Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: Februar 2026
Vertragsparteien
Auftraggeber:
Der Auftraggeber (nachfolgend „Auftraggeber" - der Betrieb, der CrownBooking nutzt)
Auftragnehmer:
CrownSolutions (KI-Agentur Brügmann)
Tobias Brügmann
Ihlsee 1, 23701 Süsel
E-Mail: tobi@crown-solutions.de
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer stellt dem Auftraggeber die SaaS-Plattform „CrownBooking" zur Verfügung. Diese ermöglicht die Online-Terminbuchung durch Endkunden des Auftraggebers sowie die Verwaltung von Terminen, Mitarbeitern und Dienstleistungen.
(2) Die Verarbeitung beginnt mit der Registrierung des Auftraggebers auf der Plattform und endet 60 Tage nach Beendigung des Nutzungsvertrags. Nach Ablauf dieser Frist werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken: a) Bereitstellung der Buchungsplattform für Endkunden des Auftraggebers b) Verwaltung und Anzeige von Terminen im Kalender c) Versand von E-Mail-Benachrichtigungen (Buchungsbestätigungen, Erinnerungen, Änderungsmitteilungen) d) Synchronisation mit externen Kalenderdiensten (sofern vom Auftraggeber aktiviert) e) Technischer Betrieb, Fehlerbehebung und Sicherstellung der Systemstabilität
§ 3 Art der personenbezogenen Daten
Folgende Datenkategorien werden im Auftrag des Auftraggebers verarbeitet: Daten der Endkunden (Buchende): - Name (Pflichtangabe) - E-Mail-Adresse (optional, je nach Einstellung des Auftraggebers) - Telefonnummer (optional, je nach Einstellung des Auftraggebers) - Notizen/Freitextfeld (optional) - Termindaten (Datum, Uhrzeit, gewählte Dienstleistung, zugewiesener Mitarbeiter) Technische Daten: - IP-Adresse, Browser, Betriebssystem (Server-Logfiles) - Fehlermeldungen und Performance-Daten (Sentry) Hinweis zu Freitextfeldern: Der Auftraggeber ist dafür verantwortlich, dass in Freitextfeldern (z.B. Notizen) keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z.B. Gesundheitsdaten) ohne entsprechende Rechtsgrundlage eingegeben werden.
§ 4 Kategorien betroffener Personen
Von der Verarbeitung betroffen sind: - Endkunden des Auftraggebers, die über die Plattform Termine buchen - Mitarbeiter des Auftraggebers, deren Daten im System hinterlegt werden
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers.
(2) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind.
(3) Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese sind in Anlage 1 dokumentiert.
(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15-22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen.
(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Datenschutzverletzungen.
§ 6 Weisungsrecht
(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers.
(2) Weisungen sind schriftlich per E-Mail an tobi@crown-solutions.de zu erteilen.
(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen Datenschutzvorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
§ 7 Subunternehmer
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) hinzuzuziehen. Die aktuell eingesetzten Subunternehmer sind in Anlage 2 aufgeführt.
(2) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern per E-Mail.
(3) Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Information widersprechen. Der Widerspruch bedarf der Schriftform.
(4) Erfolgt ein Widerspruch und kann keine Einigung erzielt werden, hat der Auftraggeber das Recht, den Nutzungsvertrag außerordentlich zu kündigen.
§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber kann die Einhaltung der datenschutzrechtlichen Anforderungen wie folgt überprüfen: a) Selbstauskunft: Der Auftragnehmer stellt auf Anfrage die aktuelle TOM-Dokumentation sowie relevante Nachweise zur Verfügung. b) Schriftliche Prüfung: Der Auftraggeber kann schriftliche Fragen zur Datenverarbeitung stellen, die innerhalb von 14 Tagen beantwortet werden. c) Vor-Ort-Prüfung: Nach Vorankündigung von mindestens 14 Tagen, während der üblichen Geschäftszeiten, auf Kosten des Auftraggebers und unter Wahrung von Geschäftsgeheimnissen. (2) Der Auftragnehmer unterstützt den Auftraggeber bei Prüfungen durch Aufsichtsbehörden.
§ 9 Löschung nach Vertragsende
(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 60 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(2) Der Auftraggeber kann vor Vertragsende einen Export seiner Daten anfordern.
§ 10 Haftung
Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.
§ 11 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt deutsches Recht.
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
gemäß Art. 32 DSGVO
1. Vertraulichkeit
1.1 Zutrittskontrolle
Die Server werden bei Hetzner Online GmbH in deutschen Rechenzentren mit folgenden Maßnahmen gehostet: - Zutrittskontrollsystem mit Protokollierung - Videoüberwachung - Sicherheitspersonal
1.2 Zugangskontrolle
• Server-Zugang ausschließlich für den Geschäftsführer - SSH-Zugang zum Server - Authentifizierung der Nutzer (Betriebe) per E-Mail und Passwort
1.3 Zugriffskontrolle
• Rollenbasiertes Berechtigungskonzept (Admin, Owner, Team) - Multi-Tenant-Architektur mit strikter Datentrennung per instanceId - Cascade Delete bei Löschung einer Instanz
1.4 Trennungskontrolle
• Logische Trennung der Mandantendaten in der Datenbank (Multi-Tenant via instanceId) - Jede Datenbankabfrage wird auf die jeweilige Instanz gefiltert
2. Integrität
2.1 Weitergabekontrolle
• Verschlüsselte Datenübertragung via HTTPS/TLS (Let's Encrypt Zertifikate) - Verschlüsselte Datenbankverbindungen (PostgreSQL SSL aktiviert) - E-Mail-Versand über IONOS mit TLS-Verschlüsselung
2.2 Eingabekontrolle
• Protokollierung von Änderungen in Server-Logfiles - Fehler-Tracking via Sentry mit 30 Tagen Aufbewahrung
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
• Tägliche Datenbank-Backups - Hosting bei Hetzner mit redundanter Infrastruktur - Monitoring via Sentry (Uptime-Alerts, Performance-Monitoring)
3.2 Wiederherstellbarkeit
• Backups ermöglichen Wiederherstellung innerhalb von 24 Stunden - Dokumentierte Wiederherstellungsprozedur
4. Verfahren zur regelmäßigen Überprüfung
• Regelmäßige Überprüfung der Sicherheitsmaßnahmen - Monitoring und Alerting bei Sicherheitsvorfällen - Aktualisierung der TOMs bei Änderungen der Infrastruktur
Anlage 2: Liste der Subunternehmer
Folgende Subunternehmer werden zur Erbringung der Leistungen eingesetzt:
| Unternehmen | Zweck | Land | Garantie |
|---|---|---|---|
| Hetzner Online GmbH | Hosting, Datenbank | Deutschland | DSGVO (EU) |
| IONOS SE | E-Mail-Versand | Deutschland | DSGVO (EU) |
| Lemon Squeezy, LLC (222 South Main Street, Suite 500, Salt Lake City, UT 84101) | Zahlungsabwicklung, Abonnementverwaltung | USA | EU-Standardvertragsklauseln (SCCs) |
| Functional Software Inc. (Sentry) | Fehler-Tracking, Monitoring | USA | EU-U.S. Data Privacy Framework |
| Cloudflare Inc. | Bildspeicherung (R2 Storage) | USA | EU-U.S. Data Privacy Framework |
| Google Ireland Ltd. | Calendar Sync (optional) | Irland | DSGVO (EU) |
| Apple Inc. | Calendar Sync (optional) | USA | EU-U.S. Data Privacy Framework |
| Microsoft Corporation | Calendar Sync (Outlook, optional) | USA | EU-U.S. Data Privacy Framework |
Die Calendar-Sync-Funktionen sind optional und werden nur aktiviert, wenn der Auftraggeber diese explizit einrichtet. Dabei werden Kalenderdaten zwischen der CrownBooking-Plattform und dem jeweiligen Kalenderdienst synchronisiert.