Auftragsverarbeitungsvertrag (AVV)
Stand: März 2026 | Version 1.0
Diese Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO wird zwischen der Unicorn Factory Media GmbH, In der Kolling 146, 66450 Bexbach, Deutschland („Auftragsverarbeiter") und dem jeweiligen Studiobetreiber, der die Bookicorn-Plattform nutzt („Verantwortlicher"), geschlossen.
§ 1 Gegenstand und Dauer
Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Plattform „Bookicorn" zur Verwaltung von Kursbuchungen, Kundendaten und Zahlungsvorgängen bereit. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags (AGB). Mit Vertragsende endet auch diese AVV.
§ 2 Art, Zweck und Umfang der Verarbeitung
Der Auftragsverarbeiter verarbeitet folgende Datenkategorien im Auftrag des Verantwortlichen:
- Stammdaten: Name, E-Mail, Telefon der Endkunden des Studios
- Buchungsdaten: gebuchte Kurse, Termine, Stornierungen, Buchungshistorie
- Zahlungsdaten: Transaktions-IDs, Zahlungsstatus (keine vollständigen Kartendaten)
- Zugangsdaten: verschlüsselte Passwörter, Sitzungstokens
- Kommunikationsdaten: E-Mails, Chat-Nachrichten
- Technische Daten: IP-Adressen, Browser-Informationen
Betroffene Personen: Endkunden des Studios, Trainer, Studiobetreiber.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- alle beteiligten Personen zur Vertraulichkeit zu verpflichten
- geeignete technische und organisatorische Maßnahmen (TOMs) gem. Art. 32 DSGVO umzusetzen
- den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
- Datenschutzverletzungen unverzüglich gem. Art. 33 DSGVO zu melden
- nach Vertragsende alle Daten zu löschen (außer gesetzliche Aufbewahrungspflichten)
Die Verarbeitung umfasst insbesondere: Speicherung und Verwaltung von Endkundendaten in der Datenbank, Verarbeitung von Buchungs- und Zahlungstransaktionen, Versand von E-Mail-Benachrichtigungen im Auftrag des Studios, Bereitstellung des Chat-Systems für die Kommunikation, Erstellung von Rechnungen und Auszahlungsberichten, technischer Support und Fehlerbehebung.
Der Zugriff auf personenbezogene Daten des Verantwortlichen ist auf diejenigen Mitarbeiter und Beauftragten des Auftragsverarbeiters beschränkt, die diesen zur Erfüllung ihrer vertraglichen Pflichten benötigen. Eine namentliche Benennung der zugangsberechtigten Personen erfolgt auf Anfrage.
§ 4 Pflichten des Verantwortlichen
Der Verantwortliche ist allein verantwortlich für: die Rechtmäßigkeit der Verarbeitung der Endkundendaten, die Einhaltung des Datenschutzrechts gegenüber seinen Endkunden, alle Inhalte, Kurse, Preise und Leistungserbringung.
§ 5 Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen gem. Art. 28 Abs. 3 lit. a DSGVO. Mündliche Weisungen sind unverzüglich schriftlich (Textform per E-Mail genügt) zu bestätigen. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, teilt er dies dem Verantwortlichen unverzüglich mit. Er ist berechtigt, die Durchführung der betreffenden Weisung bis zu einer Klärung auszusetzen.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
- Verschlüsselung: TLS/HTTPS für alle Übertragungen
- Zugriffskontrolle: Row Level Security (RLS), rollenbasierte Berechtigungen
- Datenspeicherung in der EU: Datenbankserver AWS eu-central-1 Frankfurt
- Backup: Automatische tägliche Sicherungen
- Passwortschutz: Passwörter ausschließlich als bcrypt-Hash
- Monitoring: Echtzeit-Überwachung sicherheitsrelevanter Ereignisse
- Pseudonymisierung: Wo technisch möglich, werden personenbezogene Daten pseudonymisiert verarbeitet
- Eingabekontrolle: Protokollierung aller Datenzugriffe und -änderungen über Audit-Logs
- Auftragskontrolle: Verarbeitung nur gemäß dokumentierter Weisungen des Verantwortlichen
- Verfügbarkeitskontrolle: Redundante Datenhaltung, automatische Failover-Mechanismen
- Trennungsgebot: Logische Trennung der Daten verschiedener Studios (Multi-Tenant-Architektur mit Row Level Security)
§ 7 Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu. Änderungen werden mindestens 30 Tage vorher mitgeteilt. Soweit Unterauftragsverarbeiter in Drittländern außerhalb des EWR ansässig sind, erfolgt die Übermittlung auf Grundlage von Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO oder eines gleichwertigen Angemessenheitsbeschlusses der EU-Kommission.
| Unternehmen | Sitz | Zweck |
|---|---|---|
| Supabase Inc. | San Francisco, USA (Daten auf AWS EU-Central-1, Frankfurt) | Datenbank, Authentifizierung, Echtzeit-Synchronisation |
| Vercel Inc. | 340 Pine Street, San Francisco, CA 94104, USA | Hosting, CDN, Serverless-Funktionen |
| Stripe Payments Europe, Ltd. | 1 Grand Canal Street Lower, Dublin 2, Irland | Zahlungsabwicklung, Abonnements |
| All-Inkl.COM Neue Medien Münnich | Hauptstraße 68, 02742 Friedersdorf, Deutschland | E-Mail-Versand (SMTP) |
| Amazon Web Services (AWS) | Amazon Web Services EMEA SARL, Luxemburg | Cloud-Infrastruktur (via Supabase), EU-Central-1 Frankfurt |
| Slack Technologies LLC | 500 Howard Street, San Francisco, CA 94105, USA | Interne Teamkommunikation und Support-Bearbeitung |
§ 8 Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs-, Lösch-, Einschränkungs-, Datenübertragbarkeits- und Widerspruchsanfragen gem. Art. 15–22 DSGVO. Anfragen richten Sie an: hey@bookicorn.net. Nach Vertragsende: Datenlöschung innerhalb von 30 Tagen, Datenexport auf Anfrage vorher möglich.
§ 9 Kontrollrechte des Verantwortlichen
Der Verantwortliche hat das Recht, die Einhaltung dieser AVV und der DSGVO durch den Auftragsverarbeiter zu überprüfen. Kontrollen können durch Dokumentationsanfragen, Fragebögen oder – nach vorheriger Ankündigung mit angemessener Vorlaufzeit – durch Vor-Ort-Inspektionen erfolgen. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung und ermöglicht und unterstützt Überprüfungen gem. Art. 28 Abs. 3 lit. h DSGVO.
§ 10 Meldung von Datenschutzverletzungen
Bei Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme. Die Meldung enthält: Art der Verletzung, betroffene Datenkategorien und Anzahl der Betroffenen, voraussichtliche Folgen sowie ergriffene oder vorgeschlagene Abhilfemaßnahmen. Soweit möglich, sind die Informationen zum Zeitpunkt der Erstmeldung zu übermitteln; eine Nachlieferung in Teilen ist zulässig.
§ 11 Vertraulichkeit
Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit. Er stellt sicher, dass diese Personen nur auf die Daten zugreifen können, die für ihre jeweiligen Aufgaben erforderlich sind (Need-to-know-Prinzip). Diese Verpflichtung besteht über das Ende des Vertragsverhältnisses hinaus.
§ 12 Haftung
Jede Partei haftet gegenüber den betroffenen Personen für Schäden, die durch eine DSGVO-widrige Verarbeitung entstanden sind, nach Maßgabe von Art. 82 DSGVO. Im Innenverhältnis haften die Parteien entsprechend ihrem Verantwortungsanteil an dem Schaden. Der Auftragsverarbeiter haftet nur dann, wenn er gegen ausdrückliche Pflichten dieser AVV oder gegen die DSGVO verstoßen hat. Die Haftung des Auftragsverarbeiters ist auf den Jahresvertragswert der Nutzungsgebühren begrenzt, soweit dies gesetzlich zulässig ist.
§ 13 Schlussbestimmungen
- Textform: Änderungen dieser AVV bedürfen der Textform (E-Mail genügt).
- Salvatorische Klausel: Sollten einzelne Bestimmungen dieser AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
- Anwendbares Recht: Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, Bexbach, Deutschland.
- Rangfolge: Im Widerspruchsfall zwischen dieser AVV und dem Hauptvertrag (AGB) geht diese AVV in Datenschutzfragen vor.
§ 14 Kontakt
Unicorn Factory Media GmbH
In der Kolling 146, 66450 Bexbach, Deutschland
hey@bookicorn.net