Auftragsverarbeitungsvertrag (AVV)
================================================================================
AUFTRAGSVERARBEITUNGSVERTRAG (AVV)
gemäß Art. 28 DSGVO
===============================================================================
Stand: 2026-01-15
zwischen
Revobook, e.K.
Hardenbergstraße 10, 47198 Duisburg
(nachfolgend „Auftragsverarbeiter")
und
dem Kunden gemäß Registrierung auf der Plattform „Revobook"
(nachfolgend „Verantwortlicher")
— gemeinsam „Parteien", einzeln „Partei" —
================================================================================
§ 1 Gegenstand und Dauer der Verarbeitung
================================================================================
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag
des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform
„Revobook" (Online-Terminbuchung, Kunden- und Mitarbeiterverwaltung,
Abrechnungssystem).
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des
Hauptvertrages (AGB / Nutzungsvertrag). Dieser AVV endet automatisch
mit Beendigung des Hauptvertrages.
================================================================================
§ 2 Art und Zweck der Verarbeitung
================================================================================
Die Verarbeitung umfasst folgende Tätigkeiten:
• Speicherung und Verwaltung von Kundenstammdaten (Name, E-Mail,
Telefonnummer, Adresse) zur Terminbuchung
• Speicherung und Verwaltung von Mitarbeiterdaten (Name, E-Mail,
Arbeitszeiten, zugewiesene Services)
• Terminverwaltung (Buchung, Stornierung, Erinnerungen)
• Versand von transaktionalen E-Mails an Endkunden und Mitarbeiter
des Verantwortlichen (Buchungsbestätigungen, Terminerinnerungen)
• Speicherung von Nutzungsdaten zur Bereitstellung der Plattform
Nicht Gegenstand dieses AVV ist die Abrechnung des Abonnements zwischen
dem Auftragsverarbeiter und dem Verantwortlichen sowie die hierfür
erforderliche Rechnungsstellung und Buchhaltung. Insoweit verarbeitet
der Auftragsverarbeiter die Stammdaten des Verantwortlichen als eigener
Verantwortlicher (Art. 4 Nr. 7 DSGVO); Einzelheiten regelt seine
Datenschutzerklärung.
================================================================================
§ 3 Art der personenbezogenen Daten
================================================================================
Folgende Kategorien personenbezogener Daten werden verarbeitet:
• Kontaktdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer
• Adressdaten: Straße, Hausnummer, PLZ, Ort, Land
• Termindaten: Datum, Uhrzeit, gebuchter Service, zugewiesener
Mitarbeiter
• Nutzungsdaten: Session-Daten, Zeitstempel
AUSDRÜCKLICH AUSGESCHLOSSEN sind sämtliche besonderen Kategorien
personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Siehe § 4 der AGB.
================================================================================
§ 4 Kategorien betroffener Personen
================================================================================
• Endkunden des Verantwortlichen (Terminbuchende)
• Mitarbeiter des Verantwortlichen
• Ansprechpartner / Nutzer des Verantwortlichen (Account-Inhaber)
================================================================================
§ 5 Pflichten des Auftragsverarbeiters
================================================================================
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten
ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die
Weisungen ergeben sich aus dem Hauptvertrag und diesem AVV. Weitere
Weisungen können schriftlich oder in Textform erteilt werden.
(2) Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung
betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer
angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter trifft die erforderlichen technischen und
organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage 1).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter
Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner
Pflichten gemäß Art. 32–36 DSGVO.
(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der
Wahrung der Betroffenenrechte (Art. 15–22 DSGVO), insbesondere
durch Bereitstellung einer Datenexport-Funktion (Art. 20 DSGVO)
und einer Account-Löschfunktion (Art. 17 DSGVO).
(6) Der Auftragsverarbeiter informiert den Verantwortlichen
unverzüglich, falls er der Auffassung ist, dass eine Weisung des
Verantwortlichen gegen die DSGVO oder gegen sonstige
Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt
(Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragsverarbeiter ist bis zur
Bestätigung oder Änderung der Weisung durch den Verantwortlichen
berechtigt, deren Durchführung auszusetzen.
================================================================================
§ 6 Unterauftragsverarbeiter
================================================================================
(1) Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zum
Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter
informiert den Verantwortlichen mindestens vier (4) Wochen vor jeder
beabsichtigten Änderung in Bezug auf Hinzuziehung oder Ersetzung
eines Unterauftragsverarbeiters. Der Verantwortliche kann der
Änderung innerhalb von vierzehn (14) Tagen nach Zugang der Information
aus berechtigten datenschutzbezogenen Gründen widersprechen. Erfolgt
kein Widerspruch innerhalb dieser Frist, gilt die Änderung als
genehmigt.
Sollte der Verantwortliche berechtigte Einwände gegen einen neuen
Unterauftragsverarbeiter erheben, die der Auftragsverarbeiter nicht
ausräumen kann, steht dem Verantwortlichen ein Sonderkündigungsrecht
für den betroffenen Teil der Dienste zu.
(2) Aktuelle Unterauftragsverarbeiter:
| Dienst | Anbieter | Zweck | Standort |
|------------------|-----------------------|--------------------------|--------------|
| Hosting/Server | Hetzner Online GmbH | Betrieb der Plattform | Deutschland |
| Objektspeicher | Hetzner Object Storage | Dateispeicherung | Deutschland |
Ergänzender Hinweis zu selbst betriebenen Komponenten: Die zur
Leistungserbringung eingesetzten Komponenten für Sitzungsverwaltung
und Aufgabenwarteschlange (Redis/Valkey), für Betriebs- und
Fehlerprotokolle (Observability/Logging) sowie für den Versand
transaktionaler E-Mails (eigener Mailserver) werden vom
Auftragsverarbeiter selbst auf der vorstehend genannten
Infrastruktur betrieben. Es handelt sich hierbei nicht um
zusätzliche externe Unterauftragsverarbeiter; ein Zugriff Dritter
auf die im Auftrag verarbeiteten Daten findet über diese Komponenten
nicht statt.
Hinweis: Der Zahlungsdienstleister (Mollie B.V.) und der
Buchhaltungs- bzw. Rechnungsdienst (sevDesk GmbH) sind KEINE
Unterauftragsverarbeiter im Sinne dieses AVV. Sie verarbeiten
ausschließlich Daten im Zusammenhang mit der Abrechnung des
Abonnements zwischen Auftragsverarbeiter und Verantwortlichem, für
die der Auftragsverarbeiter selbst Verantwortlicher ist (vgl. § 2);
im Auftrag des Verantwortlichen verarbeitete Endkundendaten erhalten
sie nicht.
(3) Der Auftragsverarbeiter stellt sicher, dass mit jedem
Unterauftragsverarbeiter ein Vertrag geschlossen wird, der diesem
mindestens die gleichen Datenschutzpflichten auferlegt, wie sie in
diesem AVV festgelegt sind.
================================================================================
§ 7 Datenübermittlung in Drittländer
================================================================================
(1) Der Auftragsverarbeiter übermittelt die im Auftrag des
Verantwortlichen verarbeiteten personenbezogenen Daten nicht in
Länder außerhalb der Europäischen Union bzw. des Europäischen
Wirtschaftsraums (Drittländer) und nicht an internationale
Organisationen. Die Verarbeitung erfolgt ausschließlich innerhalb
der EU bzw. des EWR.
(2) Der Einsatz von Unterauftragsverarbeitern, die personenbezogene
Daten in einem Drittland verarbeiten würden, ist ausgeschlossen.
Eine Änderung dieser Zusage bedürfte einer vorherigen Vereinbarung
mit dem Verantwortlichen nach Maßgabe von § 6 und würde nur mit
dessen ausdrücklicher Zustimmung und unter Einhaltung der
Art. 44–49 DSGVO wirksam.
================================================================================
§ 8 Rechte der betroffenen Personen
================================================================================
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit
geeigneten technischen und organisatorischen Maßnahmen bei der
Erfüllung von Anfragen betroffener Personen gemäß Kapitel III
DSGVO, insbesondere:
a) Auskunftsrecht (Art. 15 DSGVO)
b) Recht auf Berichtigung (Art. 16 DSGVO)
c) Recht auf Löschung (Art. 17 DSGVO)
d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
(2) Richtet eine betroffene Person Anfragen direkt an den
Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den
Verantwortlichen weiter.
================================================================================
§ 9 Meldepflichten bei Datenschutzverletzungen
================================================================================
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich,
ohne schuldhaftes Zögern und spätestens innerhalb von
vierundzwanzig (24) Stunden, nachdem ihm eine Verletzung des
Schutzes personenbezogener Daten bekannt wird. Die Frist ist so
bemessen, dass der Verantwortliche seine eigene Meldepflicht gemäß
Art. 33 DSGVO (72 Stunden) erfüllen kann.
(2) Die Benachrichtigung enthält mindestens:
a) Beschreibung der Art der Verletzung;
b) Bezeichnung der Kategorien und geschätzte Anzahl der betroffenen
Personen und Datensätze;
c) Beschreibung der wahrscheinlichen Folgen;
d) Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.
================================================================================
§ 10 Löschung und Rückgabe von Daten
================================================================================
(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter
sämtliche personenbezogenen Daten, es sei denn, es besteht eine
gesetzliche Aufbewahrungspflicht.
(2) Der Verantwortliche hat die Möglichkeit, vor Vertragsende seine
Daten über die Datenexport-Funktion der Plattform (Art. 20 DSGVO)
herunterzuladen.
(3) Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich
bestätigt.
================================================================================
§ 11 Kontrollrechte des Verantwortlichen
================================================================================
(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und
der datenschutzrechtlichen Bestimmungen zu überprüfen, einschließlich
durch Inspektionen.
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle
erforderlichen Informationen zum Nachweis der Einhaltung der in
Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(3) Kontrollen werden mit angemessener Vorlaufzeit angekündigt und
derart durchgeführt, dass der Geschäftsbetrieb nicht unverhältnismäßig
beeinträchtigt wird.
================================================================================
ANLAGE 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
================================================================================
1. Zutrittskontrolle
• Server-Hosting bei Hetzner Online GmbH als zertifiziertem
Rechenzentrumsanbieter (ISO 27001) in Deutschland
• Physischer Zugang zum Rechenzentrum nur für autorisiertes Personal
2. Zugangskontrolle
• Passwort-Hashing mit Argon2id (v=19, m=19456, t=2, p=1)
• Session-basierte Authentifizierung mit sicherem Token-Management
• Automatische Session-Invalidierung bei Inaktivität
• Rate-Limiting auf öffentlichen Endpunkten
3. Zugriffskontrolle
• Mandantentrennung: Strikte Scoping aller Datenbankabfragen auf
die jeweilige Company-ID
• Rollenbasiertes Zugriffskonzept (Owner, Admin, Employee)
• Kein Cross-Tenant-Zugriff möglich (durch WHERE-Clause-Enforcement)
4. Weitergabekontrolle
• TLS-Verschlüsselung für alle Datenübertragungen (HTTPS)
• Verschlüsselte Verbindungen zu allen externen Diensten
• Presigned URLs mit zeitlich begrenzter Gültigkeit für Dateidownloads
5. Eingabekontrolle
• Logging aller relevanten Datenzugriffe und -änderungen
• Nachvollziehbarkeit durch strukturiertes Logging (Tracing)
• Datenminimierung in Protokolldaten: E-Mail-Adressen werden in
Logs ausschließlich maskiert gespeichert
• Automatische Löschung von Protokolldaten nach festen Fristen,
gestaffelt nach Schweregrad: Fehlerprotokolle spätestens nach
90 Tagen, Warn- und Betriebsprotokolle spätestens nach 30 Tagen,
Diagnoseprotokolle spätestens nach 7 Tagen
6. Auftragskontrolle
• Verarbeitung nur gemäß Weisungen des Verantwortlichen
• Verpflichtung aller Mitarbeiter auf Vertraulichkeit
7. Verfügbarkeitskontrolle
• Automatische Datenbank-Backups (WAL Archiving + Base Backups)
• Kubernetes-Deployment mit automatischem Failover
• Monitoring und Alerting über integrierte Observability-Stack
8. Trennungsgebot
• Logische Mandantentrennung über Company-ID in allen Datenbanktabellen
• Separate Datenspeicherung pro Mandant (kein Shared-State)