Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO)
Stand: 5. Mai 2026. Diese Auftragsverarbeitungsvereinbarung („AVV") konkretisiert die Verpflichtungen aus Art. 28 DSGVO. Sie wird zwischen dem Geschäftskunden („Verantwortlicher") und Studio Apps Sp. z o.o. („Auftragsverarbeiter") mit Vertragsschluss über das Hosting einer Buchungswebsite oder vergleichbare Leistungen vereinbart, sofern dabei personenbezogene Daten Dritter verarbeitet werden.
§ 1 Gegenstand und Dauer
(1) Gegenstand der AVV ist die Verarbeitung personenbezogener Daten, die der Verantwortliche dem Auftragsverarbeiter im Rahmen der vereinbarten Hostingleistungen zur Verarbeitung überlässt — insbesondere Buchungsanfragen, die über das Formular der Kunden-Website eingehen.
(2) Die AVV läuft für die Dauer des Hauptvertrags. Sie endet automatisch mit der Beendigung der Hostingleistungen.
§ 2 Art und Zweck der Verarbeitung
Bereitstellung und Betrieb der Buchungswebsite, Entgegennahme und Speicherung von Buchungsanfragen, Versand von Bestätigungs- und Benachrichtigungs-E-Mails an Verantwortlichen und Endnutzer, Sicherheitsmonitoring (Spam-/Bot-Abwehr).
§ 3 Datenkategorien und Betroffene
Kategorien personenbezogener Daten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer (sofern angegeben), Datum/Zeitraum der gewünschten Buchung, Anzahl Personen, Nachricht, technische Metadaten (IP-Adresse, User-Agent, Zeitstempel).
Kategorien betroffener Personen: Endnutzer (Gäste/Interessenten) der Buchungswebsite des Verantwortlichen.
§ 4 Pflichten des Auftragsverarbeiters
(1) Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Vertraulichkeit: Personen, die der Verarbeitung dienen, sind zur Vertraulichkeit verpflichtet, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO — siehe Anlage 1.
(4) Unterstützung des Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen (Art. 12-22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35 f. DSGVO).
(5) Unverzügliche Meldung von Datenschutzverletzungen an den Verantwortlichen, spätestens binnen 48 Stunden nach Kenntnis (zur Einhaltung der 72-Stunden-Frist des Art. 33 DSGVO durch den Verantwortlichen).
(6) Nach Wahl des Verantwortlichen Löschung oder Rückgabe sämtlicher personenbezogener Daten nach Beendigung der Erbringung der Verarbeitungsleistungen, sofern keine Pflicht zur längeren Speicherung besteht.
(7) Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten.
§ 5 Subprozessoren
(1) Der Verantwortliche stimmt der Inanspruchnahme der unten in Anlage 2 genannten Subprozessoren zu (allgemeine Genehmigung gemäß Art. 28 Abs. 2 Satz 1 DSGVO).
(2) Bei beabsichtigten Änderungen in Bezug auf Hinzuziehung oder Ersetzung von Subprozessoren wird der Verantwortliche mit einer Frist von mindestens 30 Tagen vorher informiert (per E-Mail an die im Hauptvertrag hinterlegte Adresse). Der Verantwortliche kann der Änderung innerhalb von 14 Tagen nach Erhalt der Mitteilung aus berechtigten Gründen widersprechen. Bei berechtigtem Widerspruch sind die Parteien berechtigt, den Vertrag mit angemessener Frist zu kündigen.
(3) Der Auftragsverarbeiter schließt mit jedem Subprozessor eine Vereinbarung mit dem gleichen Datenschutzniveau wie diese AVV.
§ 6 Internationale Übermittlungen
Übermittlungen in Drittländer (insbesondere USA) erfolgen ausschließlich auf Basis der EU-Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914 (Modul 3 — Processor zu Subprocessor) und ergänzender technischer und organisatorischer Maßnahmen sowie — soweit anwendbar — der Adequacy Decision 2023/1795 (EU-US Data Privacy Framework).
§ 7 Audit-Rechte
(1) Der Auftragsverarbeiter weist die Einhaltung dieser AVV regelmäßig durch aktuelle Zertifizierungen (z. B. ISO 27001 der Subprozessoren) und schriftliche TOM-Beschreibungen nach. Diese werden dem Verantwortlichen auf Anfrage zugänglich gemacht.
(2) Vor-Ort-Kontrollen sind nach vorheriger Ankündigung mit angemessener Frist (mindestens 30 Tage) und während üblicher Geschäftszeiten zulässig. Sie sollen den laufenden Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen. Für jede Kontrolle stellt der Auftragsverarbeiter dem Verantwortlichen eine Aufwandspauschale in Rechnung; ausgenommen sind Kontrollen aufgrund konkreter Hinweise auf Datenschutzverletzungen.
§ 8 Haftung
Es gelten die Haftungsregelungen aus dem Hauptvertrag (§ 15 AGB). Im Außenverhältnis haften die Parteien gegenüber betroffenen Personen nach Maßgabe von Art. 82 DSGVO.
§ 9 Schlussbestimmungen
(1) Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag haben die Bestimmungen dieser AVV Vorrang in Datenschutzfragen.
(2) Sollten einzelne Bestimmungen dieser AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 — Technische und organisatorische Maßnahmen (TOMs)
- Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO): Zugriffskontrolle auf Datenbank-Ebene über Row-Level-Security (Supabase RLS). Authentifizierung mit starken Passwörtern und Multi-Faktor wo verfügbar. Zugriffsrechte nach Need-to-know. Audit-Logs für administrative Aktionen.
- Integrität (Art. 32 Abs. 1 lit. b DSGVO): TLS 1.2+ auf allen öffentlichen Endpunkten; verschlüsselte Datenbankverbindungen (TLS); Prüfsummen bei Backup-Wiederherstellung.
- Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO): Tägliche automatische Backups mit Aufbewahrung von 7 Tagen (Point-in-Time-Recovery). Hosting bei Anbietern mit dokumentierter Hochverfügbarkeit (Vercel, Supabase). Verfügbarkeitsziel: 99,5 % p. a.
- Belastbarkeit: Edge-CDN (Cloudflare) zur DDoS-Abwehr; Rate-Limiting auf API-Endpoints; Web-Application-Firewall.
- Verschlüsselung: Daten ruhend in der Datenbank — verschlüsselt (Storage-Encryption Supabase). Daten in Übertragung — TLS.
- Pseudonymisierung: Wo möglich Verwendung von UUIDs anstelle sprechender Kennzeichen; getrennte Speicherung administrativer Identitäten.
- Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO): Quartalsweise Sicherheitsreviews; jährliches Update der TOMs; automatische Sicherheitsupdates der Abhängigkeiten.
- Trennung: Logische Mandantentrennung in der Datenbank; getrennte Umgebungen für Produktion und Entwicklung.
Anlage 2 — Genehmigte Subprozessoren
| Subprozessor | Sitz / Datenstandort | Zweck | Transferinstrument |
|---|---|---|---|
| Vercel Inc. | USA / EU-Edge | Hosting, Edge-Computing | EU-SCC + DPF |
| Supabase Inc. | EU (Frankfurt) | Datenbank, Auth, Storage | EU-SCC für US-Mutter |
| Resend Inc. | USA | Transaktionale E-Mails | EU-SCC + DPF |
| Cloudflare Inc. | USA / EU-Edge | DNS, CDN, DDoS-Schutz | EU-SCC |
Die jeweils aktuellen DPAs der Subprozessoren werden von Studio Apps gepflegt und sind auf Anfrage einsehbar.