Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 15. Mai 2026

Dieser AVV ist durch Verweis in die Business-Nutzungsbedingungen einbezogen und tritt in Kraft, wenn der Kunde die Business-Nutzungsbedingungen akzeptiert oder den Service nach dem oben genannten Datum erstmals nutzt, je nachdem, was früher eintritt. Der Kunde, der eine gegengezeichnete Ausfertigung dieses AVV auf Firmenbriefpapier benötigt, kann diese durch Schreiben an privacy@easyweek.io anfordern. EasyWeek wird ohne inhaltliche Änderungen an dieser Vorlage gegenzeichnen.

1. Begriffsbestimmungen

Groß geschriebene, aber in diesem AVV nicht definierte Begriffe haben die Bedeutung, die ihnen in den Geschäftsbedingungen für Unternehmen oder in der DSGVO zugewiesen wird. Im Einzelnen:

• „DSGVO" — Verordnung (EU) 2016/679 sowie das Bundesdatenschutzgesetz (BDSG) und, soweit anwendbar, die UK DSGVO und das Schweizer DSG mit den erforderlichen Anpassungen.
• „Verantwortlicher", „Auftragsverarbeiter", „betroffene Person", „personenbezogene Daten", „Verletzung des Schutzes personenbezogener Daten", „Verarbeitung", „Unterauftragsverarbeiter", „Aufsichtsbehörde" — entsprechend der Definition in Art. 4 DSGVO.
• „Kundenpersonendaten" — personenbezogene Daten, die der Kunde oder seine autorisierten Nutzer in den Dienst eingeben oder über den Dienst erzeugen und die von EasyWeek im Auftrag des Kunden verarbeitet werden.
• „Standardvertragsklauseln" — die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß DSGVO, die durch den Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 erlassen wurden.

2. Rollen

Der Kunde ist der Verantwortliche für personenbezogene Daten des Kunden. EasyWeek ist der Auftragsverarbeiter und verarbeitet personenbezogene Daten des Kunden ausschließlich auf dokumentierte Weisung des Kunden und in Übereinstimmung mit diesem AVV, den Geschäftlichen Nutzungsbedingungen und dem anwendbaren Recht.

Die Parteien erkennen an, dass EasyWeek für bestimmte begrenzte Kategorien personenbezogener Daten, die EasyWeek für eigene Zwecke verarbeitet, der Verantwortliche ist — beispielsweise für Anmeldedaten autorisierter Nutzer, Abrechnungsdaten und Nutzungstelemetrie des Service. Diese Verarbeitung unterliegt der Datenschutzerklärung für Geschäftskunden, nicht diesem AVV.

3. Gegenstand, Laufzeit, Zweck

Gegenstand, Art, Zweck, Laufzeit, Kategorien personenbezogener Daten und Kategorien betroffener Personen sind in Anhang I beschrieben.

Der AVV ist wirksam, solange EasyWeek personenbezogene Daten des Kunden im Auftrag des Kunden verarbeitet, und bleibt nach Beendigung der Geschäftsbedingungen so lange bestehen, wie es zur Erfüllung von Abschnitt 13 erforderlich ist.

4. Kundenanweisungen

Der Service selbst, die vom Kunden über die Benutzeroberfläche und API des Service vorgenommene Konfiguration, die Geschäftsbedingungen sowie diese AVV stellen die vollständigen und abschließenden dokumentierten Anweisungen des Kunden an EasyWeek hinsichtlich der Verarbeitung von personenbezogenen Daten des Kunden dar. Zusätzliche oder abweichende Anweisungen bedürfen einer schriftlichen Vereinbarung und können zusätzliche Gebühren verursachen.

EasyWeek wird den Kunden unverzüglich informieren, wenn EasyWeek der Auffassung ist, dass eine Anweisung gegen die DSGVO oder eine andere datenschutzrechtliche Bestimmung der EU oder eines Mitgliedstaats verstößt, und kann die streitige Anweisung bis zur schriftlichen Bestätigung durch den Kunden aussetzen.

5. Vertraulichkeit

EasyWeek stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten des Kunden befugt sind, sich zur Vertraulichkeit verpflichtet haben (oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen) und durch Zugriffskontrollen sowie dem Prinzip der minimalen Rechtevergabe gebunden sind. Der Zugang zu personenbezogenen Daten des Kunden ist auf Personen beschränkt, die diesen Zugang benötigen, um den Service zu betreiben oder zu verbessern.

6. Sicherheit (TOMs)

EasyWeek implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Anhang II dargelegt. EasyWeek kann seine TOMs im Laufe der Zeit aktualisieren, solange das Schutzniveau nicht abgesenkt wird.

7. Unterauftragsverarbeiter

Der Kunde erteilt EasyWeek hiermit eine allgemeine schriftliche Genehmigung zur Einbindung von Unterauftragsverarbeitern. Die Liste der genehmigten Unterauftragsverarbeiter zum Zeitpunkt des Abschlusses dieses AVV ist in Anhang III aufgeführt und wird unter /business/subprocessors aktuell gehalten.

EasyWeek wird den Kunden mindestens dreißig (30) Tage im Voraus über jede beabsichtigte Hinzufügung oder den Austausch von Unterauftragsverarbeitern informieren, und zwar über das In-App-Benachrichtigungszentrum und, sofern der Kunde dies abonniert hat, per E-Mail. Der Kunde kann innerhalb von dreißig (30) Tagen nach der Mitteilung aus angemessenen, dokumentierten datenschutzrechtlichen Gründen Widerspruch einlegen. Können die Parteien keine Einigung erzielen, ist der Kunde berechtigt, die Geschäftlichen Nutzungsbedingungen hinsichtlich des Teils des Dienstes, der den strittigen Unterauftragsverarbeiter erfordert, zu kündigen, mit anteiliger Erstattung der im Voraus gezahlten Gebühren für die verbleibende Laufzeit.

EasyWeek verpflichtet jeden Unterauftragsverarbeiter durch schriftlichen Vertrag zu Datenschutzpflichten, die nicht weniger schützend sind als die in diesem AVV festgelegten. EasyWeek haftet dem Kunden gegenüber uneingeschränkt für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter.

8. Internationale Übermittlungen

Personenbezogene Daten des Kunden werden vorrangig im Europäischen Wirtschaftsraum verarbeitet. Soweit personenbezogene Daten des Kunden in ein Land außerhalb des EWR ohne Angemessenheitsbeschluss der Europäischen Kommission übermittelt werden, finden die Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 mit den folgenden Auswahlen Anwendung:

• Modul 2 (Verantwortlicher an Auftragsverarbeiter) wird durch Bezugnahme für Übermittlungen vom Kunden (oder dessen Verantwortlichem im EWR) an EasyWeek einbezogen, soweit EasyWeek personenbezogene Daten des Kunden in einem Drittland verarbeitet.
• Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) wird durch Bezugnahme für Weiterübermittlungen von EasyWeek an Unterauftragsverarbeiter in einem Drittland einbezogen.
• Klausel 7 (Beitrittsklausel) ist enthalten.
• Klausel 9(a) — Option 2 (allgemeine schriftliche Genehmigung, 30-Tage-Frist) findet Anwendung.
• Klausel 11(a) — eine unabhängige Streitbeilegungsstelle wird nicht ausgewählt.
• Klausel 17 — anwendbares Recht ist das Recht der Bundesrepublik Deutschland.
• Klausel 18 — zuständige Gerichte sind die Gerichte in Düsseldorf, Deutschland.
• Anlage I der Standardvertragsklauseln wird durch Bezugnahme auf Anlage I dieses AVV ausgefüllt.
• Anlage II der Standardvertragsklauseln wird durch Bezugnahme auf Anlage II dieses AVV ausgefüllt.
• Anlage III der Standardvertragsklauseln wird durch Bezugnahme auf Anlage III dieses AVV ausgefüllt.

Eine Transferfolgenabschätzung (Transfer Impact Assessment), die die Bewertung von EasyWeek zu den Rechtsvorschriften des Bestimmungslandes sowie etwaige ergänzende technische, vertragliche oder organisatorische Maßnahmen zusammenfasst, ist auf Anfrage unter privacy@easyweek.io erhältlich.

Für Übermittlungen in das Vereinigte Königreich findet das UK International Data Transfer Addendum zu den Standardvertragsklauseln (herausgegeben vom ICO und in Kraft seit dem 21. März 2022) Anwendung. Für Übermittlungen in die Schweiz werden die Standardvertragsklauseln mit den vom EDÖB geforderten Ersetzungen gelesen.

9. Anfragen betroffener Personen

Der Service stellt Self-Service-Funktionen bereit, die es dem Kunden ermöglichen, Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu erfüllen. Wenn eine betroffene Person EasyWeek direkt kontaktiert, leitet EasyWeek die Anfrage unverzüglich an den Kunden weiter und antwortet der betroffenen Person nicht, außer um den Eingang zu bestätigen und die Anfrage an den Kunden weiterzuleiten.

EasyWeek unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht des Kunden, auf Anfragen betroffener Personen gemäß Art. 12 bis 22 DSGVO i. V. m. §§ 32 ff. BDSG zu antworten.

10. Verletzung des Schutzes personenbezogener Daten

EasyWeek wird den Kunden unverzüglich und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden, nachdem EasyWeek von einer Verletzung des Schutzes personenbezogener Daten, die die personenbezogenen Daten des Kunden betrifft, Kenntnis erlangt hat, benachrichtigen. Die Benachrichtigung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen, soweit diese bekannt sind: die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen.

EasyWeek wird angemessene Schritte unternehmen, um die Verletzung einzudämmen und zu beheben sowie dem Kunden die Informationen zur Verfügung zu stellen, die der Kunde benötigt, um seinen eigenen Meldepflichten gegenüber seiner Aufsichtsbehörde und den betroffenen Personen nachzukommen.

11. Datenschutz-Folgenabschätzung und vorherige Konsultation

EasyWeek unterstützt den Kunden in angemessenem Umfang bei jeder Datenschutz-Folgenabschätzung oder vorherigen Konsultation, die der Kunde gemäß Art. 35 oder 36 DSGVO durchzuführen hat, soweit eine solche Unterstützung vernünftigerweise erforderlich ist und die entsprechenden Informationen bei EasyWeek vorliegen.

12. Prüfung

EasyWeek stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses AVV nachzuweisen, einschließlich:

• Aktuelle Kopien der relevantesten Zertifizierungen und Prüfberichte (wie ISO 27001, sofern verfügbar, sowie SOC-2-Typ-II-Berichte relevanter Unterauftragsverarbeiter).
• Schriftliche Antworten auf einen angemessenen Sicherheitsfragebogen, einmal pro Zwölfmonatszeitraum, kostenfrei.

Soweit die vorstehenden Informationen nicht ausreichen und der Kunde durch seine Aufsichtsbehörde zur Durchführung einer Vor-Ort-Prüfung verpflichtet ist, kann der Kunde eine Prüfung selbst durchführen oder einen unabhängigen Prüfer damit beauftragen, und zwar auf Kosten des Kunden, mit einer schriftlichen Ankündigungsfrist von mindestens sechzig (60) Tagen, während der Geschäftszeiten, höchstens einmal pro Zwölfmonatszeitraum (es sei denn, eine Verletzung des Schutzes personenbezogener Daten ist eingetreten), unter angemessenen Vertraulichkeitsverpflichtungen und ohne die Geschäftstätigkeit von EasyWeek oder die Sicherheit anderer Kunden zu beeinträchtigen. Der Umfang der Prüfung ist auf die Überprüfung der Einhaltung dieses AVV durch EasyWeek beschränkt.

13. Rückgabe und Löschung

Innerhalb von dreißig (30) Tagen nach Beendigung der Geschäftsbedingungen kann der Kunde personenbezogene Daten des Kunden über die vom Service bereitgestellten Self-Service-Exportfunktionen exportieren. Nach Ablauf dieser dreißigtägigen Übergangsfrist löscht oder anonymisiert EasyWeek personenbezogene Daten des Kunden innerhalb einer angemessenen Frist und in jedem Fall innerhalb von neunzig (90) Tagen, es sei denn, EasyWeek ist nach EU-Recht, dem Recht eines Mitgliedstaats oder dem Bundesdatenschutzgesetz (BDSG) verpflichtet, einen Teil oder alle dieser Daten aufzubewahren (in diesem Fall unterliegen die aufbewahrten Daten weiterhin den Vertraulichkeits- und Sicherheitspflichten dieses AVV).

Sicherungskopien, die personenbezogene Daten des Kunden enthalten, werden im Rahmen der standardmäßigen Backup-Aufbewahrungsfrist fortlaufend überschrieben und unterliegen bis zu deren Ablauf diesem AVV.

14. Haftung und Sonstiges

Die Haftung jeder Partei im Rahmen dieser Auftragsverarbeitungsvereinbarung oder in Verbindung damit unterliegt den Haftungsbeschränkungen und -ausschlüssen, die in den Geschäftsbedingungen für Unternehmen festgelegt sind.

Diese Auftragsverarbeitungsvereinbarung ist Bestandteil der Geschäftsbedingungen für Unternehmen. Im Falle eines Widerspruchs zwischen dieser Auftragsverarbeitungsvereinbarung und den Geschäftsbedingungen für Unternehmen hinsichtlich der Verarbeitung personenbezogener Daten des Kunden geht diese Auftragsverarbeitungsvereinbarung vor. Im Falle eines Widerspruchs zwischen dieser Auftragsverarbeitungsvereinbarung und den Standardvertragsklauseln gehen die Standardvertragsklauseln vor.

Diese Auftragsverarbeitungsvereinbarung unterliegt dem Recht der Bundesrepublik Deutschland. Die Gerichte in Düsseldorf, Deutschland, sind ausschließlich zuständig, unbeschadet der zwingenden Schutzrechte der betroffenen Personen an ihrem gewöhnlichen Aufenthaltsort.

Anlage I – Beschreibung der Verarbeitung

Gegenstand Die Verarbeitung, die erforderlich ist, um dem Kunden den EasyWeek Business-Service bereitzustellen.

Laufzeit Für die Laufzeit der Business-Nutzungsbedingungen sowie jede nach Vertragsbeendigung geltende Aufbewahrungsfrist, die zur Erfüllung von Abschnitt 13 erforderlich ist.

Art und Zweck der Verarbeitung Hosting, Speicherung, Abruf, Organisation, Änderung, Übermittlung, Löschung, Anonymisierung, statistische Analyse und sonstige Verarbeitungsvorgänge, die zur Erbringung von Online-Buchung, Kundenbeziehungsmanagement, Finanz- und Rechnungswesen, Marketing-Automatisierung, Website-Erstellung, Erinnerungen und Benachrichtigungen, Marktplatz-Listung, KI-gestützten Funktionen sowie ergänzenden Funktionen erforderlich sind.

Kategorien von betroffenen Personen

• Endkunden und potenzielle Kunden des Kunden
• Mitarbeiter, Freiberufler, Auftragnehmer und sonstige autorisierte Nutzer des Kunden
• Besucher der Online-Buchungsseiten und eingebetteten Widgets des Kunden
• Absender und Empfänger von Kommunikation, die über den Service geleitet wird

Kategorien personenbezogener Daten

• Identifikationsdaten (Name, Foto, Geschlecht)
• Kontaktdaten (E-Mail, Telefon, Adresse)
• Zugangsdaten der autorisierten Nutzer des Kunden
• Buchungs- und Terminhistorie
• Notizen, Dateien, Fotos und Dokumente, die vom Kunden hochgeladen wurden
• Daten zu Treueprogrammen, Guthabenkarten-Salden, Kundensegmente
• Kommunikationsinhalte (SMS, WhatsApp, E-Mail-Text, Push-Benachrichtigungstext, In-App-Chat)
• Finanzdaten (Rechnungsunterlagen, Zahlungsstatus, letzte 4 Ziffern von Zahlungskarten — vollständige Kartendaten werden direkt von Stripe verarbeitet und nicht von EasyWeek gespeichert)
• Technische Daten (IP-Adresse, Gerätekennung, Browser, Sprache, Zeitstempel)
• Sofern der Kunde sich entscheidet, diese zu erfassen: gesundheitsbezogene Notizen (in Beauty-, Wellness-, Medizin- oder Dentalzusammenhängen). Der Kunde ist dafür verantwortlich sicherzustellen, dass er vor der Erfassung solcher Daten über eine gültige Rechtsgrundlage gemäß Art. 9 DSGVO verfügt.

Häufigkeit der Übermittlungen Fortlaufend.

Aufbewahrung Personenbezogene Daten des Kunden werden so lange aufbewahrt, wie der Kunde es anweist, und wie in Abschnitt 13 weiter beschrieben.

Anhang II – Technische und organisatorische Maßnahmen

EasyWeek implementiert mindestens die folgenden Maßnahmen, die von Zeit zu Zeit aktualisiert werden können, sofern das Schutzniveau dadurch nicht verringert wird:

• Pseudonymisierung und Verschlüsselung — TLS 1.3 für Daten während der Übertragung in öffentlichen Netzwerken; AES-256 für ruhende Daten (Datenbankspeicher, Objektspeicher, Sicherungskopien); mandantenspezifische Verschlüsselungsschlüssel für sensible Felder, soweit anwendbar.
• Vertraulichkeit — rollenbasierte Zugriffskontrolle nach dem Prinzip der minimalen Rechtevergabe, Multi-Faktor-Authentifizierung für alle administrativen Zugriffe, automatischer Sitzungsablauf, IP-basierte Zugriffskontrollen für Produktionssysteme, schriftliche Vertraulichkeitsverpflichtungen für alle Mitarbeiter.
• Integrität — Änderungsmanagement, Code-Review, automatisiertes Abhängigkeits-Scanning, signierte Deployment-Artefakte, Integritätsprüfungen von Sicherungskopien.
• Verfügbarkeit und Ausfallsicherheit — Produktions-Hosting in Hetzner-Rechenzentren in Deutschland mit redundanter Stromversorgung und Netzwerkinfrastruktur, Kubernetes-Orchestrierung mit automatischer Wiederherstellung, tägliche Sicherungskopien mit zonenübergreifender Replikation, dokumentierter Notfallwiederherstellungsplan mit jährlichen Planübungen, Statusseite unter status.easyweek.io.
• Wiederherstellung — Aufbewahrung von Sicherungskopien in ausreichendem Umfang, um den Service nach einem physischen oder technischen Vorfall wiederherzustellen; vierteljährliche Wiederherstellungstests.
• Testen und Bewertung — jährlicher Penetrationstest der Produktionsumgebung durch Dritte, kontinuierliches statisches und dynamisches Anwendungssicherheitstesting in CI/CD, Schwachstellenmanagementprozess mit definierten SLAs zur Behebung.
• Netzwerktrennung — Produktions-, Staging- und Entwicklungsumgebungen sind logisch und physisch getrennt; Administratorzugriff ausschließlich über Bastion-Hosts.
• Protokollierung und Überwachung — zentralisierte Audit-Protokolle für Authentifizierung, Autorisierung, Konfigurationsänderungen und Datenexportereignisse, mindestens ein Jahr aufbewahrt; Sicherheitsinformations- und Ereignisüberwachung mit Benachrichtigung bei Anomalien.
• Sichere Entwicklung — SDLC mit Bedrohungsmodellierung, Peer-Review, Secret-Scanning, Lizenz-Compliance und OWASP-konformen Coding-Standards.
• Lieferantenmanagement — schriftliche Verträge mit allen Unterauftragsverarbeitern, die gleichwertige Verpflichtungen auferlegen; regelmäßige Überprüfung.
• Personelle Sicherheit — Hintergrundüberprüfungen, soweit gesetzlich zulässig; Schulungen zum Sicherheitsbewusstsein und zum Datenschutz bei Einstellung und jährlich danach.
• Vorfallsmanagement — 24/7-Bereitschaftsdienst (On-Call-Rotation); dokumentiertes Vorfallsreaktionshandbuch; Meldung von Datenschutzverletzungen innerhalb von 72 Stunden gemäß Abschnitt 10.
• Physische Sicherheit — der physische Zugang zu den Verarbeitungseinrichtungen wird durch den Unterauftragsverarbeiter, der die jeweilige Einrichtung betreibt (Hetzner, Google Cloud), unter nach ISO 27001 / SOC 2 zertifizierten Kontrollen gesteuert.

Anhang III – Genehmigte Unterauftragsverarbeiter

Die aktuelle Liste der EasyWeek-Unterauftragsverarbeiter wird unter /business/subprocessors veröffentlicht und gepflegt. Die Liste unter dieser URL wird hiermit durch Verweis in diesen AVV und Anhang III einbezogen.