Zum Inhalt springen

Auftragsverarbeitungsvertrag (AVV)

================================================================================
  AUFTRAGSVERARBEITUNGSVERTRAG (AVV)
  gemäß Art. 28 DSGVO
===============================================================================

Stand: 2026-01-15

zwischen

    Revobook, e.K.
    Hardenbergstraße 10, 47198 Duisburg
    (nachfolgend „Auftragsverarbeiter")

und

    dem Kunden gemäß Registrierung auf der Plattform „Revobook"
    (nachfolgend „Verantwortlicher")

— gemeinsam „Parteien", einzeln „Partei" —


================================================================================
  § 1 Gegenstand und Dauer der Verarbeitung
================================================================================

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag
    des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform
    „Revobook" (Online-Terminbuchung, Kunden- und Mitarbeiterverwaltung,
    Abrechnungssystem).

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des
    Hauptvertrages (AGB / Nutzungsvertrag). Dieser AVV endet automatisch
    mit Beendigung des Hauptvertrages.


================================================================================
  § 2 Art und Zweck der Verarbeitung
================================================================================

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Kundenstammdaten (Name, E-Mail,
    Telefonnummer, Adresse) zur Terminbuchung
  • Speicherung und Verwaltung von Mitarbeiterdaten (Name, E-Mail,
    Arbeitszeiten, zugewiesene Services)
  • Terminverwaltung (Buchung, Stornierung, Erinnerungen)
  • Versand von transaktionalen E-Mails an Endkunden und Mitarbeiter
    des Verantwortlichen (Buchungsbestätigungen, Terminerinnerungen)
  • Speicherung von Nutzungsdaten zur Bereitstellung der Plattform

Nicht Gegenstand dieses AVV ist die Abrechnung des Abonnements zwischen
dem Auftragsverarbeiter und dem Verantwortlichen sowie die hierfür
erforderliche Rechnungsstellung und Buchhaltung. Insoweit verarbeitet
der Auftragsverarbeiter die Stammdaten des Verantwortlichen als eigener
Verantwortlicher (Art. 4 Nr. 7 DSGVO); Einzelheiten regelt seine
Datenschutzerklärung.


================================================================================
  § 3 Art der personenbezogenen Daten
================================================================================

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Kontaktdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer
  • Adressdaten: Straße, Hausnummer, PLZ, Ort, Land
  • Termindaten: Datum, Uhrzeit, gebuchter Service, zugewiesener
    Mitarbeiter
  • Nutzungsdaten: Session-Daten, Zeitstempel

AUSDRÜCKLICH AUSGESCHLOSSEN sind sämtliche besonderen Kategorien
personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Siehe § 4 der AGB.


================================================================================
  § 4 Kategorien betroffener Personen
================================================================================

  • Endkunden des Verantwortlichen (Terminbuchende)
  • Mitarbeiter des Verantwortlichen
  • Ansprechpartner / Nutzer des Verantwortlichen (Account-Inhaber)


================================================================================
  § 5 Pflichten des Auftragsverarbeiters
================================================================================

(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten
    ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die
    Weisungen ergeben sich aus dem Hauptvertrag und diesem AVV. Weitere
    Weisungen können schriftlich oder in Textform erteilt werden.

(2) Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung
    betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer
    angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter trifft die erforderlichen technischen und
    organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage 1).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter
    Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner
    Pflichten gemäß Art. 32–36 DSGVO.

(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der
    Wahrung der Betroffenenrechte (Art. 15–22 DSGVO), insbesondere
    durch Bereitstellung einer Datenexport-Funktion (Art. 20 DSGVO)
    und einer Account-Löschfunktion (Art. 17 DSGVO).

(6) Der Auftragsverarbeiter informiert den Verantwortlichen
    unverzüglich, falls er der Auffassung ist, dass eine Weisung des
    Verantwortlichen gegen die DSGVO oder gegen sonstige
    Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt
    (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragsverarbeiter ist bis zur
    Bestätigung oder Änderung der Weisung durch den Verantwortlichen
    berechtigt, deren Durchführung auszusetzen.


================================================================================
  § 6 Unterauftragsverarbeiter
================================================================================

(1) Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zum
    Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter
    informiert den Verantwortlichen mindestens vier (4) Wochen vor jeder
    beabsichtigten Änderung in Bezug auf Hinzuziehung oder Ersetzung
    eines Unterauftragsverarbeiters. Der Verantwortliche kann der
    Änderung innerhalb von vierzehn (14) Tagen nach Zugang der Information
    aus berechtigten datenschutzbezogenen Gründen widersprechen. Erfolgt
    kein Widerspruch innerhalb dieser Frist, gilt die Änderung als
    genehmigt.

    Sollte der Verantwortliche berechtigte Einwände gegen einen neuen
    Unterauftragsverarbeiter erheben, die der Auftragsverarbeiter nicht
    ausräumen kann, steht dem Verantwortlichen ein Sonderkündigungsrecht
    für den betroffenen Teil der Dienste zu.

(2) Aktuelle Unterauftragsverarbeiter:

    | Dienst           | Anbieter              | Zweck                    | Standort     |
    |------------------|-----------------------|--------------------------|--------------|
    | Hosting/Server   | Hetzner Online GmbH    | Betrieb der Plattform    | Deutschland  |
    | Objektspeicher   | Hetzner Object Storage         | Dateispeicherung         | Deutschland  |

    Ergänzender Hinweis zu selbst betriebenen Komponenten: Die zur
    Leistungserbringung eingesetzten Komponenten für Sitzungsverwaltung
    und Aufgabenwarteschlange (Redis/Valkey), für Betriebs- und
    Fehlerprotokolle (Observability/Logging) sowie für den Versand
    transaktionaler E-Mails (eigener Mailserver) werden vom
    Auftragsverarbeiter selbst auf der vorstehend genannten
    Infrastruktur betrieben. Es handelt sich hierbei nicht um
    zusätzliche externe Unterauftragsverarbeiter; ein Zugriff Dritter
    auf die im Auftrag verarbeiteten Daten findet über diese Komponenten
    nicht statt.

    Hinweis: Der Zahlungsdienstleister (Mollie B.V.) und der
    Buchhaltungs- bzw. Rechnungsdienst (sevDesk GmbH) sind KEINE
    Unterauftragsverarbeiter im Sinne dieses AVV. Sie verarbeiten
    ausschließlich Daten im Zusammenhang mit der Abrechnung des
    Abonnements zwischen Auftragsverarbeiter und Verantwortlichem, für
    die der Auftragsverarbeiter selbst Verantwortlicher ist (vgl. § 2);
    im Auftrag des Verantwortlichen verarbeitete Endkundendaten erhalten
    sie nicht.

(3) Der Auftragsverarbeiter stellt sicher, dass mit jedem
    Unterauftragsverarbeiter ein Vertrag geschlossen wird, der diesem
    mindestens die gleichen Datenschutzpflichten auferlegt, wie sie in
    diesem AVV festgelegt sind.
    

================================================================================
  § 7 Datenübermittlung in Drittländer
================================================================================

(1) Der Auftragsverarbeiter übermittelt die im Auftrag des
    Verantwortlichen verarbeiteten personenbezogenen Daten nicht in
    Länder außerhalb der Europäischen Union bzw. des Europäischen
    Wirtschaftsraums (Drittländer) und nicht an internationale
    Organisationen. Die Verarbeitung erfolgt ausschließlich innerhalb
    der EU bzw. des EWR.

(2) Der Einsatz von Unterauftragsverarbeitern, die personenbezogene
    Daten in einem Drittland verarbeiten würden, ist ausgeschlossen.
    Eine Änderung dieser Zusage bedürfte einer vorherigen Vereinbarung
    mit dem Verantwortlichen nach Maßgabe von § 6 und würde nur mit
    dessen ausdrücklicher Zustimmung und unter Einhaltung der
    Art. 44–49 DSGVO wirksam.


================================================================================
  § 8 Rechte der betroffenen Personen
================================================================================

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit
    geeigneten technischen und organisatorischen Maßnahmen bei der
    Erfüllung von Anfragen betroffener Personen gemäß Kapitel III
    DSGVO, insbesondere:

    a) Auskunftsrecht (Art. 15 DSGVO)
    b) Recht auf Berichtigung (Art. 16 DSGVO)
    c) Recht auf Löschung (Art. 17 DSGVO)
    d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

(2) Richtet eine betroffene Person Anfragen direkt an den
    Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den
    Verantwortlichen weiter.


================================================================================
  § 9 Meldepflichten bei Datenschutzverletzungen
================================================================================

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich,
    ohne schuldhaftes Zögern und spätestens innerhalb von
    vierundzwanzig (24) Stunden, nachdem ihm eine Verletzung des
    Schutzes personenbezogener Daten bekannt wird. Die Frist ist so
    bemessen, dass der Verantwortliche seine eigene Meldepflicht gemäß
    Art. 33 DSGVO (72 Stunden) erfüllen kann.

(2) Die Benachrichtigung enthält mindestens:
    a) Beschreibung der Art der Verletzung;
    b) Bezeichnung der Kategorien und geschätzte Anzahl der betroffenen
       Personen und Datensätze;
    c) Beschreibung der wahrscheinlichen Folgen;
    d) Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.


================================================================================
  § 10 Löschung und Rückgabe von Daten
================================================================================

(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter
    sämtliche personenbezogenen Daten, es sei denn, es besteht eine
    gesetzliche Aufbewahrungspflicht.

(2) Der Verantwortliche hat die Möglichkeit, vor Vertragsende seine
    Daten über die Datenexport-Funktion der Plattform (Art. 20 DSGVO)
    herunterzuladen.

(3) Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich
    bestätigt.


================================================================================
  § 11 Kontrollrechte des Verantwortlichen
================================================================================

(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und
    der datenschutzrechtlichen Bestimmungen zu überprüfen, einschließlich
    durch Inspektionen.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle
    erforderlichen Informationen zum Nachweis der Einhaltung der in
    Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(3) Kontrollen werden mit angemessener Vorlaufzeit angekündigt und
    derart durchgeführt, dass der Geschäftsbetrieb nicht unverhältnismäßig
    beeinträchtigt wird.


================================================================================
  ANLAGE 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
================================================================================

1. Zutrittskontrolle
   • Server-Hosting bei Hetzner Online GmbH als zertifiziertem
     Rechenzentrumsanbieter (ISO 27001) in Deutschland
   • Physischer Zugang zum Rechenzentrum nur für autorisiertes Personal

2. Zugangskontrolle
   • Passwort-Hashing mit Argon2id (v=19, m=19456, t=2, p=1)
   • Session-basierte Authentifizierung mit sicherem Token-Management
   • Automatische Session-Invalidierung bei Inaktivität
   • Rate-Limiting auf öffentlichen Endpunkten

3. Zugriffskontrolle
   • Mandantentrennung: Strikte Scoping aller Datenbankabfragen auf
     die jeweilige Company-ID
   • Rollenbasiertes Zugriffskonzept (Owner, Admin, Employee)
   • Kein Cross-Tenant-Zugriff möglich (durch WHERE-Clause-Enforcement)

4. Weitergabekontrolle
   • TLS-Verschlüsselung für alle Datenübertragungen (HTTPS)
   • Verschlüsselte Verbindungen zu allen externen Diensten
   • Presigned URLs mit zeitlich begrenzter Gültigkeit für Dateidownloads

5. Eingabekontrolle
   • Logging aller relevanten Datenzugriffe und -änderungen
   • Nachvollziehbarkeit durch strukturiertes Logging (Tracing)
   • Datenminimierung in Protokolldaten: E-Mail-Adressen werden in
     Logs ausschließlich maskiert gespeichert
   • Automatische Löschung von Protokolldaten nach festen Fristen,
     gestaffelt nach Schweregrad: Fehlerprotokolle spätestens nach
     90 Tagen, Warn- und Betriebsprotokolle spätestens nach 30 Tagen,
     Diagnoseprotokolle spätestens nach 7 Tagen

6. Auftragskontrolle
   • Verarbeitung nur gemäß Weisungen des Verantwortlichen
   • Verpflichtung aller Mitarbeiter auf Vertraulichkeit

7. Verfügbarkeitskontrolle
   • Automatische Datenbank-Backups (WAL Archiving + Base Backups)
   • Kubernetes-Deployment mit automatischem Failover
   • Monitoring und Alerting über integrierte Observability-Stack

8. Trennungsgebot
   • Logische Mandantentrennung über Company-ID in allen Datenbanktabellen
   • Separate Datenspeicherung pro Mandant (kein Shared-State)