Auftragsverarbeitungsvertrag (AVV)
Stand: 16. Juni 2026 · Anlage zu den AGB
Präambel
Dieser Auftragsverarbeitungsvertrag (AVV) ist integraler Bestandteil der AGB und regelt die Verarbeitung, die der Auftragsverarbeiter (Mészáros János, Einzelunternehmer, Betreiber von GrabTheSlot) im Auftrag des Verantwortlichen (des Abonnenten) innerhalb des GrabTheSlot-Dienstes durchführt, gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO).
Dieser AVV tritt mit der Annahme der AGB für jeden Abonnenten automatisch in Kraft und bleibt für die Dauer des Abonnements wirksam.
1. Parteien und Begriffe
- Verantwortlicher: der Abonnent — das Unternehmen, das GrabTheSlot nutzt und über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner eigenen Endkunden entscheidet.
- Auftragsverarbeiter: Mészáros János, Einzelunternehmer, Betreiber von GrabTheSlot, der personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.
- Betroffene Personen: die Endkunden des Verantwortlichen (buchende Personen) und die Mitarbeiter des Kontos des Verantwortlichen.
- Unterauftragsverarbeiter: ein vom Auftragsverarbeiter eingesetzter Dritter zur Durchführung von Verarbeitungsaufgaben (siehe Abschnitt 5).
2. Gegenstand, Art, Zweck und Dauer
- Gegenstand: Verarbeitung der personenbezogenen Daten der Endkunden und Mitarbeiter des Verantwortlichen über die GrabTheSlot-Buchungsplattform.
- Art: Speicherung, Änderung, Abruf, Löschung, strukturierte Organisation, Sicherung und anonymisierte statistische Aggregation.
- Zweck: die technische Bereitstellung des Buchungs-, Kundenverwaltungs- und Benachrichtigungsdienstes für den Verantwortlichen.
- Dauer: die Abonnementlaufzeit zuzüglich der in Abschnitt 8 definierten Aufbewahrungs- und Löschfristen.
3. Kategorien betroffener Personen und Daten
- Identifikatoren: Name, E-Mail-Adresse, Telefonnummer
- Buchungsdaten: Zeitpunkt, gewählte Leistung, zugewiesener Mitarbeiter, Preis
- Vom Verantwortlichen erfasste Kundennotizen
- Protokolldaten: IP-Adresse, Browser, Zeitstempel von Buchungsereignissen (technische Zwecke)
- Mitarbeiterdaten: Name, E-Mail, Rolle, Berechtigungen
Der Auftragsverarbeiter verarbeitet NICHT: Zahlungskarten- oder Zahlungsdaten — diese werden ausschließlich von Paddle (Merchant of Record) verarbeitet, das für Zahlungsdaten als eigenständig Verantwortlicher handelt.
4. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)
Der Auftragsverarbeiter verpflichtet sich:
- personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich Übermittlungen in Drittländer;
- sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind;
- die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen umzusetzen (Abschnitt 6);
- Unterauftragsverarbeiter nur unter der allgemeinen Genehmigung gemäß Abschnitt 5 einzusetzen und dem Verantwortlichen die Möglichkeit zum Widerspruch gegen Änderungen zu geben;
- den Verantwortlichen bei der Beantwortung von Betroffenenanfragen zu unterstützen (Art. 12–22 DSGVO);
- den Verantwortlichen bei seinen Pflichten nach Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldung von Verletzungen, Folgenabschätzungen);
- nach Beendigung des Auftrags die personenbezogenen Daten nach Wahl des Verantwortlichen zurückzugeben oder zu löschen;
- dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen bereitzustellen und vom Verantwortlichen verlangte Audits zu ermöglichen.
5. Unterauftragsverarbeiter
Mit der Annahme dieses AVV erteilt der Verantwortliche die allgemeine Genehmigung für folgende Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Zweck | Datenstandort |
|---|---|---|
| Supabase Inc. | Datenbankbetrieb, Authentifizierung, Dateispeicher | EU (Frankfurt, Deutschland) |
| Hetzner Online GmbH | Serverbetrieb und Hosting | EU (Nürnberg / Falkenstein, Deutschland) |
| Resend Inc. | Versand transaktionaler E-Mails | USA (EU-U.S. Data Privacy Framework) |
| Paddle.com Market Limited | Zahlungsabwicklung (Merchant of Record) — ausschließlich für die Abrechnungsdaten des Verantwortlichen | EU / UK |
Neue Unterauftragsverarbeiter: Der Auftragsverarbeiter kündigt jeden neuen Unterauftragsverarbeiter per E-Mail mindestens 30 Tage vor dem Wirksamwerden der Änderung an. Der Verantwortliche kann widersprechen; wird innerhalb einer angemessenen Frist keine Einigung erzielt, kann der Verantwortliche das Abonnement mit sofortiger Wirkung kündigen.
6. Sicherheitsmaßnahmen (Art. 32 DSGVO)
- Verschlüsselung bei der Übertragung: gesamter HTTP-Verkehr über TLS 1.2+ (HSTS aktiviert)
- Verschlüsselung im Ruhezustand: Datenbank und Dateispeicher innerhalb der Supabase-/Hetzner-Infrastruktur verschlüsselt
- Mandantentrennung: Row-Level-Security-(RLS)-Regeln stellen sicher, dass die Daten jedes Abonnenten nur über sein eigenes Konto erreichbar sind
- Zugriffskontrolle: strenge Passwortrichtlinie, gehashte Zugangsdaten, Sitzungslimits
- Rollenbasierter Zugriff (RBAC): getrennte Rollen Inhaber / Mitarbeiter / Delegiert mit mehrschichtigen Berechtigungsprüfungen
- Protokollierung und Vorfallerkennung: Systemfehlerprotokolle, Buchungs-Audit-Log
- Backups: automatisierte tägliche Sicherungen
- Datenminimierung: es werden nur die für die Diensterbringung erforderlichen Daten gespeichert
- Beschränkung des internen Zugriffs: Produktionsdaten sind nur für die betriebsverantwortliche Person zugänglich, in dokumentierter Weise
7. Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO)
Bei Feststellung einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, per E-Mail — einschließlich der Art der Verletzung, der Kategorien und der ungefähren Zahl der betroffenen Personen, der wahrscheinlichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen. Der Verantwortliche ist für die Meldung an seine zuständige Aufsichtsbehörde nach Art. 33 DSGVO verantwortlich; der Auftragsverarbeiter stellt alle erforderlichen Informationen bereit.
8. Rückgabe und Löschung
Bei Beendigung des Abonnements kann der Verantwortliche seine Daten exportieren; nach einer Übergangsfrist zur Reaktivierung löscht der Auftragsverarbeiter die personenbezogenen Daten, sofern keine Aufbewahrung nach EU- oder mitgliedstaatlichem Recht erforderlich ist (z. B. Rechnungsunterlagen).
9. Internationale Übermittlungen
Personenbezogene Daten werden primär innerhalb des EWR (Deutschland) gespeichert. Übermittlungen außerhalb des EWR erfolgen nur mit den Garantien des Kapitels V der DSGVO:
- Resend Inc. (USA): auf Grundlage des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework.
- Paddle.com Market Limited (UK): auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission für das Vereinigte Königreich.
- Supabase Inc. (Muttergesellschaft in den USA): Die Daten werden ausschließlich in der EU (Frankfurt) gespeichert; für etwaige Zugriffe der US-Muttergesellschaft gelten die Standardvertragsklauseln (SCC) der EU-Kommission.