AUFTRAGSVERARBEITUNGSVERTRAG (AVV)
Inkrafttreten: 2. Juni 2026 Letzte Aktualisierung: 2. Juni 2026 Version: 1.0
Kurz gesagt: Dieser Auftragsverarbeitungsvertrag (AVV) beschreibt, wie 1booq personenbezogene Daten im Auftrag von Geschäftskunden verarbeitet, die als Verantwortliche handeln — im Einklang mit der DSGVO. Der vollständige Vertrag steht unten.
Dieser Auftragsverarbeitungsvertrag („AVV") regelt gemäß Art. 28 DSGVO (EU 2016/679) die Bedingungen, unter denen der Anbieter personenbezogene Daten im Auftrag und auf Weisung des Providers verarbeitet. Dieser AVV ist integraler Bestandteil der AGB zwischen dem Provider und dem Anbieter und konkretisiert die in Abschnitt 20 der AGB enthaltenen Auftragsverarbeitungsregelungen. Bei Widersprüchen hinsichtlich der Datenverarbeitung hat dieser AVV Vorrang.
1. Parteien und Rollen
- Verantwortlicher (Controller): der Provider, der die personenbezogenen Daten seiner eigenen Kunden (Clients) zu eigenen Zwecken verarbeitet.
- Auftragsverarbeiter (Processor): der Anbieter (WaveOne Technologies; Identifikations- und Kontaktdaten siehe Impressum), der diese Daten auf Weisung des Providers im Rahmen des Plattformbetriebs verarbeitet.
Die Parteien halten fest, dass der Anbieter hinsichtlich der eigenen Kontodaten registrierter Nutzer ein eigenständig Verantwortlicher ist (siehe Datenschutzerklärung); dieser AVV erfasst nur die Daten, die der Anbieter als Auftragsverarbeiter des Providers verarbeitet.
2. Gegenstand, Dauer, Art und Zweck
- Gegenstand: Verarbeitung personenbezogener Daten im Zusammenhang mit der Buchungs- und Kundenverwaltungstätigkeit des Providers über die Plattform.
- Dauer: für die Laufzeit des Vertrags zwischen Provider und Anbieter sowie für die in der Datenschutzerklärung festgelegten Speicherfristen.
- Art und Zweck: Bereitstellung, Speicherung und technischer Betrieb des Buchungssystems, Kalenders, der Nachrichten, Bewertungen, Credit-Abrechnung und zugehöriger Funktionen.
3. Kategorien betroffener Personen und personenbezogener Daten
- Betroffene Personen: die Clients (Buchenden), Worker und sonstigen Kontakte des Providers.
- Datenkategorien: Name, E-Mail-Adresse, Telefonnummer (sofern angegeben), Buchungsdaten (Zeitpunkt, Status, Werte der vom Provider definierten Formularfelder), Nachrichten, Bewertungen und Notizen. Die Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) ist nicht vorgesehen (siehe AGB §6.6); gibt der Provider solche Daten ein, tut er dies als eigenständig Verantwortlicher und ist dafür verantwortlich.
4. Weisungen des Verantwortlichen
Der Anbieter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Providers — einschließlich der bestimmungsgemäßen Nutzung der Plattform als Dauerweisung —, es sei denn, er ist durch Unions- oder mitgliedstaatliches Recht zu einer anderen Verarbeitung verpflichtet; in diesem Fall informiert der Anbieter den Provider vor der Verarbeitung, sofern das Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses untersagt.
5. Vertraulichkeit
Der Anbieter stellt sicher, dass die zum Zugriff berechtigten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und nur im für ihre Aufgaben erforderlichen Umfang (Need-to-know, geringste Berechtigung) auf die Daten zugreifen.
6. Technische und organisatorische Maßnahmen (TOM) — Art. 32 DSGVO
Der Anbieter wendet folgende Maßnahmen an (risikoangemessen):
- Verschlüsselung bei der Übertragung (TLS/HTTPS) für den gesamten Netzwerkverkehr;
- Verschlüsselung im Ruhezustand auf Ebene des Datenbank-/Speicheranbieters (Supabase);
- Zugriffskontrolle: rollenbasierte Berechtigungen, geringste Berechtigung, Zwei-Faktor-Authentifizierung (2FA) für administrative Vorgänge;
- Anmeldedaten: Passwort-Hashing (bcrypt), getrennte Speicherung von Geheimnissen;
- Pseudonymisierung / Anonymisierung: Entfernung persönlicher Identifikatoren bei Kontolöschung (Tombstone), pseudonymisierte Protokolle;
- Protokollierung und Auditierbarkeit: Protokollierung sicherheitsrelevanter Ereignisse;
- Missbrauchsprävention: Ratenbegrenzung, Bot- und Betrugsabwehr;
- Geschäftskontinuität: regelmäßige Backups und Wiederherstellbarkeit;
- Datenschutz durch Technikgestaltung und Voreinstellungen.
Aktuelle Details der TOM können auf Anfrage bereitgestellt werden und können im Einklang mit dem technischen Fortschritt aktualisiert werden, ohne das Schutzniveau zu senken.
7. Unterauftragsverarbeiter
Der Provider erteilt dem Anbieter eine allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern. Der Anbieter erlegt jedem Unterauftragsverarbeiter datenschutzrechtliche Pflichten auf, die denen dieses AVV im Wesentlichen entsprechen (Art. 28 DSGVO), und bleibt für deren Leistung verantwortlich. Der Anbieter informiert den Provider vorab über die Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters; der Provider kann Einspruch erheben.
Aktuelle Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Funktion | Verarbeitungsort | Garantie |
|---|---|---|---|
| Supabase Inc. | Datenbank (PostgreSQL), Speicherung | EU-Region | innerhalb des EWR |
| Vercel Inc. | Hosting, Edge-Netzwerk | USA | EU-US DPF / SCC |
| Paddle.com Market Ltd. | Zahlungsabwicklung, Rechnungsstellung (Merchant of Record) | Vereinigtes Königreich / USA | UK GDPR Adequacy / SCC |
| MailerSend (MailerSend Inc.) | Transaktionale E-Mail-Zustellung | USA / EU | EU-US DPF / SCC |
| GeoNames (Unxos GmbH) | Städte-Autovervollständigung | Deutschland | innerhalb des EWR |
| OpenStreetMap Foundation | Kartenkacheln, Geokodierung (Nominatim) | Vereinigtes Königreich | UK GDPR Adequacy |
| Open-Meteo (Open-Meteo.com) | Wetterdaten (anhand Koordinaten) | Deutschland | innerhalb des EWR |
| Anthropic PBC | KI-Buchungs- und Suchassistent (Claude) | USA | SCC + Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO |
8. Internationale Datenübermittlung
Für Übermittlungen außerhalb des EWR stützt sich der Anbieter auf einen Angemessenheitsbeschluss, Standardvertragsklauseln (SCC, EU-Beschluss 2021/914) oder eine EU-US-Data-Privacy-Framework-Zertifizierung, bei Bedarf mit ergänzenden technischen und organisatorischen Maßnahmen.
9. Unterstützung des Verantwortlichen
Unter Berücksichtigung der Art der Verarbeitung unterstützt der Anbieter den Provider mit geeigneten Maßnahmen bei:
- der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch);
- der Erfüllung der Pflichten nach Art. 32–36 (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung (DSFA) und vorherige Konsultation).
10. Verletzung des Schutzes personenbezogener Daten
Der Anbieter meldet dem Provider eine Verletzung des Schutzes der von ihm verarbeiteten Daten unverzüglich nach Bekanntwerden, so bald wie möglich (Ziel: innerhalb von 72 Stunden), und stellt die für die Meldung des Providers vernünftigerweise erforderlichen Informationen bereit.
11. Audit
Der Anbieter stellt dem Provider die zum Nachweis der Einhaltung der Pflichten nach Art. 28 erforderlichen Informationen zur Verfügung und ermöglicht und unterstützt Überprüfungen in angemessenen Abständen und nach vorheriger Absprache (auch durch einen vom Provider beauftragten, zur Vertraulichkeit verpflichteten unabhängigen Prüfer), unter angemessenem Schutz der Geschäftskontinuität und der Daten anderer Kunden.
12. Rückgabe und Löschung der Daten
Bei Beendigung des Vertrags gibt der Anbieter die verarbeiteten personenbezogenen Daten nach Wahl des Providers zurück oder löscht sie, sofern nicht Unions-/mitgliedstaatliches Recht eine Speicherung vorschreibt (z. B. buchhalterische Aufbewahrung). Zu den Speicherfristen siehe die Datenschutzerklärung und die interne Aufbewahrungsmatrix.
13. Haftung und anwendbares Recht
Haftung und anwendbares Recht richten sich nach den AGB. Dieser AVV ist nach ungarischem Recht und der DSGVO auszulegen.
14. Kontakt
Anfragen zur Auftragsverarbeitung: privacy@1booq.com (siehe auch Impressum und Datenschutzerklärung).