Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Vertragsparteien

Verantwortlicher (Auftraggeber)

Bitte einloggen, um Ihre Daten anzuzeigen

Auftragsverarbeiter

Bookment — Klaus Wöss

Römerstraße 4, 4020 Linz, Österreich

office@bookment.app

1. Gegenstand und Dauer der Verarbeitung

Gegenstand dieses Auftragsverarbeitungsvertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der Buchungsplattform “Bookment” (bookment.app).

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Sie beginnt mit der Registrierung und endet mit der vollständigen Löschung des Kontos und aller zugehörigen Daten.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Buchungsdaten
  • Bereitstellung des Online-Buchungsformulars
  • Versand von Bestätigungs-, Erinnerungs- und Stornierungsmails
  • Zahlungsabwicklung über Drittanbieter (Stripe)
  • Erstellung von Statistiken und Berichten für den Verantwortlichen
  • Kundenverwaltung und Kontakthistorie

3. Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Datenkategorien verarbeitet:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer
  • Buchungsdaten (Datum, Uhrzeit, Aktivität, Teilnehmeranzahl)
  • Zahlungsstatus (keine Kreditkartendaten — diese werden ausschließlich von Stripe verarbeitet)
  • IP-Adressen und Browser-Informationen (Server-Logs)
  • Kommunikationsverlauf (E-Mails)

4. Kategorien betroffener Personen

  • Endkunden des Verantwortlichen, die eine Buchung durchführen
  • Mitarbeiter und Beauftragte des Verantwortlichen, die das System nutzen
  • Interessenten, die sich auf die Warteliste setzen

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO)
  • Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, insbesondere:
    • Verschlüsselung der Datenübertragung (TLS/HTTPS)
    • Verschlüsselung ruhender Daten (AES-256)
    • Regelmäßige Sicherheitsupdates
    • Zugriffsbeschränkung nach dem Need-to-Know-Prinzip
    • Row Level Security (RLS) zur Mandantentrennung
  • Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO)
  • Den Verantwortlichen bei der Erfüllung der Betroffenenrechte zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
  • Nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)

6. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO:

AnbieterZweckStandort
netcup GmbHServer-Hosting, Datenbank, AuthentifizierungKarlsruhe (Rechenzentrum Nürnberg), DE
Stripe Inc.ZahlungsabwicklungEU (Irland)
Resend Inc.Transaktions-E-MailsEU (AWS eu-west-1)

Über die Hinzunahme oder den Wechsel von Unterauftragsverarbeitern wird der Verantwortliche rechtzeitig informiert. Ein Widerspruchsrecht besteht gemäß Art. 28 Abs. 2 DSGVO.

7. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen gemäß Art. 15–22 DSGVO. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird die Anfrage unverzüglich an den Verantwortlichen weitergeleitet.

Folgende Funktionen stehen dem Verantwortlichen im Dashboard zur Verfügung:

  • Export aller Kundendaten (Recht auf Datenübertragbarkeit)
  • Löschung einzelner Kunden und deren Buchungsdaten
  • Berichtigung von Kundendaten

8. Löschung und Rückgabe von Daten

Nach Beendigung der Auftragsverarbeitung — insbesondere bei Kündigung des Nutzungsvertrags — löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten unwiderruflich, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Der Verantwortliche kann vor der Löschung einen vollständigen Datenexport (CSV) über das Dashboard anfordern. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende und wird dem Verantwortlichen schriftlich bestätigt.

9. Kontakt des Datenschutzbeauftragten

Bei Fragen zum Datenschutz oder zu diesem AVV wenden Sie sich an:

Bookment
Klaus Wöss
Römerstraße 4
4020 Linz, Österreich
E-Mail: office@bookment.app

Stand: Mai 2026 — Bookment, Linz, Österreich — office@bookment.app