Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO zwischen
SmartStudio24 UG (haftungsbeschränkt) i.G., Helmholtzweg 1, 65428 Rüsselsheim am Main, E-Mail: info@smartstudio24.de (nachfolgend „Auftragsverarbeiter")
und
dem Kunden gemäß Hauptvertrag (nachfolgend „Verantwortlicher").
Dieser AVV wird durch die Annahme der Allgemeinen Geschäftsbedingungen (vgl. AGB § 8.5) Bestandteil des Hauptvertrages. Eine gesonderte Unterzeichnung ist nicht erforderlich.
§ 1 Gegenstand und Dauer der Verarbeitung
Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Plattform „SmartStudio24" gemäß dem zwischen den Parteien geschlossenen Hauptvertrag (AGB). Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen, insbesondere Termin-, Kunden- und Kommunikationsdaten zum Zweck der Terminbuchung und Kundenkommunikation. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zuzüglich einer Frist von 30 Tagen für den Datenexport nach Vertragsende (vgl. § 8).
§ 2 Art und Zweck der Verarbeitung
Art der Verarbeitung: Erheben, Erfassen, Speichern, Auslesen, Abfragen, Verwenden, Übermitteln an Unterauftragsverarbeiter gemäß § 6 sowie teilautomatisierte Verarbeitung durch KI-Sprachmodelle zur Erstellung von Antworten bzw. Antwortvorschlägen.
Zweck der Verarbeitung: Terminbuchung, -verwaltung, -erinnerung und -stornierung; Kundenkommunikation über WhatsApp; Erstellung von Berichten und Auswertungen für den Verantwortlichen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.
§ 3 Art der personenbezogenen Daten
Verarbeitet werden insbesondere: Stamm- und Kontaktdaten (Name, Telefonnummer, ggf. E-Mail-Adresse), Termindaten und Termin-Historie, Inhalte der Kommunikation (Chat-Verläufe), Einwilligungsnachweise.
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung. Der Verantwortliche verpflichtet sich, keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) über die Plattform zu verarbeiten oder an den Auftragsverarbeiter zu übermitteln.
§ 4 Kategorien der betroffenen Personen
Endkundinnen und Endkunden des Verantwortlichen (natürliche Personen) sowie Mitarbeiterinnen und Mitarbeiter des Verantwortlichen.
§ 5 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich gemäß Art. 28 Abs. 3 DSGVO insbesondere:
- personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch hinsichtlich einer Übermittlung in Drittländer, sofern keine gesetzliche Verpflichtung entgegensteht;
- sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind;
- die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe § 7);
- die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 und 4 DSGVO einzuhalten (siehe § 6);
- den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) zu unterstützen;
- den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO zu unterstützen (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung);
- dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden mitzuteilen;
- nach Abschluss der Verarbeitung sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (vgl. § 8);
- dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten zur Verfügung zu stellen und Überprüfungen (Audits) zu ermöglichen und dazu beizutragen;
- den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
§ 6 Unterauftragsverarbeiter (Sub-Processors)
Der Auftragsverarbeiter setzt zum Zeitpunkt des Vertragsschlusses folgende Unterauftragsverarbeiter ein. Die Liste wird laufend gepflegt; Änderungen werden dem Verantwortlichen mindestens 14 Tage vor Inkrafttreten per E-Mail mitgeteilt. Der Verantwortliche kann gemäß AGB § 8.6 widersprechen.
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank, Datei-Speicher | Deutschland (Falkenstein, Nürnberg) |
| Meta Platforms Ireland Ltd. | WhatsApp Business Cloud API (Übermittlung der Chat-Nachrichten) | Irland / USA (EU-US DPF + EU-Standardvertragsklauseln) |
| Cloudflare, Inc. | CDN, Reverse-Proxy, DDoS-Schutz, WAF, DNS | USA (EU-US DPF + EU-Standardvertragsklauseln) |
| Anthropic, Inc. | KI-Sprachverarbeitung. Personenbezogene Daten werden vor der Übermittlung soweit technisch möglich pseudonymisiert (Ersetzung von Telefonnummern, E-Mail-Adressen und Namen durch interne Kennungen). Eine vollständige Pseudonymisierung freier Texteingaben kann nicht garantiert werden; die Übermittlung ist zusätzlich durch AVV und EU-Standardvertragsklauseln mit dem Anbieter abgesichert. | USA (EU-Standardvertragsklauseln) |
| Lemon Squeezy, LLC (Merchant of Record) | Zahlungsabwicklung, Rechnungsstellung, Umsatzsteuer-Abführung | USA (EU-US DPF + EU-Standardvertragsklauseln) |
| Google LLC | Google Calendar API (optional, nur bei Aktivierung), Google Maps Embed (auf Studio-Websites) | USA (EU-Standardvertragsklauseln) |
§ 7 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:
- Verschlüsselung: Transportverschlüsselung mit TLS 1.2 oder höher; Telefonnummern werden verschlüsselt gespeichert (Fernet/AES).
- Zugriffskontrolle: rollenbasierte Zugriffskontrolle (NextAuth), individuelle Authentifizierung, Passwort-Hashing; Zugriff nur für autorisiertes Personal.
- Mandantentrennung: logische Trennung der Daten je Studio.
- Pseudonymisierung: Pseudonymisierung personenbezogener Daten vor Übermittlung an den KI-Dienst, soweit technisch möglich.
- Verfügbarkeit und Belastbarkeit: Hosting auf Servern in Deutschland (Hetzner, Falkenstein/Nürnberg); Monitoring der Systemverfügbarkeit (Uptime Kuma); Protokollierung.
- Datensicherung: tägliche, GPG-verschlüsselte Backups mit 30 Tagen Aufbewahrung.
- Organisatorische Maßnahmen: Verpflichtung des Personals auf Vertraulichkeit; Sensibilisierung für Datenschutz.
§ 8 Datenexport und Löschung nach Vertragsende
Nach Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen die Daten für 30 Tage in einem gängigen, maschinenlesbaren Format (JSON/CSV) zum Export bereit (vgl. AGB § 9). Nach Ablauf dieser Frist werden sämtliche personenbezogenen Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO) entgegenstehen. Die Löschung wird dem Verantwortlichen auf Verlangen schriftlich bestätigt.
§ 9 Sonstiges
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlicher Hinsicht die Regelungen dieses AVV vor. Änderungen und Ergänzungen bedürfen der Textform. Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Stand: Mai 2026