← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Stand: 15.06.2026

§ 1 Vertragsparteien und Gegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:

Auftragsverarbeiter

Web-Dienste365.de / Sven Katzensteiner
Betreiber von ServiceTerminPro
(nachfolgend „Anbieter")

Verantwortlicher (Auftraggeber)

Das Unternehmen, das sich bei ServiceTerminPro registriert hat und die Plattform zur Verwaltung von Terminen und Kundendaten nutzt
(nachfolgend „Kunde").

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Kunden im Rahmen der Nutzung der SaaS-Plattform „ServiceTerminPro" (nachfolgend „Dienst").

§ 2 Art, Zweck und Umfang der Datenverarbeitung

Art der Daten: Name, Kontaktdaten (E-Mail, Telefon), Termindaten, Fahrzeugdaten (sofern erfasst), interne Notizen zu Kunden.

Kategorien betroffener Personen: Kunden und Interessenten des Auftraggebers, Mitarbeiter des Auftraggebers.

Zweck der Verarbeitung: Betrieb der Terminplanungs- und Kundenverwaltungsplattform ServiceTerminPro, einschließlich Versand von E-Mail- und SMS-Benachrichtigungen im Auftrag des Kunden.

Dauer: Die Verarbeitung erfolgt für die Laufzeit des Nutzungsvertrags. Nach Vertragsende werden Daten gemäß § 9 dieses AVV gelöscht.

§ 3 Pflichten des Auftraggebers

  1. Der Kunde ist Verantwortlicher im Sinne der DSGVO und bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
  2. Der Kunde stellt sicher, dass die betroffenen Personen über die Verarbeitung ihrer Daten informiert werden (z. B. durch eine eigene Datenschutzerklärung).
  3. Der Kunde weist den Anbieter unverzüglich und vollständig an, wenn er Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung feststellt.
  4. Der Kunde ist für die Sicherheit seiner eigenen Zugangsdaten (E-Mail, Passwort) verantwortlich.

§ 4 Pflichten des Auftragsverarbeiters

  1. Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, sofern keine gesetzliche Verpflichtung entgegensteht.
  2. Der Anbieter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden.
  3. Der Anbieter setzt geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO um (§ 7 dieses AVV).
  4. Der Anbieter unterstützt den Kunden bei der Wahrnehmung von Betroffenenrechten (Auskunft, Löschung, Berichtigung).
  5. Der Anbieter meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, an den Kunden.
  6. Der Anbieter stellt dem Kunden auf Anfrage alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten gemäß Art. 28 DSGVO nachweisen zu können.

§ 5 Unterauftragsverarbeiter

Der Anbieter setzt folgende Unterauftragsverarbeiter ein:

AnbieterZweckStandortDatenschutz
netcup GmbHVPS-Server-Hosting (Anwendung, Datenbank)Deutschland – Nürnberg (EU)Datenschutz
All-Inkl.comE-Mail-Versand (SMTP, Transaktions-E-Mails)Deutschland (EU)Datenschutz
seven.io / Sipgate GmbHSMS-Versand (optional, nur bei aktivierter SMS-Funktion)Deutschland – Düsseldorf (EU)Datenschutz
Mollie B.V.Zahlungsabwicklung (Abonnement-Verwaltung)Niederlande – Amsterdam (EU)Datenschutz
Anthropic PBCKI-Funktionen (nur Professional- & Enterprise-Plan, anonymisierte Daten)USA (SCCs Art. 46 Abs. 2 lit. c DSGVO)Datenschutz

Der Anbieter informiert den Kunden über geplante Änderungen bei Unterauftragsverarbeitern. Der Kunde hat das Recht, Einwände zu erheben. Alle Server und Kerndienste befinden sich in Deutschland bzw. der EU. Lediglich für den KI-Coach (Anthropic, USA) erfolgt ein Drittlandtransfer auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Die KI-Funktion ist ausschließlich im Professional- und Enterprise-Plan enthalten und verarbeitet ausschließlich aggregierte, anonymisierte Auslastungsdaten – keine personenbezogenen Kundendaten.

§ 6 Betroffenenrechte

Der Anbieter leitet Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenportabilität) unverzüglich an den Kunden weiter und unterstützt diesen bei der Beantwortung. Die Plattform bietet technische Funktionen zur Unterstützung dieser Rechte (z. B. DSGVO-Löschung einzelner Kunden über die Verwaltungsoberfläche).

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Zutrittskontrolle

Serverhosting bei netcup GmbH, Nürnberg (ISO 27001 zertifiziertes Rechenzentrum, Deutschland)

Zugangskontrolle

Passwort-Hashing (bcrypt, Kostenfaktor 12), JWT + Refresh-Token-Rotation, Rate Limiting

Zugriffskontrolle

Rollenbasiertes Berechtigungsmodell (tenant_admin, location_manager, staff), vollständige Mandantentrennung (tenantId auf allen Tabellen)

Trennungskontrolle

Logische Mandantentrennung (Shared DB, Row-Level Isolation), keine Datenvermischung zwischen Mandanten

Übertragungssicherheit

TLS 1.2+ für alle Verbindungen, httpOnly-Cookies für Refresh-Token

Verfügbarkeit

Tägliche automatische Backups, Docker-Container mit Restart-Policy

Integrität

Datenbankzugriff nur über API-Layer mit Zod-Validierung, keine direkte Datenbankexposition

§ 8 Kontroll- und Prüfungsrechte

Der Kunde hat das Recht, die Einhaltung der Datenschutzvorschriften beim Anbieter zu überprüfen. Prüfungen werden mit angemessenem Vorlauf (mindestens 14 Tage) angekündigt und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen. Der Anbieter kann anstelle einer Vor-Ort-Prüfung einen aktuellen Prüfbericht (z. B. ISO-Zertifikat des Rechenzentrums) vorlegen.

§ 9 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Wunsch des Kunden erfolgt vorher ein Export der Daten in einem gängigen Format (JSON/CSV). Ein Nachweis über die Löschung wird auf Anfrage ausgestellt.

§ 10 Haftung

Die Haftung richtet sich nach den gesetzlichen Regelungen der DSGVO sowie den Allgemeinen Geschäftsbedingungen des Anbieters. Der Anbieter haftet nicht für Datenschutzverletzungen, die auf einer unsachgemäßen Nutzung durch den Kunden oder auf Handlungen Dritter beruhen, auf die der Anbieter keinen Einfluss hat.

§ 11 Laufzeit

Dieser AVV tritt mit Abschluss des Nutzungsvertrags (Registrierung) in Kraft und endet automatisch mit Beendigung des Nutzungsvertrags. Die Akzeptanz wird elektronisch mit Zeitstempel gespeichert und gilt als rechtsgültige Vereinbarung gemäß Art. 28 DSGVO.

§ 12 Anwendbares Recht und Streitigkeiten

Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Anbieters, soweit gesetzlich zulässig.

§ 13 Kontakt Datenschutz

Bei Fragen zum Datenschutz und zur Auftragsverarbeitung wenden Sie sich an:
Web-Dienste365.de / Sven Katzensteiner
E-Mail: datenschutz@serviceterminpro.de

AGBDatenschutzerklärungImpressumZurück zur Registrierung