Auftragsverarbeitungsvertrag

(1)

Die Zusammenarbeit der Parteien nach Maßgabe der APPOYNT-Leistungen bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend "Auftraggeberdaten") erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO verarbeitet. Der Auftragnehmer erbringt für den Auftraggeber Dienstleistungen im Bereich der Bereitstellung und des Betriebs einer cloudbasierten Termin- und Kommunikationslösung („APPOYNT") zur Verwaltung von Kundenterminen, zum Versand von Terminbestätigungen, -erinnerungen und sonstiger Kommunikation über elektronische Kommunikationskanäle (insbesondere WhatsApp, E-Mail und vergleichbare Dienste) sowie zur Auswertung von Kennzahlen (z. B. No-Show-Rate, Terminanzahl, Auslastung). Hierbei verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers.

(2)

Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt ausschließlich in der in Anlage 1 spezifizierten Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen ist in Anlage 2 zu diesem Vertrag dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

(3)

Dem Auftragnehmer ist eine abweichende oder über die Festlegungen in den Anlagen 1 und 2 hinausgehende Verarbeitung von Auftraggeberdaten untersagt. Dies gilt nicht für Daten, die in einer Weise anonymisiert wurden, dass ein Personenbezug auch unter Einsatz zumutbarer Mittel nicht wiederhergestellt werden kann.

(4)

Der Auftragnehmer verarbeitet personenbezogene Daten grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR). Eine Verarbeitung in einem Drittland im Sinne der Art. 44 ff. DSGVO findet nur statt, soweit die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies ist insbesondere der Fall, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO besteht (z. B. im Rahmen des EU-US Data Privacy Frameworks für entsprechend zertifizierte Unternehmen), oder geeignete Garantien im Sinne des Art. 46 DSGVO vorliegen (insbesondere Standardvertragsklauseln der Europäischen Kommission) und – soweit erforderlich – zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten getroffen werden. Der Auftragnehmer dokumentiert die hierfür eingesetzten Rechtsinstrumente und stellt dem Auftraggeber auf Anfrage entsprechende Nachweise zur Verfügung.

(5)

Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit den im Hauptvertrag dargestellten APPOYNT-Leistungen in Zusammenhang stehen und bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

(1)

Der Auftragnehmer verarbeitet die Auftraggeberdaten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Auftraggebers iSv Art. 28 DSGVO (Auftragsverarbeitung), dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Der Auftraggeber hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2)

Weisungen werden vom Auftraggeber grundsätzlich in Textform erteilt (E-Mail genügt); mündlich erteilte Weisungen sind vom Auftragnehmer in Textform zu bestätigen. Weisungsberechtigt auf Seiten des Auftraggebers ist die Person, die als Administrator des Kundenkontos registriert ist, sowie deren im Kundenkonto benannter Stellvertreter. Weisungs- und empfangsberechtigt auf Seiten des Auftragnehmers sind die in Anlage 3 benannten Personen. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist die andere Partei unverzüglich in Textform zu informieren.

(3)

Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

(1)

Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

(2)

Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden "Mitarbeiter" genannt), in Textform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter in Textform nachweisen.

(3)

Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DSGVO, insbesondere die in Anlage 4 zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten.

(4)

Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer hat den Auftraggeber unverzüglich in Textform zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Anlage 4 nicht mehr ausreichend sind und wird sich mit ihm hinsichtlich weiterer technischer und organisatorischer Maßnahmen abstimmen.

(5)

Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 4 bestimmten technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.

(1)

Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von 48 Stunden in Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldungen gemäß § 4 Abs. 1 S. 1 enthalten jeweils zumindest die in Art. 33 Absatz 3 DSGVO genannten Angaben.

(2)

Der Auftragnehmer wird den Auftraggeber im Falle des § 4 Abs. 1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen. Der Auftragnehmer wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.

(3)

Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß § 7 Abs. 1 dieses Vertrages erforderlich sind. Ferner wird der Auftragnehmer dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung stellen.

(1)

Der Auftragnehmer ist verpflichtet, ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Abs. 2 DSGVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

(2)

Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu unterstützen.

(3)

Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem" im Sinne der DSGVO liegt.

(1)

Der Auftragnehmer darf zur Erfüllung seiner Leistungspflichten Unterauftragsverarbeiter (nachfolgend „Subunternehmer") im Sinne des Art. 28 Abs. 2 und 4 DSGVO einsetzen. Als Subunternehmer gelten solche Dienstleister, die personenbezogene Daten für den Auftragnehmer verarbeiten. Reine Nebenleistungen (z. B. Post-, Transport- und Reinigungsdienste) gelten nicht als Subunternehmer.

(2)

Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subunternehmer sind in Anlage 5 zu diesem Vertrag aufgeführt. Der Auftraggeber erteilt für die dort genannten Subunternehmer seine Zustimmung.

(3)

Der Auftragnehmer ist berechtigt, weitere Subunternehmer zu beauftragen oder bestehende Subunternehmer zu ersetzen, sofern der Auftragnehmer den Auftraggeber mindestens 30 Kalendertage vor dem geplanten Einsatz des neuen oder dem Austausch eines bestehenden Subunternehmers in Textform (E-Mail an die im Kundenkonto hinterlegte E-Mail-Adresse) informiert und der Auftraggeber nicht innerhalb dieser Frist aus wichtigem datenschutzrechtlichen Grund in Textform widerspricht. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung als erteilt. Widerspricht der Auftraggeber aus wichtigem Grund, bemühen sich die Parteien um eine einvernehmliche Lösung. Kommt eine solche nicht zustande, steht dem Auftraggeber ein außerordentliches Kündigungsrecht zu.

(4)

Der Auftragnehmer ist verpflichtet, mit Subunternehmern einen Vertrag gemäß Art. 28 DSGVO abzuschließen, der diesen Vertrag inhaltlich zugunsten des Auftraggebers widerspiegelt. Insbesondere hat der Auftragnehmer sicherzustellen, dass der Subunternehmer personenbezogene Daten nur entsprechend den dokumentierten Weisungen des Auftraggebers verarbeitet, angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO umgesetzt werden und Kontroll- und Auditrechte des Auftraggebers mittelbar auch gegenüber dem Subunternehmer bestehen.

(5)

Soweit Subunternehmer personenbezogene Daten in einem Drittland verarbeiten, stellt der Auftragnehmer sicher, dass die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss wie das EU-US Data Privacy Framework oder geeignete Garantien wie Standardvertragsklauseln). Dies umfasst insbesondere den Abschluss geeigneter datenschutzrechtlicher Zusatzvereinbarungen mit dem Subunternehmer.

(6)

Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass Subunternehmer die Pflichten einhalten, zu deren Beachtung sich der Auftragnehmer in diesem Vertrag verpflichtet hat.

(1)

Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gemäß § 3 Abs. 3 dieser Vereinbarung, zu überzeugen. Hierfür kann er zB Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

(2)

Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

(3)

Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

(1)

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von 10 Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftragnehmer nicht selbst über die entsprechenden Informationen verfügt.

(2)

Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DSGVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von 10 Werktagen zu berichtigen, löschen oder einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen in Textform nachweisen.

(3)

Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.

(1)

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrags hat die Beendigung dieses AVV zur Folge. Eine isolierte Kündigung dieses AVV berechtigt beide Parteien zur außerordentlichen Kündigung des Hauptvertrags.

(2)

Der Auftraggeber ist jederzeit zu einer außerordentlichen Kündigung dieses Vertrages aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt vor, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Insbesondere liegt in den in Anlage 6 genannten Fällen ein wichtiger Grund vor. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer zunächst eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann. Nach fruchtlosem Ablauf dieser Frist steht dem Auftraggeber sodann das Recht zur außerordentlichen Kündigung zu.

(1)

Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragnehmer für eine Dauer von 12 Monaten aufzubewahren und auf Verlangen an den Auftraggeber herauszugeben.

(2)

Der Auftragnehmer wird dem Auftraggeber die Löschung in Textform bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsmäße Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren; § 7 Abs. 2 dieses Vertrags gilt hierfür entsprechend.

(3)

Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

(1)

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.

(2)

Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. § 11 Abs. 2 S. 1 gilt im Falle einer gegen eine Partei verhängten Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

(1)

Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer iSd § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

(2)

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3)

Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt die jeweils einschlägige gesetzliche Regelung.

(4)

Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist, soweit gesetzlich zulässig, Herford.

1. Art der verarbeiteten personenbezogenen Daten

2. Umfang der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung, Durchführung und Optimierung der APPOYNT-Leistungen. Dies umfasst insbesondere:

• Hosting, Betrieb und Bereitstellung der Plattform (Speicherung und Verwaltung von Kundendaten, Durchführung von Terminprozessen, Betrieb der Datenbank Supabase, Einsatz eigener Server/Instanzen Hostinger/Coolify),
• Durchführung automatisierter Kommunikation (Versand von Terminbestätigungen, Erinnerungen und Benachrichtigungen über die WhatsApp Business API und E-Mail-Dienste),
• KI-gestützte Verarbeitung (automatisierte Beantwortung von Terminanfragen, Verschiebungen und Absagen mittels Large Language Models über OpenRouter/Google Gemini),
• Auswertungen für den Auftraggeber (Berechnung der No-Show-Rate, Einsparungen, Termin- und Auslastungskennzahlen),
• Technischer Betrieb und Sicherheit (Systemüberwachung, Fehlerdiagnose, Sicherheitskopien, Schutz vor Angriffen).

Es erfolgt keine darüber hinausgehende Verarbeitung, insbesondere keine Nutzung zu eigenen Werbe- oder Analysezwecken des Auftragnehmers, keine Weitergabe an nicht autorisierte Dritte, keine Profilbildung außerhalb der Zwecke des Auftraggebers und kein Import oder Verarbeitung besonderer Kategorien personenbezogener Daten.

3. Zweck der Verarbeitung

• Durchführung und Organisation des Terminmanagements,
• Automatisierte Kommunikation zwischen Auftraggeber und dessen Endkunden,
• Betrieb und Sicherstellung der Funktionsfähigkeit der APPOYNT-Plattform,
• Analyse und Bereitstellung betriebsrelevanter Kennzahlen für den Auftraggeber,
• Erfüllung technischer, vertraglicher und gesetzlicher Anforderungen.

4. Ort der Verarbeitung

Die Datenverarbeitung findet primär innerhalb der EU/des EWR statt, insbesondere durch Hostinger (EU-Standort Frankfurt am Main), Supabase (EU-Region Frankfurt), Coolify (EU), PostHog (EU), HubSpot (Irland) und Strato (Deutschland). Eine Verarbeitung in Drittländern erfolgt durch Meta (WhatsApp Business API), Google (Gemini, Calendar API, Sign-In, Analytics), OpenRouter (USA), Stripe (IE/USA), Sentry (USA), Vercel (USA), Cloudflare (USA) und Firecrawl (USA) – jeweils auf Basis des EU-US Data Privacy Frameworks oder geeigneter Garantien nach Art. 46 DSGVO.

5. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Nach dessen Ende werden die Daten gemäß § 10 dieses AVV gelöscht bzw. zurückgegeben. Vollständige Löschung innerhalb von 30 Kalendertagen nach Vertragsende oder Löschanweisung.

1. Endkunden des Auftraggebers

Personen, die beim Auftraggeber Termine buchen oder Kommunikationsleistungen erhalten (bestehende, neue und ehemalige Kunden).

2. Beschäftigte des Auftraggebers

Mitarbeiter des Auftraggebers, deren Daten im Rahmen des Terminmanagements oder der Systemnutzung verarbeitet werden (dienstleistende Mitarbeiter, administrative Mitarbeiter, Inhaber/Geschäftsführung).

3. Nutzer der APPOYNT-Plattform beim Auftraggeber

Personen, die von Seiten des Auftraggebers Zugang zur Plattform erhalten (Administratoren, Systemnutzer).

4. Technische Ansprechpartner

Personen, deren Kontaktdaten für Support, Abwicklung oder Kommunikation genutzt werden.

A. Auftraggeber (Verantwortlicher)

Weisungsberechtigt auf Seiten des Auftraggebers ist die Person, die als Administrator des Kundenkontos bei APPOYNT registriert ist, sowie deren im Kundenkonto benannter Stellvertreter. Der Auftraggeber wird Änderungen der weisungsberechtigten Personen dem Auftragnehmer in Textform mitteilen bzw. im Kundenkonto aktualisieren.

B. Auftragnehmer (Auftragsverarbeiter)

Weisungs- und empfangsberechtigte Personen auf Seiten des Auftragnehmers sind:

Der Auftragnehmer wird Änderungen der weisungs- und empfangsberechtigten Personen dem Auftraggeber in Textform mitteilen. Bis zum Zugang einer Änderungsmitteilung gelten die oben genannten Personen als weiterhin weisungs- und empfangsberechtigt.

1. Zutrittskontrolle

Nutzung von Rechenzentren mit geregeltem Zutrittskonzept (Schließsysteme, Zugang nur für autorisiertes Personal des Hosting-Providers). Kein Kundenverkehr in Räumen, in denen auf Produktivsysteme zugegriffen wird. Physische Endgeräte werden nicht unbeaufsichtigt an öffentlich zugänglichen Orten zurückgelassen.

2. Zugangskontrolle

Individuelle Benutzerkonten für alle Teammitglieder, keine geteilten Accounts. Sicheres Passwortkonzept (Mindestlänge, Komplexität). Nutzung von Passwort-Managern. Einsatz von Zwei-Faktor-Authentifizierung (2FA), wo technisch möglich (Hosting, Git, Admin-Zugänge).

3. Zugriffskontrolle

Rollen- und berechtigungsbasierte Zugriffskonzepte in der Anwendung (nur befugte Nutzer des Kunden können auf die Daten ihres Betriebs zugreifen). Beschränkung administrativer Rechte auf einen kleinen, definierten Personenkreis. Need-to-know-Prinzip. Regelmäßige Überprüfung und Anpassung von Berechtigungen.

4. Weitergabekontrolle

Verschlüsselte Datenübertragung per TLS (HTTPS) zwischen Client und Server. Keine Weitergabe an Dritte ohne Rechtsgrundlage und Weisung des Auftraggebers. Nutzung von geprüften Kommunikationskanälen für Support.

5. Eingabekontrolle

Protokollierung wesentlicher Systemaktionen (Anlage, Änderung, Löschung von Termindaten, Nutzeraktionen). Protokolldaten werden vor unbefugter Veränderung geschützt. Logs werden nur von berechtigten Personen eingesehen.

6. Auftragskontrolle

Verarbeitung personenbezogener Daten ausschließlich auf Grundlage dieses Auftragsverarbeitungsvertrags. Interne Prozesse, dass Änderungen am Verarbeitungsumfang nur nach Abstimmung mit dem Auftraggeber erfolgen. Sensibilisierung der Beteiligten auf die ausschließliche Verarbeitung nach Weisung.

7. Verfügbarkeitskontrolle und Belastbarkeit

Regelmäßige Datensicherungen (Backups) in definierten Intervallen. Speicherung der Backups auf getrennten Systemen. Einsatz von Monitoring-Systemen für die Serververfügbarkeit. Notfall- und Wiederherstellungskonzept (Recovery aus Backups innerhalb angemessener Frist).

8. Trennungskontrolle

Mandantenfähige Systemarchitektur; logische Trennung der Daten pro Kunde (separate Tenant-IDs, Row Level Security in Supabase). Berechtigungen so gestaltet, dass Nutzer eines Kunden nur Daten ihres eigenen Betriebs einsehen können. Getrennte Test- und Produktivumgebungen.

9. Pseudonymisierung und Verschlüsselung

Verschlüsselte Übertragung mittels TLS (HTTPS). Verschlüsselung der Daten im Ruhezustand (at rest) soweit technisch sinnvoll. Minimierung gespeicherter Daten auf das erforderliche Maß (Datenminimierung).

10. Datenschutzorganisation

Sensibilisierung der beteiligten Personen für Datenschutz und Vertraulichkeit. Klare interne Zuständigkeiten für technische Sicherheit und Datenschutz-Fragen. Prozesse zur Behandlung von Datenschutzvorfällen (Incident-Management), inkl. Meldewegen und Dokumentation. Regelmäßige Überprüfung der TOM und Anpassung an neue technische und rechtliche Entwicklungen.

1. Hosting / Infrastruktur (Anwendung)

Hostinger International Ltd, 61 Lordou Vyronos, 6023 Larnaca, Zypern. Leistung: Betrieb der Server-Infrastruktur (VPS/Cloud-Instanz mit Coolify). Ort: EU (Frankfurt am Main). Drittlandübermittlung: Ja, auf Basis EU-Standardvertragsklauseln gemäß Hostinger DPA.

2. Hosting / Infrastruktur (Website)

Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Leistung: Hosting der Website appoynt.de. Ort: USA (Edge Network weltweit). Drittlandübermittlung: Ja, EU-US Data Privacy Framework.

3. Datenbank und Authentifizierung

Supabase Inc., 970 Toa Payoh North, Singapore. Leistung: Betrieb der Datenbank und Authentifizierungsdienste (Supabase Auth, PostgreSQL). Ort: EU (Frankfurt am Main). Drittlandübermittlung: Ja, auf Basis von EU-Standardvertragsklauseln gemäß Supabase DPA (Daten gehostet in EU-Region Frankfurt).

4. WhatsApp-Business-Infrastruktur

Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Leistung: Bereitstellung der WhatsApp Business Platform (API) für Terminbestätigungen, -erinnerungen und Kommunikation. Ort: EU und ggf. weitere Länder. Drittlandübermittlung: Ja, EU-US Data Privacy Framework / Standardvertragsklauseln.

5. KI-Dienste (LLM-Routing)

OpenRouter Inc. (Anbieter verschiedener LLM-Modelle), USA. Leistung: Bereitstellung von Large Language Models zur automatisierten Terminverarbeitung. Ort: USA. Drittlandübermittlung: Ja, EU-US Data Privacy Framework / Standardvertragsklauseln.

6. Google-Dienste (KI, Kalender, Analytics)

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Leistung: Bereitstellung von Google Gemini (KI-Modell), Google Calendar API, Google Sign-In, Google Analytics 4. Ort: IE/USA. Drittlandübermittlung: Ja, EU-US Data Privacy Framework.

7. Zahlungsabwicklung

Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin 2, Irland. Leistung: Abwicklung von Zahlungen (Kreditkarte, SEPA-Lastschrift). Ort: IE/USA. Drittlandübermittlung: Ja, EU-US Data Privacy Framework.

8. Fehlerverfolgung

Functional Software Inc. (Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Leistung: Fehlerverfolgung und Performance-Monitoring der Anwendung. Ort: USA. Drittlandübermittlung: Ja, EU-US Data Privacy Framework / Standardvertragsklauseln.

9. Product Analytics

PostHog Inc. (EU-Instanz). Leistung: Product Analytics und Nutzungsanalyse der Plattform. Ort: EU. Drittlandübermittlung: Nein (EU-Instanz).

10. E-Mail-Versand

STRATO AG, Pascalstraße 10, 10587 Berlin, Deutschland. Leistung: SMTP-Server für transaktionale E-Mails. Ort: Deutschland. Drittlandübermittlung: Nein.

11. Bot-Schutz (Anwendung)

Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA. Leistung: Cloudflare Turnstile (Bot-Schutz für die Anwendung). Ort: USA. Drittlandübermittlung: Ja, EU-US Data Privacy Framework.

12. Knowledge-Base-Erstellung

Mendable Inc. (Firecrawl), USA. Leistung: Crawling öffentlich zugänglicher Kunden-Websites zur Erstellung einer Wissensbasis für den KI-Assistenten. Ort: USA. Drittlandübermittlung: Ja, Standardvertragsklauseln.

13. CRM und E-Mail-Marketing

HubSpot Ireland Limited, One Dockland Central, Guild Street, Dublin 1, Irland. Leistung: CRM, Newsletter und Wartelisten-Verwaltung. Ort: Irland. Drittlandübermittlung: Nein (EU).

14. Webanalyse

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Leistung: Microsoft Clarity (Webanalyse/Heatmaps). Ort: Irland. Drittlandübermittlung: Nein (EU).

15. Bot-Schutz (Website)

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Leistung: Google reCAPTCHA v3 (Bot-Schutz für die Website). Ort: IE/USA. Drittlandübermittlung: Ja, EU-US Data Privacy Framework.

1. Schwerwiegende oder wiederholte Datenschutzverstöße

Der Auftragnehmer verstößt vorsätzlich oder grob fahrlässig gegen wesentliche Pflichten aus diesem Vertrag oder aus der DSGVO und behebt den Verstoß trotz schriftlicher Abmahnung und angemessener Fristsetzung nicht.

2. Verletzung von Melde- und Informationspflichten

Der Auftragnehmer zeigt eine Verletzung des Schutzes personenbezogener Daten nicht unverzüglich gemäß § 4 an oder behindert den Auftraggeber bei der Erfüllung seiner Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO in erheblicher Weise.

3. Unzulässige Datenverarbeitung / Verstoß gegen Weisungen

Der Auftragnehmer verarbeitet personenbezogene Daten ohne oder entgegen einer zulässigen Weisung des Auftraggebers oder verweigert die Ausführung rechtmäßiger Weisungen dauerhaft oder wiederholt.

4. Unzulässiger Einsatz von Subunternehmern

Der Auftragnehmer setzt Subunternehmer ohne die nach § 6 erforderliche Zustimmung ein, schließt keine den Anforderungen des Art. 28 DSGVO entsprechenden Verträge oder sorgt nicht für geeignete Garantien bei Drittlandsverarbeitung.

5. Verweigerung von Kontrollen

Der Auftragnehmer verweigert dem Auftraggeber dauerhaft oder trotz Aufforderung die vertraglich vereinbarten Kontroll- und Auditrechte nach § 7.

6. Wegfall des angemessenen Schutzniveaus

Die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen unterschreiten dauerhaft ein angemessenes Schutzniveau und der Auftragnehmer stellt den vertragsgemäßen Zustand trotz Aufforderung und angemessener Fristsetzung nicht wieder her.

7. Insolvenz / wirtschaftliche Unzuverlässigkeit

Über das Vermögen des Auftragnehmers wird ein Insolvenzverfahren eröffnet oder die Eröffnung mangels Masse abgelehnt, oder es liegen sonstige Umstände vor, aus denen sich ergibt, dass der Auftragnehmer seine Pflichten voraussichtlich dauerhaft nicht mehr ordnungsgemäß erfüllen kann.

8. Wegfall gesetzlicher Grundlagen für Drittlandsübermittlungen

Eine für die Datenübermittlung maßgebliche Rechtsgrundlage entfällt oder wird von einer Aufsichtsbehörde untersagt und der Auftragnehmer kann innerhalb angemessener Frist keine alternativen Garantien bereitstellen.

9. Schwerwiegende behördliche Maßnahmen

Gegen den Auftragnehmer werden durch eine Datenschutzaufsichtsbehörde Maßnahmen oder Verfügungen erlassen, die den weiteren Einsatz des Auftragnehmers rechtlich oder faktisch unmöglich machen oder mit erheblichen Risiken für den Auftraggeber verbinden.