Zurück zur Datenschutzerklärung

Auftragsverarbeitungsvertrag

Version 1.0 | gemäß Art. 28 DSGVO

PDF herunterladen

Wichtiger Hinweis

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch Hebelki als Auftragsverarbeiter im Auftrag des Kunden (Verantwortlicher). Die Annahme erfolgt durch Akzeptieren in den Einstellungen Ihres Dashboards.

§ 1 Vertragsparteien

Verantwortlicher (Auftraggeber):

Der Kunde, der die Hebelki-Plattform nutzt und die Verarbeitung personenbezogener Daten seiner Endkunden in Auftrag gibt. Die konkreten Angaben ergeben sich aus dem Hauptvertrag (SaaS-Nutzungsvertrag).

Auftragsverarbeiter:

Hebelki
E-Mail: privacy@hebelki.de
(nachfolgend "Auftragnehmer")

§ 2 Gegenstand und Dauer der Verarbeitung

Gegenstand: Bereitstellung einer Multi-Tenant SaaS-Buchungsplattform mit KI-gestütztem Chatbot zur Terminverwaltung, Kundenkommunikation und Buchungsabwicklung.

Dauer: Die Verarbeitung erfolgt für die Dauer des SaaS-Nutzungsvertrags. Nach Beendigung werden die Daten gemäß § 13 dieses Vertrags gelöscht oder zurückgegeben.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Kundenbuchungen und Terminen
  • KI-gestützte Kundenberatung via Chatbot (Web, WhatsApp)
  • Terminverwaltung, Erinnerungen und Bestätigungen
  • Rechnungserstellung und -verwaltung
  • Kommunikation mit Endkunden (E-Mail, WhatsApp)
  • Analytik zur Verbesserung des Services (anonymisiert)

§ 4 Art der personenbezogenen Daten

Kontaktdaten

  • • Name (Vor- und Nachname)
  • • E-Mail-Adresse
  • • Telefonnummer

Adressdaten

  • • Straße und Hausnummer
  • • Postleitzahl und Ort
  • • Land

Buchungsdaten

  • • Termindetails und -historie
  • • Ausgewählte Dienstleistungen
  • • Kundennotizen

Kommunikationsdaten

  • • Chat-Nachrichten
  • • WhatsApp-Opt-In-Status
  • • E-Mail-Korrespondenz

Hinweis: Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, es sei denn, der Verantwortliche gibt solche Daten explizit ein (z.B. Gesundheitsinformationen in Kundennotizen bei medizinischen Praxen).

§ 5 Kategorien betroffener Personen

  • Endkunden: Personen, die Termine beim Verantwortlichen buchen
  • Mitarbeiter des Verantwortlichen: Personal mit Zugang zur Plattform (optional)

§ 6 Pflichten und Rechte des Verantwortlichen

Der Verantwortliche:

  • Bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 24 DSGVO)
  • Erteilt dokumentierte Weisungen an den Auftragnehmer
  • Stellt die Rechtsgrundlage für die Verarbeitung sicher (z.B. Einwilligung, Vertragserfüllung)
  • Informiert Betroffene über die Datenverarbeitung
  • Ist für die Beantwortung von Betroffenenanfragen zuständig

§ 7 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).

Dokumentierte Weisungen: Die Konfiguration im Dashboard gilt als dokumentierte Weisung. Dazu gehören: Aktivierung/Deaktivierung von Funktionen, Festlegung der Datenaufbewahrungsdauer, Einstellungen für WhatsApp-Integration.

Der Auftragnehmer informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

§ 8 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass alle Personen, die Zugang zu personenbezogenen Daten haben:

  • Zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO)
  • Nur nach dem Need-to-know-Prinzip Zugriff erhalten
  • In den Anforderungen des Datenschutzes geschult sind

§ 9 Technische und Organisatorische Maßnahmen

Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die vollständige TOM-Dokumentation finden Sie unter:

Anlage 1: Technische und Organisatorische Maßnahmen

Die TOMs umfassen insbesondere: Zugriffskontrolle (Clerk Auth, Rollen), Verschlüsselung (TLS, At-Rest), Multi-Tenant-Isolation, Verfügbarkeitsgarantien, und Protokollierung.

§ 10 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Hinzuziehung weiterer Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 DSGVO.

Die aktuelle Liste der Unterauftragsverarbeiter:

Anlage 2: Unterauftragsverarbeiter

Änderungsmitteilung: Der Auftragnehmer informiert den Verantwortlichen mindestens 14 Tage vor Aufnahme eines neuen Unterauftragsverarbeiters.

Widerspruchsrecht: Der Verantwortliche kann innerhalb von 14 Tagen nach Mitteilung aus wichtigem Grund widersprechen.

Vertragliche Bindung: Unterauftragsverarbeiter werden vertraglich auf gleichwertige Datenschutzpflichten verpflichtet.

§ 11 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 12-22 DSGVO (Betroffenenrechte):

  • Auskunft (Art. 15): Export der Kundendaten über Dashboard
  • Berichtigung (Art. 16): Bearbeitung im Dashboard
  • Löschung (Art. 17): Löschfunktion im Dashboard
  • Datenübertragbarkeit (Art. 20): JSON-Export aller Daten

Reaktionszeit: Der Auftragnehmer reagiert auf Unterstützungsanfragen innerhalb von 48 Stunden (Geschäftszeiten).

§ 12 Meldung von Datenschutzverletzungen

Bei einer Verletzung des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO):

  • Meldung an Verantwortlichen: Unverzüglich, spätestens innerhalb von 24 Stunden
  • Inhalt der Meldung: Art der Verletzung, betroffene Daten, ergriffene Maßnahmen
  • Unterstützung: Bei Meldung an Aufsichtsbehörde und Betroffene
  • Dokumentation: Führung eines Incident-Response-Protokolls

§ 13 Löschung nach Vertragsende

Nach Beendigung des Hauptvertrags:

  • Löschung: Alle personenbezogenen Daten werden binnen 30 Tagen gelöscht
  • Rückgabe: Auf Wunsch erfolgt vorher eine vollständige Datenrückgabe (JSON-Export)
  • Bestätigung: Die Löschung wird auf Anfrage schriftlich bestätigt
  • Ausnahme: Gesetzliche Aufbewahrungspflichten (z.B. Rechnungen: 10 Jahre)

§ 14 Nachweispflichten und Kontrollen

Der Auftragnehmer ermöglicht und unterstützt Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO):

  • Dokumentation: Bereitstellung von Zertifikaten und Nachweisen auf Anfrage
  • Audits: Remote-Audits nach Terminvereinbarung möglich
  • Jahresbericht: Jährliche Übersicht über Sicherheitsmaßnahmen
  • Kosten: Der Verantwortliche trägt die Kosten für Vor-Ort-Audits

§ 15 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Der Auftragnehmer haftet nur für Schäden, die durch eine Verarbeitung verursacht wurden, bei der er seinen speziell ihm auferlegten Pflichten nicht nachgekommen ist oder gegen rechtmäßige Anweisungen des Verantwortlichen verstoßen hat.

§ 16 Schlussbestimmungen

  • Schriftform: Änderungen bedürfen der Schriftform
  • Salvatorische Klausel: Unwirksame Bestimmungen werden durch wirksame ersetzt
  • Anwendbares Recht: Es gilt deutsches Recht
  • Gerichtsstand: Für Streitigkeiten ist das für den Sitz des Auftragnehmers zuständige Gericht zuständig

Anlagen zu diesem Vertrag

Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)

Detaillierte Beschreibung der Sicherheitsmaßnahmen

Anlage 2: Liste der Unterauftragsverarbeiter

Alle eingesetzten Unterauftragsverarbeiter mit DPA-Status

Anlage 3: Transfer Impact Assessments (TIA)

Bewertung der Datenübermittlungen gemäß Schrems II

Stand: Februar 2026 | Version 1.0
Bei Fragen wenden Sie sich an privacy@hebelki.de