Recht

Auftragsverarbeitung

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwischen dem Betrieb als Verantwortlichem und booksy als Auftragsverarbeiter. Stand: Juli 2026.

Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die Verarbeitung personenbezogener Daten, die booksy im Auftrag des Betriebs vornimmt. Auftragsverarbeiter ist Luis Tjia (Bytewerk Studios, Einzelunternehmen, Anschrift siehe Impressum), Betreiber der Plattform booksy. Verantwortlicher ist der Betrieb, der booksy für seine Terminbuchung nutzt. Der AVV wird mit der Nutzung von booksy Bestandteil des Nutzungsvertrags und gilt für dessen gesamte Laufzeit.

§ 1 Gegenstand, Art, Zweck und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch booksy im Rahmen der Bereitstellung der Terminbuchungs-Plattform (öffentliche Buchungsseite, Kalender, Benachrichtigungen, Selbstverwaltung von Terminen). Zweck ist ausschließlich die Durchführung dieser Funktionen für den Verantwortlichen. Die Verarbeitung dauert für die Laufzeit des Nutzungsverhältnisses.

§ 2 Art der Daten und Kategorien betroffener Personen

Verarbeitet werden: Name, E-Mail-Adresse, optional Telefonnummer, Terminzeitpunkt sowie freiwillige Notizen der Endkunden; ergänzend betriebsbezogene Kalender- und ggf. Mitarbeiterzuordnungen. Betroffene Personen sind die Endkunden des Betriebs sowie ggf. dessen Mitarbeiter.

§ 3 Weisungsgebundene Verarbeitung

booksy verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Als Weisung gelten die Nutzung der Funktionen sowie die Einstellungen des Betriebs. Erscheint booksy eine Weisung rechtswidrig, wird der Verantwortliche informiert; booksy darf die Ausführung bis zur Bestätigung aussetzen. Eine Verarbeitung zu eigenen Zwecken findet nicht statt.

§ 4 Vertraulichkeit

Zur Verarbeitung eingesetzte Personen sind zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht. Der Zugriff auf Produktivdaten ist auf das für Betrieb und Support notwendige Maß beschränkt.

§ 5 Technische und organisatorische Maßnahmen (Art. 32)

booksy trifft insbesondere folgende Maßnahmen:

  • Verschlüsselte Übertragung (TLS/HTTPS) für alle Zugriffe.
  • Mandantentrennung: nutzerbezogene Daten sind einem Betrieb zugeordnet (owner_id-Scoping); jede Abfrage ist auf den eingeloggten Betrieb begrenzt, kein Zugriff auf fremde Daten.
  • Passwörter werden ausschließlich als Hash gespeichert, niemals im Klartext.
  • Zugriffsschutz über Session-Cookies (httpOnly, secure) bzw. Bearer-Token; geschützte Bereiche sind serverseitig abgesichert.
  • Hosting und Datenbank in der EU; regelmäßige Sicherungen.
  • Schutz vor Missbrauch: Ratenbegrenzung, Herkunfts-/Bot-Prüfungen an öffentlichen Endpunkten.
  • Datensparsamkeit: es werden nur die für die Terminbuchung erforderlichen Daten erhoben.
  • Lösch- und Exportfunktionen im Dashboard zur Umsetzung der Betroffenenrechte.

§ 6 Unterauftragsverarbeiter

Der Verantwortliche gestattet den Einsatz folgender Unterauftragsverarbeiter: den EU-Hosting- und Datenbankbetreiber der Plattform, Resend (Versand von Transaktions-E-Mails) sowie Stripe (Zahlungsabwicklung des Pro-Abos, via byteOS-Checkout). booksy verpflichtet Unterauftragsverarbeiter auf ein angemessenes Datenschutzniveau. Über beabsichtigte Änderungen (Ersetzung/Hinzunahme) informiert booksy vorab; der Verantwortliche kann aus wichtigem, datenschutzbezogenem Grund widersprechen.

§ 7 Unterstützung des Verantwortlichen

booksy unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Export) — insbesondere über die Funktionen im Dashboard — sowie bei Datenschutz-Folgenabschätzungen und Meldepflichten.

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

Wird booksy eine Verletzung des Schutzes personenbezogener Daten bekannt, informiert booksy den Verantwortlichen unverzüglich und stellt die zur Erfüllung von Art. 33 und 34 DSGVO erforderlichen Informationen bereit.

§ 9 Löschung und Rückgabe nach Beendigung

Nach Beendigung des Nutzungsverhältnisses löscht booksy die verarbeiteten Daten oder gibt sie nach Wahl des Verantwortlichen zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Betriebe können Kunden- und Kontodaten jederzeit selbst löschen.

§ 10 Nachweise und Überprüfungen

booksy stellt dem Verantwortlichen auf Anfrage die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in zumutbarem, angemessen angekündigtem Rahmen, ohne den Betrieb unverhältnismäßig zu beeinträchtigen.

§ 11 Übermittlung in Drittländer

Eine Verarbeitung außerhalb der EU/des EWR findet nur statt, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind — insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder der EU-Standardvertragsklauseln nebst ergänzenden Schutzmaßnahmen (relevant etwa für E-Mail-Versand und Zahlungsabwicklung).

§ 12 Haftung und Schlussbestimmungen

Für die Haftung gelten die Regelungen der DSGVO sowie die gesetzlichen Vorschriften. Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien gehen im Hinblick auf die Datenverarbeitung die Regelungen dieses AVV vor. Es gilt deutsches Recht. Sollte eine Bestimmung unwirksam sein, bleibt der übrige AVV wirksam.

Zurück zur Startseite