← Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen

dem Auftraggeber

(nachfolgend „Auftraggeber" — der Betrieb, der CrownBooking nutzt; die konkreten Vertragsdaten des Auftraggebers, einschließlich Firmenname, Anschrift, vertretungsberechtigter Person und Kontakt-E-Mail, ergeben sich aus den im CrownBooking-System unter „Einstellungen → Stammdaten" hinterlegten Angaben sowie aus dem in der Plattform protokollierten Akzeptanz-Datensatz dieses Vertrags)

und

CrownSolutions — Tobias Brügmann Ihlsee 1 23701 Süsel E-Mail: tobi@crown-solutions.de

(nachfolgend „Auftragnehmer")

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer stellt dem Auftraggeber die SaaS-Plattform „CrownBooking" zur Verfügung. Diese ermöglicht die Online-Terminbuchung durch Endkunden des Auftraggebers sowie die Verwaltung von Terminen, Mitarbeitern, Dienstleistungen und Kundenprofilen.

(2) Die Verarbeitung beginnt mit der Registrierung des Auftraggebers auf der Plattform und endet 60 Tage nach Beendigung des Nutzungsvertrags. Nach Ablauf dieser Frist werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:

a) Bereitstellung der Buchungsplattform für Endkunden des Auftraggebers b) Verwaltung und Anzeige von Terminen, Mitarbeitern und Dienstleistungen c) Automatische Erstellung und Verwaltung von Kundenprofilen (CRM-Funktion) auf Basis von Buchungen d) Versand von E-Mail-Benachrichtigungen (Buchungsbestätigungen, Erinnerungen, Änderungsmitteilungen) e) Technischer Betrieb, Fehlerbehebung und Sicherstellung der Systemstabilität

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden im Auftrag des Auftraggebers verarbeitet:

Daten der Endkunden (Buchende):

  • Name (Pflichtangabe)
  • E-Mail-Adresse (optional, je nach Einstellung des Auftraggebers)
  • Telefonnummer (optional, je nach Einstellung des Auftraggebers)
  • Notizen / Freitextfeld (optional)
  • Termindaten (Datum, Uhrzeit, gewählte Dienstleistung, zugewiesener Mitarbeiter)
  • Kundenprofil-Historie (Buchungen, Stornierungen, vom Auftraggeber konfigurierbare Aufbewahrungsdauer von 6, 12 oder 24 Monaten ab letzter Buchung)

Daten der Mitarbeiter des Auftraggebers:

  • Name
  • E-Mail-Adresse
  • Rolle (Owner, Team)
  • Arbeitszeiten und zugewiesene Dienstleistungen

Technische Daten:

  • IP-Adresse, Browser, Betriebssystem (Server-Logfiles)
  • Fehlermeldungen und Performance-Daten (über das interne Error-Reporting-System des Auftragnehmers, kein externer Dienst)

Hinweis zu Freitextfeldern: Der Auftraggeber ist dafür verantwortlich, dass in Freitextfeldern (z. B. Notizen) keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten) ohne entsprechende Rechtsgrundlage eingegeben werden.

§ 4 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

  • Endkunden des Auftraggebers, die über die Plattform Termine buchen
  • Mitarbeiter des Auftraggebers, deren Daten im System hinterlegt werden

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers.

(2) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind. Aktuell ist der Auftragnehmer Einzelunternehmer ohne weitere mit der Verarbeitung befasste Personen.

(3) Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese sind in Anlage 1 dokumentiert.

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 12-22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorherigen Konsultationen (Art. 36 DSGVO), soweit dies erforderlich ist.

(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 72 Stunden, über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

§ 6 Weisungsrecht

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers.

(2) Weisungen sind in Textform per E-Mail an tobi@crown-solutions.de zu erteilen.

(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen Datenschutzvorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Die Ausführung der Weisung darf der Auftragnehmer in diesem Fall aussetzen, bis sie vom Auftraggeber bestätigt oder geändert wird.

§ 7 Subunternehmer

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) hinzuzuziehen. Die aktuell eingesetzten Subunternehmer sind in Anlage 2 aufgeführt.

(2) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern per E-Mail.

(3) Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Information widersprechen. Der Widerspruch bedarf der Textform.

(4) Erfolgt ein Widerspruch und kann keine Einigung erzielt werden, hat der Auftraggeber das Recht, den Nutzungsvertrag außerordentlich zu kündigen.

(5) Der Auftragnehmer schließt mit jedem Subunternehmer Verträge ab, die den Vorgaben des Art. 28 DSGVO entsprechen und mindestens dasselbe Schutzniveau wie dieser Vertrag gewährleisten.

§ 8 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber kann die Einhaltung der datenschutzrechtlichen Anforderungen wie folgt überprüfen:

a) Selbstauskunft: Der Auftragnehmer stellt auf Anfrage die aktuelle TOM-Dokumentation, Zertifikate der Subunternehmer (z. B. ISO 27001) sowie weitere relevante Nachweise zur Verfügung.

b) Schriftliche Prüfung: Der Auftraggeber kann schriftliche Fragen zur Datenverarbeitung stellen, die innerhalb von 14 Tagen beantwortet werden.

c) Vor-Ort-Prüfung: Nach Vorankündigung von mindestens 14 Tagen, während der üblichen Geschäftszeiten, auf Kosten des Auftraggebers und unter Wahrung von Geschäftsgeheimnissen.

(2) Der Auftragnehmer unterstützt den Auftraggeber bei Prüfungen durch Aufsichtsbehörden.

§ 9 Löschung nach Vertragsende

(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 60 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Der Auftraggeber kann vor Vertragsende einen Export seiner Daten anfordern.

(3) Sicherungskopien (Backups), die personenbezogene Daten enthalten, werden im Rahmen des regulären Backup-Zyklus überschrieben. Der Backup-Zyklus beträgt maximal 90 Tage.

§ 10 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.

§ 11 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Eine elektronische Bestätigung im Onboarding-Prozess der Plattform gilt als ausreichend gemäß Art. 28 Abs. 9 DSGVO.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht.

(4) Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragnehmers.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO — Stand: Mai 2026

1. Vertraulichkeit

1.1 Zutrittskontrolle (physisch)

Die Server werden bei der Hetzner Online GmbH in deutschen Rechenzentren mit folgenden Maßnahmen gehostet:

  • Zutrittskontrollsystem mit Protokollierung
  • Videoüberwachung
  • Sicherheitspersonal rund um die Uhr
  • ISO 27001-Zertifizierung des Rechenzentrums

1.2 Zugangskontrolle (System-Login)

  • Server-Zugang ausschließlich für den Auftragnehmer
  • SSH-Zugang ausschließlich per Public-Key-Authentifizierung (PubkeyAuthentication yes)
  • Passwort-Login deaktiviert (PasswordAuthentication no)
  • Root-Login deaktiviert (PermitRootLogin no)
  • Authentifizierung der Nutzer (Auftraggeber und deren Mitarbeiter) per E-Mail und Passwort
  • Passwort-Hashing mit bcrypt (12 Salt-Rounds)

1.3 Zugriffskontrolle (Daten-Zugriff)

  • Rollenbasiertes Berechtigungskonzept (Owner, Team)
  • Multi-Tenant-Architektur mit strikter Datentrennung per instanceId
  • Jede Datenbankabfrage wird auf die jeweilige Instanz gefiltert
  • Cascade Delete bei Löschung einer Instanz

1.4 Trennungskontrolle

  • Logische Trennung der Mandantendaten in der Datenbank über instanceId
  • Keine Vermischung von Daten verschiedener Auftraggeber

2. Integrität

2.1 Weitergabekontrolle

  • Verschlüsselte Datenübertragung via HTTPS / TLS (Let's-Encrypt-Zertifikate)
  • Verschlüsselte Datenbankverbindungen (PostgreSQL mit aktivem SSL)
  • E-Mail-Versand über IONOS mit TLS-Verschlüsselung
  • Backups werden vor dem Transfer zur Hetzner Storage Box mittels GPG (asymmetrische Verschlüsselung, Public-Key-Verfahren) verschlüsselt

2.2 Eingabekontrolle

  • Protokollierung von Login-Vorgängen und systemkritischen Aktionen in Server-Logfiles
  • Internes Error-Reporting-System des Auftragnehmers (kein externer Drittanbieter); Aufbewahrungsdauer maximal 30 Tage

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

  • Tägliche Datenbank-Backups (verschlüsselt, siehe 2.1)
  • Hosting bei Hetzner mit redundanter Infrastruktur
  • Eigenes Monitoring-System (Uptime, Performance, Fehler) mit Push-Benachrichtigungen bei Vorfällen

3.2 Wiederherstellbarkeit

  • Backups ermöglichen Wiederherstellung innerhalb von 24 Stunden
  • Dokumentierte Wiederherstellungsprozedur
  • Pre-Deploy-Backups vor jedem Produktiv-Deployment mit automatischem Rollback bei Health-Check-Fehlern

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen
  • Monitoring und Alerting bei Sicherheitsvorfällen
  • Aktualisierung der TOMs bei Änderungen der Infrastruktur

Anlage 2: Liste der Subunternehmer

Stand: Mai 2026

DienstleisterZweckSitzGarantie
Hetzner Online GmbHHosting, Datenbank, Backup-Storage (Storage Box)DeutschlandDSGVO (EU) — Standard-AVV mit Hetzner abgeschlossen, ISO 27001-zertifiziert
IONOS SEE-Mail-Versand (Transaktionsmails)DeutschlandDSGVO (EU) — Standard-AVV mit IONOS abgeschlossen

Sämtliche Subunternehmer haben ihren Sitz innerhalb der EU. Es findet kein Drittlandtransfer im Sinne von Art. 44 DSGVO statt.

Auftragnehmer: CrownSolutions — Tobias Brügmann Ihlsee 1, 23701 Süsel tobi@crown-solutions.de

Hinweis zur elektronischen Akzeptanz: Dieser Vertrag wird gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form geschlossen. Die Akzeptanz durch den Auftraggeber erfolgt über die Onboarding-Bestätigung der CrownBooking-Plattform und wird mit Datum, Uhrzeit, IP-Adresse, User-Agent und akzeptierter Vertragsversion im System dokumentiert. Die hinterlegten Stammdaten (Firmenname, Anschrift, vertretungsberechtigte Person) bilden zusammen mit dem Akzeptanz-Datensatz die rechtsverbindliche Identifikation des Vertragspartners.

Version 2.1 – Stand 10. Mai 2026