Auftragsverarbeitungsvertrag (AVV)
Vertrag zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.
Stand: Juli 2026
Vertragsparteien
Verantwortlicher (nachfolgend „Kunde") Der Salonbetreiber, der den Dienst „Salon Book" nutzt, mit den in seinem Nutzerkonto hinterlegten Stammdaten.
Auftragsverarbeiter (nachfolgend „Anbieter") René Kurz Schulstraße 4, 7572 Deutsch Kaltenbrunn, Österreich E-Mail: office@salon-book.org
1. Gegenstand und Dauer
1.1 Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Kunden im Rahmen der Bereitstellung der Software „Salon Book" (Termin- und Kundenverwaltung).
1.2 Die Dauer dieser Vereinbarung entspricht der Laufzeit des zugrunde liegenden Hauptvertrags (Nutzungsvertrag / AGB).
2. Art, Zweck und Umfang der Verarbeitung
2.1 Zweck: Bereitstellung der Funktionen zur Termin- und Kundenverwaltung für den Salonbetrieb des Kunden.
2.2 Art der Verarbeitung: Erheben, Erfassen, Speichern, Ordnen, Auslesen, Verwenden, Übermitteln (im Rahmen des Dienstes), Löschen.
3. Kategorien betroffener Personen
- Endkundinnen und Endkunden des Kunden
- Mitarbeiterinnen und Mitarbeiter des Kunden (Nutzer des Systems)
4. Kategorien personenbezogener Daten
- Stammdaten (Name, Anschrift)
- Kontaktdaten (E-Mail-Adresse, Telefonnummer)
- Termindaten (Datum, Uhrzeit, gebuchte Leistungen)
- Terminhistorie und Notizen
- ggf. weitere vom Kunden erfasste Angaben
5. Pflichten des Anbieters (Auftragsverarbeiter)
Der Anbieter verpflichtet sich,
5.1 personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Kunden zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
5.2 die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO);
5.3 geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen (siehe Anlage 1);
5.4 den Kunden bei der Erfüllung seiner Pflichten (Betroffenenrechte, Meldepflichten nach Art. 33/34, Datenschutz-Folgenabschätzung) im Rahmen des Zumutbaren zu unterstützen;
5.5 den Kunden unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt;
5.6 dem Kunden nach Abschluss der Verarbeitung die Daten nach dessen Wahl zu löschen oder zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht besteht;
5.7 dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen zu ermöglichen.
6. Unterauftragsverarbeiter
6.1 Der Kunde erteilt dem Anbieter die allgemeine Genehmigung zur Beauftragung folgender Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Zweck | Sitz |
|---|---|---|
| Vercel Inc. | Hosting / Bereitstellung | USA / EU |
| Supabase | Datenbank, Authentifizierung | EU |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland / USA |
| Namecheap, Inc. (Private Email) | E-Mail-Versand & -Hosting | USA |
6.2 Der Anbieter informiert den Kunden über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Kunde kann diesen Änderungen aus wichtigem Grund widersprechen.
6.3 Der Anbieter stellt sicher, dass mit jedem Unterauftragsverarbeiter gleichwertige Datenschutzpflichten vereinbart werden.
7. Drittlandübermittlung
Soweit Daten in ein Drittland (insb. USA) übermittelt werden, erfolgt dies nur auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO (EU-Standardvertragsklauseln bzw. Angemessenheitsbeschluss / EU-US Data Privacy Framework).
8. Technische und organisatorische Maßnahmen (TOM)
Die vom Anbieter getroffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind in Anlage 1 beschrieben.
9. Meldung von Datenschutzverletzungen
Der Anbieter meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, und unterstützt ihn bei den Meldepflichten gemäß Art. 33 und 34 DSGVO.
10. Haftung
Für die Haftung gelten die Regelungen des Art. 82 DSGVO sowie die Haftungsbestimmungen des Hauptvertrags (AGB).
11. Vertragsabschluss in elektronischer Form
11.1 Dieser Auftragsverarbeitungsvertrag wird durch die elektronische Zustimmung des Kunden im Rahmen der Registrierung bzw. der Bestellung wirksam geschlossen (Art. 28 Abs. 9 DSGVO, „schriftlich, einschließlich in elektronischer Form"). Einer eigenhändigen Unterschrift bedarf es nicht.
11.2 Der Anbieter dokumentiert den Zeitpunkt der Zustimmung, die zustimmende Person bzw. das Nutzerkonto sowie die jeweils akzeptierte Fassung dieses Vertrags. Der Kunde kann diesen Vertrag jederzeit in seinem Nutzerkonto einsehen und als PDF herunterladen.
12. Schlussbestimmungen
12.1 Es gilt österreichisches Recht.
12.2 Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf die Datenverarbeitung vor.
12.3 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 – Technische und organisatorische Maßnahmen (TOM)
- Zutrittskontrolle: Hosting in zertifizierten Rechenzentren der eingesetzten Cloud-Anbieter (Vercel, Supabase).
- Zugangskontrolle: Authentifizierung mit individuellen Zugangsdaten, Passwörter verschlüsselt gespeichert (Hashing).
- Zugriffskontrolle: Rollen- und Berechtigungskonzept; Zugriff nur auf benötigte Daten.
- Übertragungskontrolle: Verschlüsselte Datenübertragung (TLS/HTTPS).
- Verschlüsselung: Verschlüsselung im Transport; Verschlüsselung im Ruhezustand gemäß Anbieterstandard.
- Verfügbarkeitskontrolle: Regelmäßige Backups durch die eingesetzten Dienstleister.
- Trennungskontrolle: Logische Trennung der Mandantendaten.
- Belastbarkeit: Wiederherstellbarkeit nach Zwischenfällen.
Zustimmung
Dieser Auftragsverarbeitungsvertrag gilt als vom Kunden angenommen, sobald dieser ihm im Rahmen der Registrierung bzw. Bestellung elektronisch zugestimmt hat (siehe Ziffer 11). Der Zeitpunkt der Zustimmung, das zustimmende Nutzerkonto sowie die akzeptierte Fassung werden vom Anbieter revisionssicher protokolliert.