Auftragsverarbeitungsvertrag (AVV)

§ 1 Parteien & Vertragsgegenstand

Auftraggeber:der Betrieb, der die EssenLeads-Plattform nach den AGB nutzt (nachfolgend "Verantwortlicher").

Auftragnehmer: Meik Dassel - EssenLeads, Plattenweiler 7, 45239 Essen, E-Mail: info@essenleads.de(nachfolgend "Auftragsverarbeiter").

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit dem Betrieb der Buchungsplattform EssenLeads.

§ 2 Gegenstand und Dauer der Verarbeitung

Gegenstand: Bereitstellung und Betrieb einer Online-Terminbuchungsplattform inkl. Kundenverwaltung, Terminkalender, E-Mail-Benachrichtigungen, Zahlungsabwicklung und zugehöriger Admin-Funktionen.

Dauer: Dieser AVV gilt für die Laufzeit des Hauptvertrags (AGB) und endet mit dessen Beendigung. Nach Vertragsende werden die personenbezogenen Daten gem. § 9 gelöscht oder zurückgegeben.

§ 3 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

• Entgegennahme und Verwaltung von Online-Terminbuchungen
• Versand von Bestätigungs- und Erinnerungs-E-Mails an Kunden
• Abwicklung von Zahlungen über Stripe (soweit aktiviert)
• Speicherung von Kundendaten, Buchungshistorie und Kundennotizen
• Bereitstellung von Statistik- und Reportfunktionen für den Verantwortlichen

Eine darüber hinausgehende Nutzung der Daten erfolgt nicht.

§ 4 Art der Daten und Kategorien betroffener Personen

Art der personenbezogenen Daten:

• Kontaktdaten der Kunden (Name, E-Mail, Telefon)
• Buchungsdaten (Datum, Uhrzeit, Service, Anmerkungen)
• Zahlungsdaten (über Stripe verschlüsselt verarbeitet, keine Kartendaten bei EssenLeads)
• IP-Adressen und Logdaten (technisch)

Kategorien betroffener Personen: Kunden des Verantwortlichen, Mitarbeitende des Verantwortlichen (soweit angelegt), Interessenten.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• sicherzustellen, dass sich zur Datenverarbeitung befugte Personen zur Vertraulichkeit verpflichtet haben;
• die technisch-organisatorischen Maßnahmen gem. § 7 zu ergreifen und aufrechtzuerhalten;
• den Verantwortlichen bei der Erfüllung seiner Pflichten aus Art. 32–36 DSGVO zu unterstützen;
• Datenschutzverletzungen unverzüglich an den Verantwortlichen zu melden;
• nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben.

§ 6 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit die allgemeine Genehmigung zum Einsatz folgender Unterauftragsverarbeiter:

• Vercel Inc. (Hosting) — 440 N Barranca Ave #4133, Covina, CA 91723, USA; Datenverarbeitung in der EU (fra1-Region), EU-Standardvertragsklauseln abgeschlossen.
• Neon Inc. (Datenbank-Hosting) — San Francisco, CA, USA; Serverstandort EU (Frankfurt), EU-Standardvertragsklauseln abgeschlossen.
• Sendinblue GmbH (Brevo) (E-Mail-Versand) — Köpenicker Straße 126, 10179 Berlin.
• Hostinger International Ltd. (E-Mail-Versand ergänzend) — Limassol, Zypern.
• Stripe Payments Europe, Ltd. (Zahlungsabwicklung) — 1 Grand Canal Street Lower, Dublin, Irland.

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bezüglich der Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

§ 7 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft folgende Maßnahmen zum Schutz der personenbezogenen Daten:

• Vertraulichkeit: Zugangskontrolle durch JWT-basierte Authentifizierung, HttpOnly-Cookies, optionale 2FA (TOTP), HTTPS/TLS-Verschlüsselung aller Übertragungen.
• Integrität: Datenübertragung verschlüsselt via TLS 1.2+, Datenbankzugriffe ausschließlich über authentifizierte Verbindungen.
• Verfügbarkeit: automatisierte Backups durch Neon (Point-in-Time-Recovery bis 7 Tage), redundantes Hosting bei Vercel.
• Belastbarkeit: Cloud-Infrastruktur mit automatischer Skalierung und Monitoring.
• Verfahren zur regelmäßigen Überprüfung: kontinuierliche Sicherheitsupdates, Dependency-Audits, Logging sicherheitsrelevanter Ereignisse.

§ 8 Rechte der Betroffenen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Anfragen von Betroffenen, die an den Auftragsverarbeiter gerichtet werden, leitet dieser unverzüglich an den Verantwortlichen weiter.

§ 9 Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Wunsch des Verantwortlichen werden die Daten vor Löschung in einem gängigen Format (CSV / JSON) zur Verfügung gestellt.

§ 10 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich von der Einhaltung dieses Vertrags beim Auftragsverarbeiter zu überzeugen. Der Auftragsverarbeiter stellt auf Anfrage die für den Nachweis erforderlichen Informationen bereit.

§ 11 Haftung

Die Haftung zwischen den Parteien richtet sich nach Art. 82 DSGVO sowie den Haftungsregelungen der AGB. Im Außenverhältnis haften beide Parteien nach den Vorgaben der DSGVO.

§ 12 Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform (E-Mail genügt). Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht.