Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Version 1.0 | Gültig ab: 2026-05-05

Verantwortlicher (Auftraggeber / Vermieter)

Name / Firma: wird bei Vertragsschluss ergänzt

Adresse: wird bei Vertragsschluss ergänzt

E-Mail: wird bei Vertragsschluss ergänzt

Auftragsverarbeiter (Auftragnehmer)

Better Projects Faster GmbH

Pariser Platz 5A, 70173 Stuttgart

E-Mail: [email protected]

Vertreten durch: Karsten Silz

Inhalt

  1. Präambel
  2. Gegenstand und Dauer
  3. Weisungsrecht
  4. Pflichten des Auftragnehmers
  5. Pflichten des Auftraggebers
  6. Unterauftragsverhältnisse
  7. Drittlandtransfers
  8. Technische und Organisatorische Maßnahmen
  9. Kontrollrechte
  10. Datensicherung und Löschung
  11. Rechte betroffener Personen
  12. Vertragslaufzeit und Kündigung
  13. Haftung
  14. Schlussbestimmungen
  15. Anlage 1 – TOM
  16. Anlage 2 – Unterauftragnehmer

Präambel und Zeitpunkt des Vertragsschlusses

Dieser AVV gilt als Bestandteil der Nutzungsbedingungen der Plattform und wird automatisch mit Abschluss des Hauptvertrags (Registrierung / Buchung eines Abonnements) wirksam. Durch die Nutzung der Plattform erklärt sich der Vermieter mit dem Inhalt dieses AVV einverstanden. Einer gesonderten Unterzeichnung bedarf es nicht, sofern die Zustimmung im Rahmen des digitalen Onboardings dokumentiert ist.

Der Auftragnehmer stellt dem Auftraggeber eine webbasierte Plattform zur Verwaltung von Ferienwohnungen zur Verfügung (nachfolgend „Plattform"). Im Rahmen der Nutzung der Plattform verarbeitet der Auftragnehmer im Auftrag und nach Weisung des Auftraggebers personenbezogene Daten von Dritten (insbesondere Gästen des Vermieters).

Art. 1 – Gegenstand und Dauer der Verarbeitung

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag des Auftraggebers und gemäß dessen Weisungen (Art. 28 Abs. 3 lit. a DSGVO).
  2. Die Verarbeitung erfolgt für die Dauer des bestehenden Hauptvertrags (Nutzungsvertrags) zwischen den Parteien. Nach dessen Beendigung richtet sich die weitere Behandlung der Daten nach Art. 9 dieses AVV.

1.1 Art der verarbeiteten Daten

  • Stammdaten von Gästen: Name, Adresse, E-Mail-Adresse, Telefonnummer
  • Buchungsdaten: Anreise-/Abreisedatum, gebuchte Unterkunft, Preis
  • Zahlungsbezogene Daten: Rechnungsbeträge, Zahlungsstatus (keine vollständigen Zahlungsmittelinformationen)
  • Kommunikationsdaten: E-Mail-Korrespondenz zwischen Vermieter und Gästen, soweit über die Plattform abgewickelt
  • Meldescheindaten: Namen, Staatsangehörigkeit, Ausweisnummern (soweit gesetzlich erforderlich)
  • Kurtaxe-relevante Informationen

1.2 Kategorien betroffener Personen

  • Gäste des Auftraggebers
  • Sonstige vom Auftraggeber eingegebene Kontaktpersonen

1.3 Zweck der Verarbeitung

  • Betrieb der Buchungsplattform und des Property-Management-Systems
  • Kalender- und Verfügbarkeitsverwaltung
  • Rechnungsstellung und -verwaltung für den Auftraggeber
  • Gästekommunikation und automatisierte E-Mail-Vorlagen
  • Erfüllung gesetzlicher Melde- und Steueranforderungen
  • Bereitstellung von Analysen und Auswertungen für den Auftraggeber

Art. 2 – Weisungsrecht des Auftraggebers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers, sofern er nicht durch Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten, denen er unterliegt, zu einer anderen Verarbeitung verpflichtet ist.
  2. Weisungen werden hauptsächlich durch die Konfiguration und Nutzung der Plattform erteilt. Darauf hinausgehende Weisungen bedürfen der Schriftform (E-Mail genügt).
  3. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, eine Weisung verstoße gegen die DSGVO oder sonstige datenschutzrechtliche Bestimmungen.

Art. 3 – Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich insbesondere:

Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO)

Sicherzustellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe Anlage 1).

Unterauftragsvergabe (Art. 28 Abs. 2, 4 DSGVO)

Weitere Auftragsverarbeiter nur mit vorheriger schriftlicher Zustimmung des Auftraggebers hinzuzuziehen (siehe Art. 5).

Unterstützung (Art. 28 Abs. 3 lit. e, f DSGVO)

Den Auftraggeber bei der Erfüllung der Rechte betroffener Personen sowie bei der Erfüllung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen.

Datenschutzbeauftragter

Sofern gesetzlich erforderlich, einen Datenschutzbeauftragten zu benennen.

Meldepflicht bei Datenpannen (Art. 33, 34 DSGVO)

Den Auftraggeber unverzüglich (möglichst innerhalb von 24 Stunden) über Verletzungen des Schutzes personenbezogener Daten zu informieren.

Art. 4 – Pflichten des Auftraggebers

  1. Der Auftraggeber ist als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO allein für die Rechtmäßigkeit der Verarbeitung verantwortlich, insbesondere für die Einholung erforderlicher Einwilligungen.
  2. Der Auftraggeber unterrichtet den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  3. Der Auftraggeber benennt einen Ansprechpartner für datenschutzrechtliche Anfragen.
  4. Der Auftraggeber stellt sicher, dass nur rechtmäßig erlangte personenbezogene Daten in die Plattform eingestellt werden.

Art. 5 – Unterauftragsverhältnisse

  1. Der Auftraggeber erteilt dem Auftragnehmer die generelle Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Unterauftragnehmer) gemäß Anlage 2 dieses Vertrags.
  2. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung (Hinzufügung oder Austausch) von Unterauftragnehmern mit einer Vorlaufzeit von mindestens 30 Tagen. Der Auftraggeber hat das Recht, Einspruch gegen solche Änderungen zu erheben.
  3. Der Auftragnehmer stellt sicher, dass Unterauftragnehmer vergleichbare datenschutzrechtliche Verpflichtungen eingehen wie in diesem AVV vereinbart.

Die aktuell eingesetzten Unterauftragnehmer sind in Anlage 2 aufgeführt.

Art. 6 – Drittlandtransfers

  1. Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU/EWR) erfolgt ausschließlich auf Basis geeigneter Garantien gemäß Art. 44 ff. DSGVO (insbesondere Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO oder Angemessenheitsbeschluss).
  2. Cloudflare Inc. ist im EU-U.S. Data Privacy Framework (DPF) zertifiziert. Der Auftragnehmer dokumentiert die Rechtsgrundlage für jeden Drittlandtransfer und stellt diese auf Anfrage zur Verfügung.

Art. 7 – Technische und Organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft gemäß Art. 32 DSGVO mindestens folgende technische und organisatorische Maßnahmen:

7.1 Vertraulichkeit

  • Verschlüsselung von Daten bei der Übertragung (TLS 1.2 oder höher)
  • Verschlüsselung gespeicherter Daten (AES-256 oder äquivalent)
  • Zugriffskontrolle per rollenbasiertem Berechtigungskonzept
  • Starke Passwortrichtlinien und Zwei-Faktor-Authentifizierung für administrative Zugänge

7.2 Integrität

  • Protokollierung von Zugriffen und Änderungen an personenbezogenen Daten
  • Datenbankintegritätsprüfungen und regelmäßige Backups
  • Eingabevalidierung und Schutz vor Injection-Angriffen (OWASP-Standard)

7.3 Verfügbarkeit

  • Regelmäßige verschlüsselte Datensicherungen
  • Notfallplan und dokumentiertes Business-Continuity-Management
  • Cloudflare-basiertes Hosting mit hoher Verfügbarkeit (SLA ≥ 99,5 %)

7.4 Belastbarkeit

  • Skalierbare Infrastruktur über Cloudflare Workers / Pages
  • Regelmäßige Penetrationstests und Sicherheits-Audits
  • Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der TOM

Art. 8 – Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften beim Auftragnehmer durch eigene Prüfungen oder durch Beauftragung qualifizierter Dritter zu kontrollieren.
  2. Kontrollen sind mit einer Vorlaufzeit von mindestens 14 Tagen anzukündigen. Der Auftragnehmer ist berechtigt, die Teilnahme von Personen abzulehnen, die in einem Wettbewerbsverhältnis stehen.
  3. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO), insbesondere aktuelle TOM-Dokumentationen und ggf. Zertifizierungen (z. B. ISO 27001).

Art. 9 – Datensicherung und Löschung nach Vertragsende

  1. Nach Beendigung des Hauptvertrags stellt der Auftragnehmer dem Auftraggeber sämtliche verarbeiteten personenbezogenen Daten in einem gängigen maschinenlesbaren Format (z. B. CSV, JSON) zum Export bereit. Die Exportfunktion steht für mindestens 30 Tage nach Vertragsende zur Verfügung.
  2. Nach Ablauf der 30-tägigen Frist löscht oder vernichtet der Auftragnehmer alle personenbezogenen Daten des Auftraggebers, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  3. Rechnungen des Auftragnehmers an den Auftraggeber (Abo-Gebühren) werden gemäß den steuerrechtlichen Aufbewahrungsfristen (DE: 8 Jahre; AT: 7 Jahre) aufbewahrt.
  4. Die Löschung wird auf Verlangen des Auftraggebers schriftlich bestätigt.

Art. 10 – Rechte betroffener Personen

  1. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch gemäß Art. 15–21 DSGVO) soweit technisch möglich.
  2. Anfragen betroffener Personen, die direkt beim Auftragnehmer eingehen, werden unverzüglich an den Auftraggeber weitergeleitet. Der Auftragnehmer bearbeitet diese Anfragen nicht eigenständig, es sei denn, der Auftraggeber weist ihn ausdrücklich dazu an.

Art. 11 – Vertragslaufzeit und Kündigung

  1. Dieser AVV tritt mit dem Abschluss des Hauptvertrags in Kraft und endet automatisch mit dessen Beendigung.
  2. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn eine Partei wesentliche datenschutzrechtliche Pflichten aus diesem AVV schwerwiegend verletzt.

Art. 12 – Haftung

  1. Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Innenverhältnis gilt: Jede Partei haftet für den Schaden, den sie durch einen Verstoß gegen diesen AVV verursacht hat.
  2. Der Auftragnehmer haftet nicht für Verarbeitungen, die der Auftraggeber ohne oder entgegen einer Weisung durchführt.

Art. 13 – Schlussbestimmungen

  1. Es gilt das Recht des Landes, in dem der Auftragnehmer seinen Sitz hat (DE: deutsches Recht; AT: österreichisches Recht). Schutzrechte der DSGVO bleiben unberührt.
  2. Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Der Auftragnehmer kann Änderungen des AVV mit einer Vorlaufzeit von mindestens 30 Tagen per E-Mail ankündigen; die weitere Nutzung der Plattform gilt als Zustimmung.
  3. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Gültigkeit des übrigen AVV unberührt.
  4. Dieser AVV ersetzt alle vorherigen Vereinbarungen zwischen den Parteien zur Auftragsverarbeitung.

Anlage 1 – Technische und Organisatorische Maßnahmen (TOM)

Maßnahme Umsetzung
Zutrittskontrolle Serverzugang ausschließlich über Cloudflare-Infrastruktur; keine physischen Server im eigenen Betrieb
Zugangskontrolle Starke Passwortrichtlinie, Zwei-Faktor-Authentifizierung für alle administrativen Zugänge
Zugriffskontrolle Rollenbasiertes Zugriffskonzept (RBAC); Prinzip der minimalen Rechte (Least Privilege)
Trennungsgebot Logische Trennung der Mandantendaten; kein Übertrag von Daten zwischen Kunden-Accounts
Übertragungsverschlüsselung TLS 1.2+ für alle Datenübertragungen; HTTPS erzwungen durch HSTS
Speicherverschlüsselung AES-256 Verschlüsselung für ruhende Daten in der Datenbank
Eingabekontrolle Protokollierung aller wesentlichen Datenänderungen mit Zeitstempel und Benutzer
Verfügbarkeitskontrolle Tägliche automatische Backups; 30 Tage Aufbewahrung; Wiederherstellbarkeit getestet
Auftragskontrolle Schriftliche Vereinbarungen mit allen Unterauftragnehmern gemäß Art. 28 DSGVO
Datenschutz-Folgenabschätzung Regelmäßige Überprüfung; DSFA bei wesentlichen Änderungen der Verarbeitung

Anlage 2 – Liste genehmigter Unterauftragnehmer

Stand: März 2026 – Diese Liste wird bei Änderungen mit 30-tägiger Vorlaufzeit aktualisiert.

Anbieter Leistung Sitz / Land Grundlage
Cloudflare, Inc. Hosting, CDN, Netzwerksicherheit USA EU-U.S. DPF + SCCs
Brevo SAS (ehem. Sendinblue) Versand transaktionaler E-Mails Frankreich (EU) AVV gemäß Art. 28 DSGVO
Zahlungsdienstleister Zahlungsabwicklung wird ergänzt wird ergänzt

Digitaler Vertragsschluss

Dieser Vertrag wird in digitaler Form im Rahmen des Onboarding-Prozesses akzeptiert. Einer gesonderten Unterzeichnung bedarf es nicht.