung der Vertraulichkeit und Schulung des Personals im Datenschutz
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten
  • Unterstützung des Verantwortlichen bei Betroffenenanfragen und DSFA, soweit erforderlich
  • Unverzügliche Benachrichtigung des Verantwortlichen nach Kenntnis eines Datenschutzvorfalls
  • Löschung oder Rückgabe personenbezogener Daten bei Vertragsende, sofern keine gesetzliche Aufbewahrungspflicht besteht
  • Bereitstellung aller erforderlichen Informationen zum Nachweis der Compliance und Ermöglichung von Audits, soweit anwendbar

Unterauftragsverarbeiter

Der Verantwortliche ermächtigt den Auftragsverarbeiter, Unterauftragsverarbeiter zur Erbringung des Dienstes einzusetzen, sofern der Auftragsverarbeiter diesen Unterauftragsverarbeitern Datenschutzpflichten auferlegt, die im Wesentlichen den Bestimmungen dieses Vertrages entsprechen, und für deren Leistung vollständig verantwortlich bleibt.

  • Vercel Inc. – Hosting- und Plattformdienste
  • Supabase Inc. – Verwaltete Datenbank und Cloud-Speicher
  • GoDaddy LLC – E-Mail-Zustelldienste

Sicherheitsmaßnahmen

  • Verschlüsselung während der Übertragung und im Ruhezustand, soweit angemessen
  • Zugangskontrollen, Authentifizierung und Least-Privilege-Prinzipien
  • Regelmäßige Sicherheitsupdates, Monitoring und Schwachstellenmanagement
  • Backups, Notfallwiederherstellung und Verfahren zur Geschäftskontinuität
  • Datenabtrennung und sichere Entwicklungspraktiken

Unterstützung bei Betroffenenrechten

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Pflicht des Verantwortlichen, Anträge auf Ausübung der Betroffenenrechte gemäß DSGVO zu beantworten.

Haftung

Die Haftung der Parteien richtet sich nach den Nutzungsbedingungen. Der Auftragsverarbeiter haftet für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, als würde er die Leistungen selbst nach diesem Vertrag erbringen.

Laufzeit und Beendigung

  • Dieser Vertrag gilt, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Nach Beendigung der Dienste löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Bestimmungen, die ihrem Wesen nach über die Beendigung hinaus fortwirken, bleiben in Kraft (z. B. Vertraulichkeit, Haftung).

Sonstiges

  • Anwendbares Recht und Gerichtsstand richten sich nach den Nutzungsbedingungen
  • Im Konfliktfall hat dieser Vertrag in Bezug auf den Datenschutz Vorrang vor den Nutzungsbedingungen
  • Standardvertragsklauseln können für internationale Übermittlungen erforderlich sein