Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: April 2026 · Version 1.0

Dieser AVV wird zwischen der ZeitAnker Digital UG (i.Gr.) als Auftragsverarbeiter und dem jeweiligen Betreiber (Nutzer von terminfrei.app) als Verantwortlichem geschlossen. Er ergänzt den Nutzungsvertrag (AGB) und die Datenschutzerklärung.

§ 1 Vertragsgegenstand und Geltungsbereich

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien aus dem zwischen ihnen bestehenden Nutzungsvertrag über die SaaS-Plattform terminfrei.app.

(2) Vertragsparteien sind:

Verantwortlicher: Der jeweilige Nutzer (Betreiber) der Plattform terminfrei.app gemäß den AGB (nachfolgend „Auftraggeber")
Auftragsverarbeiter: ZeitAnker Digital UG (i.Gr.), Hafenallee 19, 63067 Offenbach am Main, vertreten durch die Geschäftsführerin Verena Blum (nachfolgend „Auftragnehmer")

(3) Dieser AVV gilt für alle Tätigkeiten, bei denen der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet. Er wird mit der Registrierung auf terminfrei.app und Akzeptanz der AGB wirksam.

§ 2 Gegenstand, Dauer und Art der Verarbeitung

(1) Gegenstand der Verarbeitung: Bereitstellung der SaaS-Plattform terminfrei.app zur Verwaltung von Terminslots und Abonnenten-Benachrichtigungen.

(2) Dauer: Der AVV gilt für die Dauer des Nutzungsvertrags (AGB) und endet mit dessen Beendigung zuzüglich der in § 10 geregelten Löschfristen.

(3) Art der Verarbeitung:

Erheben, Speichern, Verwalten und Löschen von Abonnenten-Daten
Versand von Push-Benachrichtigungen an Abonnenten über verfügbare Termine
Versand von E-Mail-Benachrichtigungen (soweit vom Auftraggeber aktiviert)
Bereitstellung von Terminseiten (Landing Pages) mit Buchungsfunktion
Bereitstellung von Export-Funktionen für Abonnenten-Daten

(4) Zweck der Verarbeitung: Ausschließlich zur Erfüllung des Nutzungsvertrags. Eine darüber hinausgehende Verarbeitung findet nicht statt.

§ 3 Kategorien betroffener Personen und personenbezogener Daten

(1) Betroffene Personen:

Abonnenten (Patienten, Kunden) des Auftraggebers, die sich auf dessen Terminseite registrieren

(2) Kategorien personenbezogener Daten:

Datenkategorie	Details	Pflicht/Optional
Name	Vor- und Nachname	Pflichtfeld
Telefonnummer	Mobilnummer für Push/SMS	Pflichtfeld
E-Mail-Adresse	Für E-Mail-Benachrichtigungen	Optional
Push-Subscription	Technischer Endpoint für Web-Push	Optional (bei Aktivierung)
Buchungsdaten	Gebuchte Termine, Zeitpunkt, Status	Bei Buchung
Anmeldezeitpunkt	Datum/Uhrzeit der Registrierung	Automatisch

(3) Keine besonderen Kategorien: Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet (insbesondere keine Gesundheitsdaten, Diagnosen oder medizinische Informationen).

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Die Weisungen ergeben sich aus diesem AVV, dem Nutzungsvertrag sowie den Einstellungen im Portal. Weitergehende Einzelweisungen können per E-Mail an datenschutz@terminfrei.app erteilt werden.

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

(3) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung beauftragten Personen:

zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO)
die personenbezogenen Daten nur auf dokumentierte Weisung des Auftraggebers verarbeiten
in den Grundlagen des Datenschutzrechts geschult werden

(4) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1: TOMs).

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO, insbesondere bei:

Anfragen betroffener Personen (Art. 15–22 DSGVO)
Meldepflichten bei Datenschutzverletzungen (Art. 33, 34 DSGVO)
Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO), soweit erforderlich

§ 5 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine schriftliche Genehmigung zur Hinzuziehung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.

(2) Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragnehmer folgende Unterauftragsverarbeiter ein:

Unterauftragsverarbeiter	Verarbeitungstätigkeit	Sitz / Serverstandort
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen	Hosting der gesamten Plattform-Infrastruktur (Server, Datenbank, Backups)	Deutschland (Nürnberg/Falkenstein)
Brevo SAS (ehem. Sendinblue) 7 rue de Madrid, 75008 Paris	Versand transaktionaler E-Mails an Betreiber und (sofern aktiviert) an Abonnenten	Frankreich / EU
Mollie B.V. Keizersgracht 126, 1015 CW Amsterdam	Zahlungsabwicklung (nur Betreiber-Zahlungsdaten, keine Abonnenten-Daten)	Niederlande / EU
Google LLC (Firebase Cloud Messaging) 1600 Amphitheatre Parkway, Mountain View, CA	Technische Zustellung von Web-Push-Notifications an Abonnenten-Browser	USA (Angemessenheit: EU-US Data Privacy Framework + EU-SCCs)

(3) Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail informieren und ihm die Möglichkeit geben, innerhalb von 14 Tagen Einspruch zu erheben.

(4) Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem AVV vereinbart (Art. 28 Abs. 4 DSGVO).

§ 6 Datenschutzverletzungen

(1) Der Auftragnehmer wird den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO informieren.

(2) Die Meldung enthält mindestens:

Beschreibung der Art der Verletzung, einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
Name und Kontaktdaten des Ansprechpartners beim Auftragnehmer
Beschreibung der wahrscheinlichen Folgen der Verletzung
Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und den betroffenen Personen (Art. 34 DSGVO).

§ 7 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Vereinbarungen dieses AVV zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Dies umfasst:

Auskünfte des Auftragnehmers
Einsichtnahme in relevante Dokumentationen und Zertifizierungen
Inspektionen, die in angemessener Frist angekündigt werden (mindestens 14 Tage)

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.

(3) Inspektionen vor Ort erfolgen nach vorheriger Abstimmung während der üblichen Geschäftszeiten. Der Auftraggeber trägt die Kosten der Inspektion, soweit keine Verstöße festgestellt werden.

§ 8 Weisungsrecht

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Auftraggebers. Die Weisungen können erteilt werden:

durch die Konfiguration der Plattform (Einstellungen im Portal)
schriftlich per E-Mail an datenschutz@terminfrei.app
durch die Bestimmungen dieses AVV und des Nutzungsvertrags

(2) Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(3) Ist der Auftragnehmer nach dem Recht der EU oder eines Mitgliedstaats zur Verarbeitung verpflichtet, teilt er dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit, sofern dieses Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

§ 9 Betroffenenrechte

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Abonnenten) gemäß Art. 15–22 DSGVO, insbesondere bei:

Auskunftsersuchen (Art. 15 DSGVO)
Berichtigungsverlangen (Art. 16 DSGVO)
Löschungsverlangen (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)

(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, wird dieser die Anfrage unverzüglich an den Auftraggeber weiterleiten und keine eigenständige Beantwortung vornehmen, sofern nicht anders vereinbart.

(3) Der Auftragnehmer stellt dem Auftraggeber über die Plattform Funktionen zur Verfügung, mit denen Abonnenten-Daten eingesehen, exportiert, berichtigt und gelöscht werden können.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).

(2) Vor der Löschung hat der Auftraggeber die Möglichkeit, seine Daten über die Exportfunktion der Plattform zu sichern (30 Tage nach Vertragsende).

(3) Die Löschung erfolgt durch unwiderrufliches Überschreiben oder sicheres Entfernen der Daten aus allen Systemen des Auftragnehmers, einschließlich Backups (innerhalb von 90 Tagen nach Vertragsende).

(4) Der Auftragnehmer bestätigt die vollständige Löschung auf Anfrage des Auftraggebers schriftlich.

§ 11 Haftung

(1) Die Haftung der Vertragsparteien richtet sich nach Art. 82 DSGVO. Jede Partei haftet für Schäden, die durch eine nicht DSGVO-konforme Verarbeitung verursacht wurden.

(2) Der Auftragnehmer haftet für Schäden nur insoweit, als er seinen speziell auferlegten Pflichten nicht nachgekommen ist oder Weisungen des Auftraggebers nicht befolgt hat (Art. 82 Abs. 2 DSGVO).

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform (E-Mail genügt).

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Offenbach am Main.

(4) Dieser AVV tritt mit Registrierung auf terminfrei.app und Akzeptanz der AGB in Kraft. Er ersetzt alle vorherigen Vereinbarungen zur Auftragsverarbeitung zwischen den Parteien.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO · Stand: April 2026

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen implementiert:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen):

Serverhosting bei Hetzner Online GmbH in zertifizierten Rechenzentren (ISO 27001) in Deutschland
Kein physischer Zugang zu Servern durch den Auftragnehmer erforderlich (vollständig cloud-basiert)

Zugangskontrolle (Schutz vor unbefugter Systembenutzung):

SSH-Zugang zu Servern ausschließlich über SSH-Key-Authentifizierung (keine Passwort-Logins)
Firewall-Konfiguration: nur notwendige Ports geöffnet (HTTPS 443, SSH 22)
Automatische Sicherheitsupdates (unattended-upgrades)
Fail2Ban zum Schutz vor Brute-Force-Angriffen

Zugriffskontrolle (Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen):

Rollenbasiertes Zugriffskonzept in der Plattform (Admin, Manager, Mitarbeiter)
Verschlüsselte Passwort-Speicherung mittels bcrypt
Magic-Login-Links mit begrenzter Gültigkeit (15 Minuten)
Passwort-Reset-Links mit begrenzter Gültigkeit (1 Stunde)
Automatische Session-Timeouts

Trennungskontrolle (getrennte Verarbeitung für verschiedene Zwecke):

Mandantentrennung: Jeder Betreiber hat einen eigenen, isolierten Datenbereich (Organisations-ID)
Betreiber können ausschließlich auf ihre eigenen Abonnenten-Daten zugreifen
Produktiv- und Entwicklungssysteme sind physisch getrennt (unterschiedliche Server)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle (Schutz bei Datenübertragung):

Verschlüsselung aller Datenübertragungen via TLS 1.2+ / HTTPS
HSTS (HTTP Strict Transport Security) mit Preload aktiviert
Verschlüsselte Verbindungen zu allen Unterauftragsverarbeitern (Brevo, Mollie)

Eingabekontrolle (Nachvollziehbarkeit von Änderungen):

Protokollierung von Account-Aktivitäten (Login, Datenänderungen)
E-Mail-Log für alle versandten transaktionalen E-Mails
Buchungshistorie mit Zeitstempeln

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Verfügbarkeitskontrolle:

Angestrebte Verfügbarkeit: 99 % monatlich
Tägliche automatisierte Backups der Datenbank
Server-Monitoring mit automatischer Alarmierung (Uptime Kuma)
Redundante Cluster-Konfiguration (PM2, 2 Instanzen)
DDoS-Schutz durch Hetzner-Infrastruktur

Wiederherstellbarkeit:

Tägliche Datenbank-Backups mit mindestens 7 Tagen Aufbewahrung
Dokumentierte Wiederherstellungsprozedur
Recovery Point Objective (RPO): 24 Stunden
Recovery Time Objective (RTO): 4 Stunden

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Regelmäßige Sicherheitsscans der Infrastruktur
Automatisierte End-to-End-Tests nach jedem Deployment
Content Security Policy (CSP) und weitere Security-Header implementiert
Regelmäßige Überprüfung und Aktualisierung dieser TOMs
Versionskontrolle aller Code-Änderungen (Git)

Diese TOMs werden regelmäßig überprüft und dem Stand der Technik angepasst. Änderungen werden dokumentiert und sind auf Anfrage einsehbar.