← Zurück
TerminStop

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO · Stand: 29.04.2026

Dieser Auftragsverarbeitungsvertrag (AVV) wird zwischen dem Kunden (nachfolgend „Verantwortlicher") und TerminStop / Marvin Passe (nachfolgend „Auftragsverarbeiter") als Bestandteil der Hauptvereinbarung (AGB) geschlossen. Er regelt die Verarbeitung personenbezogener Daten gemäß Art. 28 der EU-Datenschutz-Grundverordnung (DSGVO).

Vertragsparteien

Verantwortlicher
Das jeweilige Unternehmen, das TerminStop nutzt und personenbezogene Daten seiner Kunden (Terminempfänger) in die Plattform einträgt.
Auftragsverarbeiter
Marvin Passe
Hinterm Stieberge 16, 31535 Neustadt am Rübenberge
E-Mail: terminstop.business@gmail.com
Tel.: 0151 54219634

Art. 1 – Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform TerminStop.

Die Verarbeitung erfolgt für die Dauer des bestehenden Nutzungsvertrages (AGB). Nach Beendigung des Vertrages werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen gelöscht oder – auf schriftlichen Wunsch – zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Art. 2 – Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung von Namen und Telefonnummern der Terminempfänger
  • Speicherung von Termindaten (Datum, Uhrzeit, Notizen)
  • Automatisierter Versand von SMS-Erinnerungen an Terminempfänger
  • Verwaltung und Anzeige von Terminstatus (offen / erledigt)
  • Bei aktiviertem Online-Buchungs-Add-on: Entgegennahme und Speicherung von Buchungsanfragen, die Endkunden über die öffentliche Buchungsseite einreichen (Name, Telefonnummer, Dienstleistungswunsch, Anfragetext); Anzeige dieser Anfragen im Dashboard des Verantwortlichen; Versand einer Bestätigungs-SMS nach manueller Freigabe durch den Verantwortlichen

Der Zweck der Verarbeitung ist die technische Bereitstellung und der Betrieb der Terminverwaltungs- und SMS-Erinnerungsplattform TerminStop.

Eine Verarbeitung der Daten zu anderen Zwecken – insbesondere für eigene Marketingzwecke des Auftragsverarbeiters – findet nicht statt.

Art. 3 – Art der personenbezogenen Daten und Kategorien betroffener Personen

Betroffene Personen:

  • Kunden / Patienten / Terminempfänger des Verantwortlichen

Kategorien personenbezogener Daten:

  • Name (Vor- und/oder Nachname)
  • Mobilfunknummer
  • Termindaten (Datum, Uhrzeit)
  • Freitextnotizen zum Termin (optional, durch Verantwortlichen eingetragen)
  • Bei Online-Buchungs-Add-on zusätzlich: Buchungsanfragen von Endkunden (Name, Telefonnummer, gewünschte Dienstleistung, Anfragetext) – eingereicht über die öffentliche Buchungsseite des Verantwortlichen

Der Verantwortliche ist dafür verantwortlich, dass keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten, biometrische Daten) in das System eingetragen werden, sofern nicht ausdrücklich schriftlich vereinbart.

Hinweis für Arztpraxen, Therapeuten und ähnliche Berufsgruppen: Wenn aus dem Terminkontext Rückschlüsse auf den Gesundheitszustand von Patienten möglich sind (z. B. Fachrichtung der Praxis), handelt es sich um besondere Kategorien gemäß Art. 9 DSGVO. In diesem Fall ist vorab eine gesonderte schriftliche Vereinbarung mit dem Auftragsverarbeiter erforderlich.

Art. 4 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten, es sei denn, eine rechtliche Verpflichtung schreibt eine andere Verarbeitung vor;
  • sicherzustellen, dass alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit verpflichtet sind;
  • geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu implementieren und aufrechtzuerhalten;
  • den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen DSGVO oder andere Datenschutzvorschriften verstößt;
  • den Verantwortlichen bei der Erfüllung seiner Pflichten (z. B. Betroffenenanfragen, Datenschutz-Folgenabschätzung) im zumutbaren Rahmen zu unterstützen;
  • nach Wahl des Verantwortlichen nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben;
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung zu stellen.

Art. 5 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende Maßnahmen zur Datensicherheit gemäß Art. 32 DSGVO:

Zutrittskontrolle
Serverinfrastruktur wird durch Supabase und Vercel in gesicherten Rechenzentren betrieben. Physischer Zugang ist ausgeschlossen.
Zugangskontrolle
Zugang zur Plattform nur mit Benutzername und Passwort. Passwörter werden nicht im Klartext gespeichert.
Zugriffskontrolle
Jeder Betrieb hat ausschließlich Zugriff auf seine eigenen Daten (Mandantentrennung durch company_id).
Weitergabekontrolle
Alle Datenübertragungen erfolgen verschlüsselt über HTTPS/TLS. SMS-Versand über seven.io mit verschlüsselter API-Kommunikation.
Eingabekontrolle
Zugang zur Datenbank (Supabase) ist auf autorisierte Dienste beschränkt. Direkte Datenbankzugriffe von außen sind nicht möglich.
Auftragskontrolle
Verarbeitung durch Unterauftragsverarbeiter nur im Rahmen der dokumentierten Vereinbarungen (seven.io, Supabase, Vercel).
Verfügbarkeitskontrolle
Regelmäßige automatische Datensicherungen durch Supabase. Monitoring der Systemverfügbarkeit.
Trennungsgebot
Daten verschiedener Kunden werden durch eindeutige Unternehmens-IDs (company_id) konsequent getrennt verarbeitet.

Art. 6 – Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche mit Abschluss dieses AVV zustimmt:

AnbieterZweckSitz / Transfer
Supabase Inc.Datenbankdienst, AuthentifizierungUSA · SCCs
Vercel Inc.Hosting, WebanwendungUSA · SCCs
seven communications GmbH & Co. KGSMS-VersandDeutschland · DSGVO (EU)
Stripe Payments Europe, Ltd.ZahlungsabwicklungIrland · DSGVO (EU)
Resend Inc.Transaktionale E-MailsUSA · SCCs
GitHub Inc.Code-Hosting, VersionsverwaltungUSA · SCCs

SCCs = EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914. Alle genannten Anbieter haben entsprechende Datenschutzvereinbarungen (DPA) abgeschlossen.

Der Auftragsverarbeiter informiert den Verantwortlichen rechtzeitig über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, berechtigte Einwände zu erheben.

Art. 7 – Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

  • sicherzustellen, dass er die Daten der betroffenen Personen (Terminempfänger) nur auf einer gültigen Rechtsgrundlage gemäß Art. 6 DSGVO in die Plattform einträgt;
  • seine eigenen Kunden / Patienten über die Verarbeitung ihrer Daten (insbesondere den SMS-Versand) in seiner Datenschutzerklärung zu informieren;
  • bei Nutzung des Online-Buchungs-Add-ons sicherzustellen, dass Endkunden, die über die öffentliche Buchungsseite Anfragen stellen, vor der Übermittlung ihrer Daten über die Datenverarbeitung informiert werden (z. B. durch einen Datenschutzhinweis auf der Buchungsseite oder in den eigenen Geschäftsbedingungen);
  • Anfragen betroffener Personen (Auskunft, Löschung etc.) unverzüglich an den Auftragsverarbeiter weiterzuleiten, soweit der Auftragsverarbeiter für die Umsetzung zuständig ist;
  • den Auftragsverarbeiter unverzüglich zu informieren, wenn er Unregelmäßigkeiten in der Datenverarbeitung feststellt;
  • keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ohne gesonderte Vereinbarung in das System einzutragen.

Art. 8 – Datenpannen und Meldepflichten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, sobald ihm eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) bekannt wird, die Daten des Verantwortlichen betrifft.

Die Meldung enthält mindestens:

  • eine Beschreibung der Art der Datenpanne;
  • die Kategorien und die ungefähre Zahl der betroffenen Personen;
  • die wahrscheinlichen Folgen der Verletzung;
  • die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

Der Verantwortliche ist für die Meldung an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO sowie ggf. die Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO verantwortlich.

Art. 9 – Weisungsrecht

Der Verantwortliche kann dem Auftragsverarbeiter jederzeit Weisungen hinsichtlich der Verarbeitung personenbezogener Daten erteilen. Weisungen können schriftlich oder in Textform (E-Mail) erteilt werden.

Der Auftragsverarbeiter setzt Weisungen im Rahmen des technisch und betrieblich Möglichen um. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, informiert er den Verantwortlichen unverzüglich. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Ausführung der Weisung bis zur Klärung auszusetzen.

Art. 10 – Schlussbestimmungen

Dieser AVV ist Bestandteil der zwischen den Parteien geschlossenen Hauptvereinbarung (AGB). Im Widerspruchsfall geht dieser AVV den AGB in datenschutzrechtlichen Fragen vor.

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.

Änderungen dieses AVV bedürfen der Textform. Mündliche Nebenabreden bestehen nicht.

Stand: 29.04.2026

TerminStop · Marvin Passe

ImpressumDatenschutzerklärungAGB