← Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen

dem Auftraggeber

(nachfolgend „Auftraggeber" — der Betrieb, der CrownBooking nutzt; die konkreten Vertragsdaten des Auftraggebers, einschließlich Firmenname, Anschrift, vertretungsberechtigter Person und Kontakt-E-Mail, ergeben sich aus den im CrownBooking-System unter „Einstellungen → Stammdaten" hinterlegten Angaben sowie aus dem in der Plattform protokollierten Akzeptanz-Datensatz dieses Vertrags)

und

CrownSolutions Inhaber: Tobias Brügmann Ihlsee 1 23701 Süsel E-Mail: tobi@crown-solutions.de

(nachfolgend „Auftragnehmer")

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer stellt dem Auftraggeber die SaaS-Plattform „CrownBooking" zur Verfügung. Diese ermöglicht die Online-Terminbuchung durch Endkunden des Auftraggebers sowie die Verwaltung von Terminen, Mitarbeitern, Dienstleistungen und Kundenprofilen.

(2) Die Verarbeitung beginnt mit der Registrierung des Auftraggebers auf der Plattform und endet 60 Tage nach Beendigung des Nutzungsvertrags. Nach Ablauf dieser Frist werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:

a) Bereitstellung der Buchungsplattform für Endkunden des Auftraggebers b) Verwaltung und Anzeige von Terminen, Mitarbeitern und Dienstleistungen c) Automatische Erstellung und Verwaltung von Kundenprofilen (CRM-Funktion) auf Basis von Buchungen d) Versand von E-Mail-Benachrichtigungen (Buchungsbestätigungen, Erinnerungen, Änderungsmitteilungen) e) Technischer Betrieb, Fehlerbehebung und Sicherstellung der Systemstabilität

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden im Auftrag des Auftraggebers verarbeitet:

Daten der Endkunden (Buchende):

  • Name (Pflichtangabe)
  • E-Mail-Adresse (optional, je nach Einstellung des Auftraggebers)
  • Telefonnummer (optional, je nach Einstellung des Auftraggebers)
  • Notizen / Freitextfeld (optional)
  • Termindaten (Datum, Uhrzeit, gewählte Dienstleistung, zugewiesener Mitarbeiter)
  • Kundenprofil-Historie (Buchungen, Stornierungen, vom Auftraggeber konfigurierbare Aufbewahrungsdauer von 6, 12 oder 24 Monaten ab letzter Buchung)

Daten der Mitarbeiter des Auftraggebers:

  • Name
  • E-Mail-Adresse
  • Rolle (Owner, Team)
  • Arbeitszeiten und zugewiesene Dienstleistungen

Technische Daten:

  • IP-Adresse, Browser, Betriebssystem (Server-Logfiles)
  • Fehlermeldungen und Performance-Daten (über das interne Error-Reporting-System des Auftragnehmers, kein externer Dienst)

Hinweis zu Freitextfeldern: Der Auftraggeber ist dafür verantwortlich, dass in Freitextfeldern (z. B. Notizen) keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten) ohne entsprechende Rechtsgrundlage eingegeben werden.

§ 4 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

  • Endkunden des Auftraggebers, die über die Plattform Termine buchen
  • Mitarbeiter des Auftraggebers, deren Daten im System hinterlegt werden

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers.

(2) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind. Aktuell ist der Auftragnehmer Einzelunternehmer ohne weitere mit der Verarbeitung befasste Personen.

(3) Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese sind in Anlage 1 dokumentiert.

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 12-22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorherigen Konsultationen (Art. 36 DSGVO), soweit dies erforderlich ist.

(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 72 Stunden, über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

§ 6 Weisungsrecht

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers.

(2) Weisungen sind in Textform per E-Mail an tobi@crown-solutions.de zu erteilen.

(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen Datenschutzvorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Die Ausführung der Weisung darf der Auftragnehmer in diesem Fall aussetzen, bis sie vom Auftraggeber bestätigt oder geändert wird.

§ 7 Subunternehmer

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) hinzuzuziehen. Die aktuell eingesetzten Subunternehmer sind in Anlage 2 aufgeführt.

(2) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern per E-Mail.

(3) Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Information widersprechen. Der Widerspruch bedarf der Textform.

(4) Erfolgt ein Widerspruch und kann keine Einigung erzielt werden, hat der Auftraggeber das Recht, den Nutzungsvertrag außerordentlich zu kündigen.

(5) Der Auftragnehmer schließt mit jedem Subunternehmer Verträge ab, die den Vorgaben des Art. 28 DSGVO entsprechen und mindestens dasselbe Schutzniveau wie dieser Vertrag gewährleisten.

§ 8 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber kann die Einhaltung der datenschutzrechtlichen Anforderungen wie folgt überprüfen:

a) Selbstauskunft: Der Auftragnehmer stellt auf Anfrage die aktuelle TOM-Dokumentation, Zertifikate der Subunternehmer (z. B. ISO 27001) sowie weitere relevante Nachweise zur Verfügung.

b) Schriftliche Prüfung: Der Auftraggeber kann schriftliche Fragen zur Datenverarbeitung stellen, die innerhalb von 14 Tagen beantwortet werden.

c) Vor-Ort-Prüfung: Nach Vorankündigung von mindestens 14 Tagen, während der üblichen Geschäftszeiten, auf Kosten des Auftraggebers und unter Wahrung von Geschäftsgeheimnissen.

(2) Der Auftragnehmer unterstützt den Auftraggeber bei Prüfungen durch Aufsichtsbehörden.

§ 9 Löschung nach Vertragsende

(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 60 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Der Auftraggeber kann vor Vertragsende einen Export seiner Daten anfordern.

(3) Sicherungskopien (Backups), die personenbezogene Daten enthalten, werden im Rahmen des regulären Backup-Zyklus überschrieben. Der Backup-Zyklus beträgt maximal 90 Tage.

§ 10 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.

§ 11 Bereitstellung von Mustervorlagen für Rechtstexte

(1) Der Auftragnehmer stellt dem Auftraggeber innerhalb der Plattform eine AGB-Mustervorlage als unverbindliche Hilfestellung zur Verfügung. Die Mustervorlage ist ein reiner Formulierungsvorschlag und stellt keine Rechtsberatung und keine Rechtsdienstleistung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar.

(2) Der Auftraggeber bleibt allein dafür verantwortlich, ob die Mustervorlage für sein konkretes Geschäftsmodell geeignet, vollständig und wirksam ist. Der Auftraggeber ist verpflichtet, die Mustervorlage vor dem Einsatz eigenständig zu prüfen und — soweit erforderlich — rechtlich beraten zu lassen und anzupassen.

(3) Die Mustervorlage wird erst dann auf der Buchungsseite des Auftraggebers wirksam, wenn der Auftraggeber sie durch eine ausdrückliche, dokumentierte Handlung als seine eigenen Allgemeinen Geschäftsbedingungen übernimmt. Der Auftragnehmer ändert eine bereits übernommene Fassung zu keinem Zeitpunkt einseitig; eine spätere Version wird ausschließlich nach erneuter ausdrücklicher Übernahme durch den Auftraggeber wirksam.

(4) Der Auftragnehmer übernimmt keine Gewähr für die rechtliche Eignung, Vollständigkeit oder Wirksamkeit der Mustervorlage. Für Schäden, die aus der Nutzung der Mustervorlage entstehen, haftet der Auftragnehmer nur bei Vorsatz und grober Fahrlässigkeit sowie bei der Verletzung von Leben, Körper oder Gesundheit. Die Haftung für einfache (leichte) Fahrlässigkeit ist ausgeschlossen, es sei denn, es ist eine wesentliche Vertragspflicht (Kardinalpflicht) betroffen; in diesem Fall ist die Haftung auf den vertragstypisch vorhersehbaren Schaden begrenzt.

(5) Bindet der Auftraggeber statt der Mustervorlage eine eigene, extern gehostete AGB über eine von ihm angegebene Adresse ein, ist der Auftraggeber für deren Inhalt, Verfügbarkeit und Beweissicherung allein verantwortlich.

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Eine elektronische Bestätigung im Onboarding-Prozess der Plattform gilt als ausreichend gemäß Art. 28 Abs. 9 DSGVO.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht.

(4) Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragnehmers.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO — Stand: Mai 2026

1. Vertraulichkeit

1.1 Zutrittskontrolle (physisch)

Die Server werden bei der Hetzner Online GmbH in deutschen Rechenzentren mit folgenden Maßnahmen gehostet:

  • Zutrittskontrollsystem mit Protokollierung
  • Videoüberwachung
  • Sicherheitspersonal rund um die Uhr
  • ISO 27001-Zertifizierung des Rechenzentrums

1.2 Zugangskontrolle (System-Login)

  • Server-Zugang ausschließlich für den Auftragnehmer
  • SSH-Zugang ausschließlich per Public-Key-Authentifizierung (PubkeyAuthentication yes)
  • Passwort-Login deaktiviert (PasswordAuthentication no)
  • Root-Login deaktiviert (PermitRootLogin no)
  • Authentifizierung der Nutzer (Auftraggeber und deren Mitarbeiter) per E-Mail und Passwort
  • Passwort-Hashing mit bcrypt (12 Salt-Rounds)

1.3 Zugriffskontrolle (Daten-Zugriff)

  • Rollenbasiertes Berechtigungskonzept (Owner, Team)
  • Multi-Tenant-Architektur mit strikter Datentrennung per instanceId
  • Jede Datenbankabfrage wird auf die jeweilige Instanz gefiltert
  • Cascade Delete bei Löschung einer Instanz

1.4 Trennungskontrolle

  • Logische Trennung der Mandantendaten in der Datenbank über instanceId
  • Keine Vermischung von Daten verschiedener Auftraggeber

2. Integrität

2.1 Weitergabekontrolle

  • Verschlüsselte Datenübertragung via HTTPS / TLS (Let's-Encrypt-Zertifikate)
  • Verschlüsselte Datenbankverbindungen (PostgreSQL mit aktivem SSL)
  • E-Mail-Versand über IONOS mit TLS-Verschlüsselung
  • Backups werden vor dem Transfer zur Hetzner Storage Box mittels GPG (asymmetrische Verschlüsselung, Public-Key-Verfahren) verschlüsselt

2.2 Eingabekontrolle

  • Protokollierung von Login-Vorgängen und systemkritischen Aktionen in Server-Logfiles
  • Internes Error-Reporting-System des Auftragnehmers (kein externer Drittanbieter); Aufbewahrungsdauer maximal 30 Tage

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

  • Tägliche Datenbank-Backups (verschlüsselt, siehe 2.1)
  • Hosting bei Hetzner mit redundanter Infrastruktur
  • Eigenes Monitoring-System (Uptime, Performance, Fehler) mit Push-Benachrichtigungen bei Vorfällen

3.2 Wiederherstellbarkeit

  • Backups ermöglichen Wiederherstellung innerhalb von 24 Stunden
  • Dokumentierte Wiederherstellungsprozedur
  • Pre-Deploy-Backups vor jedem Produktiv-Deployment mit automatischem Rollback bei Health-Check-Fehlern

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen
  • Monitoring und Alerting bei Sicherheitsvorfällen
  • Aktualisierung der TOMs bei Änderungen der Infrastruktur

Anlage 2: Liste der Subunternehmer

Stand: Mai 2026

DienstleisterZweckSitzGarantie
Hetzner Online GmbHHosting, Datenbank, Backup-Storage (Storage Box)DeutschlandDSGVO (EU) — Standard-AVV mit Hetzner abgeschlossen, ISO 27001-zertifiziert
IONOS SEE-Mail-Versand (Transaktionsmails)DeutschlandDSGVO (EU) — Standard-AVV mit IONOS abgeschlossen

Sämtliche Subunternehmer haben ihren Sitz innerhalb der EU. Es findet kein Drittlandtransfer im Sinne von Art. 44 DSGVO statt.

Auftragnehmer: CrownSolutions Inhaber: Tobias Brügmann Ihlsee 1 23701 Süsel E-Mail: tobi@crown-solutions.de

Hinweis zur elektronischen Akzeptanz: Dieser Vertrag wird gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form geschlossen. Die Akzeptanz durch den Auftraggeber erfolgt über die Onboarding-Bestätigung der CrownBooking-Plattform und wird mit Datum, Uhrzeit, IP-Adresse, User-Agent und akzeptierter Vertragsversion im System dokumentiert. Die hinterlegten Stammdaten (Firmenname, Anschrift, vertretungsberechtigte Person) bilden zusammen mit dem Akzeptanz-Datensatz die rechtsverbindliche Identifikation des Vertragspartners.

Version 1.0 – Stand 16. Mai 2026