Auftragsverarbeitungsvertrag (AVV)

§ 1 Parteien des AVV

Verantwortlicher (Auftraggeber) – Art. 4 Nr. 7 DSGVO:

Der Salon-Inhaber bzw. Geschäftskunde, der die Plattform TerminNow nutzt. Name, Anschrift und Kontaktdaten ergeben sich aus den bei der Registrierung angegebenen Daten.

Auftragsverarbeiter (Auftragnehmer) – Art. 4 Nr. 8 DSGVO:

Huseyn Hasanzade – TerminNow
c/o MDC#3445 · Welserstraße 3 · 87463 Dietmannsried
E-Mail: info@terminnow.de

§ 2 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet im Auftrag und auf Weisung des Verantwortlichen personenbezogene Daten der Endkunden des Verantwortlichen im Rahmen des Betriebs der Online-Terminbuchungsplattform TerminNow (app.terminnow.de).

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrages (AGB). Nach Beendigung des Nutzungsvertrages gelten die Regelungen in § 15 dieses AVV.

§ 3 Art und Zweck der Verarbeitung

Art der Verarbeitung:

• Erhebung und Speicherung von Buchungsdaten der Endkunden
• Bereitstellung und Anzeige der Buchungsdaten im Dashboard des Verantwortlichen
• Versand von Buchungsbestätigungen und ggf. Erinnerungen per E-Mail an Endkunden
• Verwaltung und Aktualisierung des Terminstatus
• Erstellung anonymisierter Statistiken und Auswertungen
• Automatische Löschung / Anonymisierung personenbezogener Endkundendaten 30 Tage nach dem jeweiligen Termin (siehe § 16)

Zweck der Verarbeitung: Technische Bereitstellung und Betrieb einer Online-Terminbuchungsplattform, damit Endkunden des Verantwortlichen Termine online buchen können und der Verantwortliche seine Terminverwaltung digital abwickeln kann.

§ 4 Art der personenbezogenen Daten

Gegenstand der Verarbeitung können folgende Kategorien personenbezogener Daten sein:

• Vorname und Nachname des Endkunden
• Telefonnummer des Endkunden
• E-Mail-Adresse des Endkunden
• Datum und Uhrzeit des gebuchten Termins
• Art der gebuchten Dienstleistung
• Name des zuständigen Mitarbeiters
• Preis / Betrag der Dienstleistung
• Status des Termins (z. B. gebucht, storniert, erledigt, No-Show)
• Freiwillige Notizen des Verantwortlichen zum Endkunden (sofern Funktion aktiviert)

§ 5 Kategorien betroffener Personen

Betroffene Personen sind die Endkunden des Verantwortlichen — natürliche Personen, die über die Buchungsseite des Verantwortlichen (z. B. app.terminnow.de/[subdomain]) einen Termin buchen oder vom Verantwortlichen manuell eingetragen wurden.

§ 6 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche trägt die alleinige Verantwortung für die Rechtmäßigkeit der Verarbeitung der Endkundendaten. Er stellt insbesondere sicher:

• dass die Verarbeitung auf einer geeigneten Rechtsgrundlage gemäß Art. 6 DSGVO beruht
• dass seine Endkunden in einer eigenen Datenschutzerklärung über die Nutzung von TerminNow informiert werden
• dass seine Buchungsseite ein eigenes rechtlich korrektes Impressum enthält
• dass Anfragen betroffener Personen (Art. 15–22 DSGVO) durch ihn bearbeitet werden

(2) Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen ausschließlich im Rahmen der geltenden Datenschutzgesetze.

(3) Der Verantwortliche ist nicht berechtigt, Weisungen zu erteilen, die zu einer rechtswidrigen Datenverarbeitung führen würden.

§ 7 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaates zur Verarbeitung verpflichtet.
2. Sicherzustellen, dass alle zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit verpflichtet wurden.
3. Alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO (TOMs) zu ergreifen (siehe § 10).
4. Die Bedingungen für Unterauftragsverarbeiter gemäß §§ 11–12 einzuhalten.
5. Den Verantwortlichen bei der Erfüllung seiner Pflichten (Betroffenenanfragen, Meldepflichten, Datenschutz-Folgenabschätzungen) zu unterstützen.
6. Nach Vertragsende die personenbezogenen Daten des Verantwortlichen zu löschen (siehe § 15).
7. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV bereitzustellen.
8. Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, dem Verantwortlichen zu melden.

§ 8 Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den Weisungen des Verantwortlichen. Die bestimmungsgemäße Nutzung der Plattform gilt als Weisung im Sinne dieser Regelung.

(2) Weisungen, die über den bestimmungsgemäßen Betrieb der Plattform hinausgehen, bedürfen der Schriftform (E-Mail genügt) an info@terminnow.de.

(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, teilt er dies dem Verantwortlichen unverzüglich mit und ist berechtigt, die Ausführung bis zur Klärung auszusetzen.

§ 9 Vertraulichkeit

(1) Der Auftragsverarbeiter verpflichtet alle Mitarbeiter mit Zugang zu personenbezogenen Daten schriftlich zur Vertraulichkeit und stellt sicher, dass diese Verpflichtung über das Ende des Beschäftigungsverhältnisses hinaus gilt.

(2) Zugang zu personenbezogenen Daten wird ausschließlich Mitarbeitern gewährt, die ihn zur Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip).

§ 10 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO folgende Maßnahmen implementiert:

Vertraulichkeit:

• SSL/TLS-Verschlüsselung aller Datenübertragungen (mind. TLS 1.2)
• Verschlüsselte Datenspeicherung auf dem Server
• Starke Authentifizierung für Administratoren
• Rollenbasiertes Berechtigungssystem (Mitarbeiter sehen nur eigene Buchungen)
• Trennung von Test- und Produktivumgebungen

Integrität:

• Protokollierung administrativer Zugriffe
• Schutz vor SQL-Injection, XSS und CSRF
• Regelmäßige Integritätsprüfungen der Datenbank

Verfügbarkeit und Belastbarkeit:

• Tägliche verschlüsselte Backups, Aufbewahrung mindestens 14 Tage
• Serverstandort ausschließlich in Deutschland
• Monitoring der Systemverfügbarkeit

Datenschutz durch Technikgestaltung (Privacy by Design):

• Datenminimierung: Erhebung nur der für die Buchung erforderlichen Daten
• Automatische Löschung / Anonymisierung personenbezogener Endkundendaten 30 Tage nach dem Termin (§ 16)
• Keine Weitergabe von Daten an Dritte außerhalb des EWR

§ 11 Unterauftragsverarbeiter / Subdienstleister

(1) Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche mit Abschluss dieses AVV vorab zustimmt:

• [Hosting-Anbieter, z. B. Hetzner GmbH] – Serverhosting und Infrastruktur, Standort: Deutschland

(2) Der Auftragsverarbeiter verpflichtet alle Unterauftragsverarbeiter vertraglich zu denselben datenschutzrechtlichen Pflichten, wie sie in diesem AVV festgelegt sind, insbesondere hinsichtlich der TOMs und der Vertraulichkeit.

§ 12 Neue Unterauftragsverarbeiter – Mitteilung und Widerspruchsrecht

(1) Der Auftragsverarbeiter teilt dem Verantwortlichen geplante Änderungen bezüglich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern mindestens 30 Tage vor dem geplanten Einsatz schriftlich mit (E-Mail an die hinterlegte Adresse genügt).

(2) Der Verantwortliche hat das Recht, der Hinzuziehung eines neuen Unterauftragsverarbeiters innerhalb von 14 Tagen nach Mitteilung begründet zu widersprechen. Kann keine einvernehmliche Lösung gefunden werden, ist der Verantwortliche berechtigt, den Vertrag außerordentlich zu kündigen.

(3) Widerspricht der Verantwortliche nicht innerhalb der 14-Tage-Frist, gilt die Zustimmung als erteilt.

§ 13 Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner technischen Möglichkeiten bei der Erfüllung von Anfragen betroffener Personen gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

(2) Richten sich Endkunden direkt an den Auftragsverarbeiter mit Datenschutzanfragen, leitet dieser die Anfragen unverzüglich an den Verantwortlichen weiter. Direkte Auskünfte des Auftragsverarbeiters an Endkunden des Verantwortlichen erfolgen nur auf ausdrückliche Weisung des Verantwortlichen.

(3) Die technische Unterstützung umfasst insbesondere die Bereitstellung eines CSV-Exports der zu einem bestimmten Endkunden gespeicherten Daten auf Anfrage des Verantwortlichen, soweit diese noch nicht anonymisiert sind.

§ 14 Unterstützung bei Datenschutzverletzungen

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede festgestellte Datenschutzverletzung gemäß Art. 33 DSGVO unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden per E-Mail.

(2) Die Meldung enthält nach Möglichkeit mindestens:

• Beschreibung der Art der Verletzung (soweit feststellbar)
• ungefähre Kategorien und Anzahl betroffener Personen und Datensätze
• wahrscheinliche Folgen der Verletzung
• bereits ergriffene oder vorgeschlagene Maßnahmen

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Datenschutzaufsichtsbehörde (Art. 33 DSGVO) und der Benachrichtigung betroffener Personen (Art. 34 DSGVO).

§ 15 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Nutzungsvertrages werden alle Daten des Verantwortlichen für 30 Tage für den Export bereitgehalten.

(2) Innerhalb dieser 30 Tage kann der Verantwortliche seine Daten vollständig als CSV-Datei exportieren.

(3) Nach Ablauf der 30-Tage-Frist werden alle personenbezogenen Daten des Verantwortlichen und seiner Endkunden, die zu diesem Zeitpunkt noch gespeichert sind, vollständig und unwiderruflich gelöscht.

(4) Auf Anfrage stellt der Auftragsverarbeiter eine schriftliche Löschbestätigung per E-Mail aus.

(5) Eine Rückgabe von Daten auf physischen Datenträgern ist nicht vorgesehen.

§ 16 Speicher- und Anonymisierungskonzept für Endkundendaten (30-Tage-Regelung)

(1) Die folgende automatisierte Verarbeitung findet 30 Tage nach dem Termindatum statt: Die nachfolgenden Datenfelder des Endkunden werden unwiderruflich gelöscht oder durch bedeutungslose Platzhalter ersetzt, sodass keine Zuordnung zu einer natürlichen Person mehr möglich ist:

• Vorname und Nachname
• Telefonnummer
• E-Mail-Adresse
• Freiwillige Notizen des Verantwortlichen

(2) Nach der Löschung / Anonymisierung verbleiben ausschließlich folgende Datenpunkte für Statistik- und Abrechnungszwecke:

• Datum und Uhrzeit des Termins
• Art der gebuchten Dienstleistung
• Name des zuständigen Mitarbeiters
• Bezahlter Betrag / Preis
• Terminstatus (z. B. erledigt, No-Show, storniert)

(3) Dieser Mechanismus ist technisch automatisiert implementiert und läuft ohne manuellen Eingriff. Er kann weder vom Verantwortlichen noch vom Auftragsverarbeiter deaktiviert werden.

(4) Der Verantwortliche kann jederzeit im Dashboard eine manuelle vorzeitige Löschung der personenbezogenen Daten eines einzelnen Endkunden veranlassen.

§ 17 Kontrollrechte des Verantwortlichen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zur Kontrolle der Einhaltung der in diesem AVV festgelegten Pflichten erforderlich sind.

(2) Der Verantwortliche oder ein von ihm beauftragter Dritter ist berechtigt, Audits und Inspektionen beim Auftragsverarbeiter durchzuführen. Diese sind mindestens 14 Tage im Voraus schriftlich anzukündigen und während normaler Geschäftszeiten durchzuführen. Die Kosten trägt der Verantwortliche.

(3) Zur Erfüllung seiner Nachweispflichten kann der Auftragsverarbeiter dem Verantwortlichen alternativ schriftliche Bestätigungen, Zertifikate anerkannter Prüfstellen oder Auditberichte vorlegen, aus denen die Einhaltung der TOMs hervorgeht.

§ 18 Drittlandübermittlung

(1) Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR findet grundsätzlich nicht statt. Alle Daten werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert.

(2) Sofern eingesetzte Unterauftragsverarbeiter Daten in Drittländer übermitteln sollten (z. B. bestimmte E-Mail-Dienstleister), wird der Verantwortliche gemäß § 12 vorab informiert und es werden geeignete Garantien gemäß Art. 46 DSGVO (z. B. Standardvertragsklauseln) sichergestellt.

§ 19 Nachweispflichten

(1) Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt dieses dem Verantwortlichen auf Anfrage zur Verfügung.

(2) Der Auftragsverarbeiter kooperiert auf Anfrage mit der zuständigen Datenschutzaufsichtsbehörde und erteilt ihr die erforderlichen Auskünfte.

(3) Der Nachweis der Zustimmung des Verantwortlichen zu diesem AVV (Zeitpunkt, IP-Adresse, Dokumentversion) wird vom Auftragsverarbeiter für die Dauer des Vertrages und mindestens 3 Jahre nach Vertragsende gespeichert und auf Anfrage vorgelegt.

§ 20 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Als Gerichtsstand gilt der im Nutzungsvertrag (AGB) vereinbarte Gerichtsstand.

(2) Dieser AVV tritt mit Abschluss des Nutzungsvertrages in Kraft und endet automatisch mit dessen Beendigung. Die Pflichten zur Datenlöschung (§ 15) und die Nachweispflichten (§ 19) wirken über das Vertragsende hinaus.

(3) Im Falle von Widersprüchen zwischen den Regelungen dieses AVV und anderen Vereinbarungen der Parteien hat dieser AVV in Bezug auf die Auftragsverarbeitung Vorrang.

(4) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

• § 11 – Hosting-Anbieter eintragen (z. B. Hetzner GmbH, IONOS, Strato)
• AGB § 19 – Gerichtsstand eintragen
• Datenschutz – Zuständige Landesbehörde eintragen (Bayern → BayLDA, Ansbach)
• Hosting-Anbieter: Eigenen AVV mit dem Hoster abschließen!

Stand: Mai 2025 · Kontakt: info@terminnow.de