← Zurück
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO zwischen
SmartStudio24 UG (haftungsbeschränkt), Helmholtzweg 1, 65428 Rüsselsheim am Main, E-Mail: info@smartstudio24.de (nachfolgend „Auftragsverarbeiter")
und
dem Kunden gemäß Hauptvertrag (nachfolgend „Verantwortlicher").
Dieser AVV wird durch die Annahme der Allgemeinen Geschäftsbedingungen (vgl. AGB § 8.5) Bestandteil des Hauptvertrages. Eine gesonderte Unterzeichnung ist nicht erforderlich.
⚠️ TODO — eRecht24-AVV-Generator (oder anwaltlich geprüfte Vorlage) verwenden. Die folgenden Abschnitte sind die Standardstruktur eines AVV nach Art. 28 DSGVO. Sub-Processor-Tabelle unten ist konkret und kann übernommen werden.
§ 1 Gegenstand und Dauer der Verarbeitung
[Beschreibung des Gegenstandes der Auftragsverarbeitung — Bereitstellung der SaaS-Plattform SmartStudio24, Verarbeitung von Termin-, Kunden- und Chat-Daten. Dauer: für die Vertragslaufzeit + 30 Tage Datenexport-Frist nach Vertragsende.]
§ 2 Art und Zweck der Verarbeitung
[Art: Speicherung, Abruf, Übermittlung an Drittanbieter (siehe § 6 unten), automatisierte Verarbeitung durch KI-Sprachmodelle. Zweck: Terminbuchung und -verwaltung, Kundenkommunikation per WhatsApp, Berichte und Analysen.]
§ 3 Art der personenbezogenen Daten
[Stamm- und Kontaktdaten, Termin-Historie, Chat-Inhalte, Einwilligungsnachweise. KEINE besonderen Kategorien (Art. 9 DSGVO) bewusst — Kunde verpflichtet sich, keine Gesundheitsdaten o.Ä. zu übermitteln.]
§ 4 Kategorien der Betroffenen
[Endkunden des Studios (natürliche Personen), Mitarbeiter des Studios.]
§ 5 Pflichten des Auftragsverarbeiters
[Standardpflichten Art. 28 Abs. 3 DSGVO — Weisungsgebundenheit, Vertraulichkeit des Personals, technische und organisatorische Maßnahmen (TOM), Unterstützung des Verantwortlichen, Information bei Datenschutzverletzungen, Löschung/Rückgabe nach Vertragsende, Nachweis der Pflichteinhaltung.]
§ 6 Unterauftragsverarbeiter (Sub-Processors)
Der Auftragsverarbeiter setzt zum Zeitpunkt des Vertragsschlusses folgende Unterauftragsverarbeiter ein. Die Liste wird laufend gepflegt; Änderungen werden dem Verantwortlichen mindestens 14 Tage vor Inkrafttreten per E-Mail mitgeteilt. Der Verantwortliche kann gemäß AGB § 8.6 widersprechen.
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank, Datei-Speicher | Deutschland (Falkenstein, Nürnberg) |
| 360dialog GmbH | WhatsApp Business API-Anbindung | Deutschland |
| Anthropic, Inc. | KI-Sprachverarbeitung (pseudonymisierte Daten — Telefonnummern, E-Mails und vollständige Namen werden vor Übermittlung durch interne Kennungen ersetzt) | USA (EU-Standardvertragsklauseln) |
| Stripe, Inc. | Zahlungsabwicklung (SEPA, Kreditkarte) | USA / EU (EU-Standardvertragsklauseln) |
| Google LLC | Google Calendar API (optional, nur bei Aktivierung), Google Maps Embed (auf Studio-Websites) | USA (EU-Standardvertragsklauseln) |
§ 7 Technische und organisatorische Maßnahmen (TOM)
[Konkrete TOM-Liste — typischerweise: Verschlüsselung in Transit (TLS 1.2+) und at Rest (Telefonnummern Fernet-encrypted), Zugriffskontrollen (NextAuth, role-based), Backup-Strategie (täglich verschlüsselt, GPG, 30 Tage Aufbewahrung), Monitoring (Uptime Kuma, Logs), DSGVO-Schulung des Personals. eRecht24 generiert eine ausführliche Liste.]
§ 8 Datenexport und Löschung nach Vertragsende
[Standardklausel: Datenexport für 30 Tage verfügbar (vgl. AGB § 7.4 + § 9), danach unwiderrufliche Löschung. Gesetzliche Aufbewahrungspflichten (z. B. Rechnungen nach § 147 AO) bleiben unberührt.]
§ 9 Sonstiges
[Vorrang der DSGVO bei Widersprüchen, Schriftform-Vorbehalt für Änderungen, salvatorische Klausel.]
Stand: Mai 2026