Auftragsverarbeitungsvertrag

1. Parteien und Präambel

Der vorliegende Vertrag wird geschlossen zwischen:

• Der Fachkraft — der natürlichen oder juristischen Person, Inhaber eines ZenBookr-Kontos vom Typ «Professional», nachfolgend auch «Verantwortlicher» oder «Controller»;
• Marco D'Arminio (natürliche Person (Privatperson)), mit Sitz in Vico Malvina 9, 70042 Mola di Bari (BA), Italien, welche die ZenBookr-Plattform betreibt, nachfolgend auch «ZenBookr», «Auftragsverarbeiter» oder «Processor».

Präambel:

• (a) ZenBookr stellt dem Verantwortlichen die Plattform auf der Grundlage der AGB für Fachkräfte («Hauptvertrag») zur Verfügung;
• (b) Im Rahmen der Ausführung des Hauptvertrags verarbeitet ZenBookr personenbezogene Daten Dritter (Kunden des Verantwortlichen) im Auftrag des Verantwortlichen;
• (c) Der vorliegende AVV regelt die Rechte, Pflichten und Verantwortlichkeiten der Parteien hinsichtlich dieser Verarbeitung gemäß Art. 28 DSGVO.

Im Falle eines Widerspruchs zwischen dem vorliegenden AVV und dem Hauptvertrag hat dieser AVV Vorrang in Angelegenheiten der Verarbeitung personenbezogener Daten.

2. Definitionen

Großgeschriebene Begriffe, die in diesem AVV nicht definiert sind, haben die ihnen in der DSGVO zugewiesene Bedeutung. Insbesondere:

• Personenbezogene Daten: personenbezogene Daten im Sinne von Art. 4 Abs. 1 DSGVO, die von ZenBookr im Auftrag des Verantwortlichen im Rahmen der Ausführung des Hauptvertrags verarbeitet werden
• Betroffene: die natürlichen Personen, auf die sich die personenbezogenen Daten beziehen (hauptsächlich die Kunden des Verantwortlichen)
• Verarbeitung: jeder auf personenbezogene Daten angewandte Vorgang im Sinne von Art. 4 Abs. 2 DSGVO
• Unterauftragsverarbeiter: Dritter, den ZenBookr zur Verarbeitung der personenbezogenen Daten autorisiert
• Datenpanne (Verletzung des Schutzes personenbezogener Daten): Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt (Art. 4 Abs. 12 DSGVO)

3. Gegenstand, Dauer, Art und Zweck der Verarbeitung

• Gegenstand: Bereitstellung der ZenBookr-Plattform als operatives Verwaltungswerkzeug der Tätigkeit des Verantwortlichen
• Dauer: für die gesamte Geltungsdauer des Hauptvertrags + 30 Tage nach Beendigung (zur Ermöglichung von Export und/oder Löschung)
• Art der Verarbeitung: Erhebung, Aufzeichnung, Organisation, Speicherung, Abruf, Veränderung, Auslesen, Übermittlung durch die Anwendung (ausschließlich für die nachstehend genannten Zwecke)
• Zwecke: Verwaltung von Terminen, Kundenkarteien, operativer Kommunikation zwischen dem Verantwortlichen und seinen Kunden, Zahlungsabwicklung über Stripe Connect, aggregierte Statistiken über die Tätigkeit des Verantwortlichen

4. Kategorien personenbezogener Daten und Betroffener

Kategorien von Betroffenen: Kunden, ehemalige Kunden, Leads des Verantwortlichen; etwaige Mitarbeiter/Angestellte, die der Verantwortliche im Bereich «Team» registriert (falls zutreffend).

Kategorien personenbezogener Daten:

• Identifikationsdaten: Vorname, Nachname, etwaige Aliase
• Kontaktdaten: E-Mail, Telefon, Anschrift (für mobile Dienstleistungen)
• Buchungs- und Historiendaten: Termine, gebuchte Dienstleistungen, Dauer, Beträge
• Etwaige gesundheitsbezogene Daten / körperliche Vorlieben (z. B. kosmetische Allergien, Hautzustände): fallen unter die «besonderen Kategorien» gemäß Art. 9 DSGVO, und der Verantwortliche ist dafür verantwortlich, eine gültige Rechtsgrundlage einzuholen (ausdrückliche Einwilligung des Kunden oder eine andere Grundlage gemäß Art. 9 Abs. 2 DSGVO), bevor diese auf die Plattform hochgeladen werden
• Fotos des Kunden (z. B. vor/nach Behandlung): nur wenn der Verantwortliche die ausdrückliche Einwilligung des Kunden eingeholt hat
• Notizen und Anmerkungen des Verantwortlichen zum Kunden

Der Verantwortliche ist allein verantwortlich für die Sicherstellung der Rechtmäßigkeit der Erhebung und des Hochladens dieser Daten auf die Plattform, einschließlich der seinen Kunden gegenüber erteilten Datenschutzinformation (Art. 13/14 DSGVO) und der Einholung etwaiger erforderlicher Rechtsgrundlagen.

5. Pflichten von ZenBookr als Auftragsverarbeiter

Gemäß Art. 28 Abs. 3 DSGVO verpflichtet sich ZenBookr:

• (a) Die personenbezogenen Daten nur zu den vom Verantwortlichen autorisierten Zwecken und nach dokumentierten Weisungen zu verarbeiten (die Konfigurationen der Plattform und dieser AVV stellen dokumentierte Weisungen dar);
• (b) Sicherzustellen, dass das zur Verarbeitung autorisierte Personal zur Vertraulichkeit verpflichtet ist;
• (c) Angemessene technische und organisatorische Sicherheitsmaßnahmen zu treffen (siehe Abschnitt 7);
• (d) Die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (Abschnitt 6);
• (e) Den Verantwortlichen, soweit möglich, bei der Beantwortung von Anträgen Betroffener zur Ausübung von DSGVO-Rechten zu unterstützen;
• (f) Den Verantwortlichen bei der Gewährleistung der Sicherheit, dem Umgang mit Datenpannen, Datenschutz-Folgenabschätzungen (DSFA) und vorheriger Konsultation (Art. 32-36 DSGVO) zu unterstützen;
• (g) Nach Wahl des Verantwortlichen die personenbezogenen Daten am Ende der Verarbeitung zurückzugeben oder zu löschen (Abschnitt 12);
• (h) Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der AVV-Pflichten nachzuweisen, und Audits zu ermöglichen (Abschnitt 11);
• (i) Den Verantwortlichen unverzüglich zu informieren, wenn nach Auffassung von ZenBookr eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.

Soweit nicht anders angegeben, verwendet ZenBookr die personenbezogenen Daten nicht zu eigenen Zwecken (z. B. zum Training von KI-Modellen, Profilbildung, Verkauf an Dritte, Marketing) und gibt sie nicht außerhalb der autorisierten, in Abschnitt 6 aufgeführten Unterauftragsverarbeiter weiter.

6. Unterauftragsverarbeiter

Der Verantwortliche autorisiert ZenBookr allgemein, die für die Erbringung der Dienstleistung erforderlichen Unterauftragsverarbeiter in Anspruch zu nehmen. ZenBookr gewährleistet, dass jeder Unterauftragsverarbeiter durch vertragliche Verpflichtungen gebunden ist, die denen des vorliegenden AVV gleichwertig sind (Art. 28 Abs. 4 DSGVO).

6.1 Aktuelle Liste der autorisierten Unterauftragsverarbeiter

6.2 Änderungen der Liste der Unterauftragsverarbeiter

ZenBookr informiert den Verantwortlichen über jede Änderung der Liste (Hinzufügung oder Ersetzung von Unterauftragsverarbeitern) mit mindestens 30 Tagen Vorankündigung durch Aktualisierung dieser Seite und Benachrichtigung per E-Mail an die mit dem Konto verknüpfte Adresse.

Der Verantwortliche kann der Änderung innerhalb von 15 Tagen nach der Benachrichtigung widersprechen und dabei angemessene Gründe im Zusammenhang mit dem Datenschutz angeben. In diesem Fall arbeiten die Parteien zusammen, um eine alternative Lösung zu finden. Wird innerhalb von 30 Tagen nach dem Widerspruch keine Lösung gefunden, kann der Verantwortliche den Hauptvertrag ohne Strafe mit einer Frist von 30 Tagen schriftlich kündigen.

7. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

ZenBookr trifft die folgenden Sicherheitsmaßnahmen:

7.1 Technische Maßnahmen

• Verschlüsselung bei der Übertragung: TLS 1.2+ in allen Kommunikationen
• Verschlüsselung im Ruhezustand: AES-256 auf Google-Cloud-Seite (Firestore, Cloud Storage)
• Passwort-Hashing: bcrypt mit nutzereindeutigem Salt
• Authentifizierung: Firebase Authentication mit MFA-Unterstützung (TOTP, Passkey/WebAuthn)
• Firebase App Check (reCAPTCHA Enterprise) zur Verhinderung von API-Missbrauch
• reCAPTCHA v3 auf öffentlichen Formularen
• Firestore Security Rules mit Multi-Tenant-Isolation pro Verantwortlichem
• Strukturiertes Logging von Zugriffen und sensiblen Vorgängen
• Automatische tägliche Backups mit 30-tägiger Aufbewahrung
• Disaster Recovery: Multi-Zonen-Replikation Google Cloud
• Integrierte Web Application Firewall (WAF) Google Cloud

7.2 Organisatorische Maßnahmen

• Vertragliche Vertraulichkeitsverpflichtungen mit dem autorisierten Personal
• Minimalprinzip beim Zugriff (Least Privilege): Datenzugriff nur zu Support-/Sicherheits-/Wartungszwecken, mit Logs
• Regelmäßige Schulung des Personals zu Datenschutz und Sicherheit
• Jährliche Überprüfung der Sicherheitsrichtlinien
• Schwachstellenmanagement-Prozess (Sicherheits-Patches innerhalb von 30 Tagen nach Entdeckung kritischer Schwachstellen)
• Dokumentiertes Verfahren zum Umgang mit Vorfällen

7.3 Aktualisierung der Maßnahmen

ZenBookr kann die Sicherheitsmaßnahmen im Laufe der Zeit aktualisieren, unter der Voraussetzung, dass das Gesamtschutzniveau gegenüber dem beschriebenen nicht abnimmt.

8. Übermittlung von Daten außerhalb der Europäischen Union

Mit Ausnahme der in der Tabelle der Unterauftragsverarbeiter (Abschnitt 6.1) angegebenen Ausnahmen werden die personenbezogenen Daten innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet.

Für etwaige Übermittlungen außerhalb des EWR gewährleistet ZenBookr, dass die Übermittlung erfolgt auf der Grundlage von:

• Angemessenheitsbeschluss der Europäischen Kommission (z. B. EU-US Data Privacy Framework)
• Standardvertragsklauseln (SCCs), genehmigt durch den Beschluss 2021/914
• Ergänzende Maßnahmen, wo erforderlich

Auf schriftliches Ersuchen des Verantwortlichen stellt ZenBookr eine Kopie der anwendbaren Garantien zur Verfügung.

9. Unterstützung des Verantwortlichen bei Anträgen Betroffener

Wendet sich ein Betroffener (Kunde des Verantwortlichen) direkt an ZenBookr, um DSGVO-Rechte (Auskunft, Berichtigung, Löschung usw.) auszuüben, wird ZenBookr nicht direkt in der Sache antworten, sondern:

• (a) Den Betroffenen an den Verantwortlichen (Fachkraft) als zuständige Stelle verweisen
• (b) Den Verantwortlichen innerhalb von 5 Arbeitstagen über den Antrag informieren
• (c) Dem Verantwortlichen die technischen Werkzeuge zur Bearbeitung des Antrags zur Verfügung stellen (z. B. Datenexport, gezielte Löschung, Auflistung von Verarbeitungen) über die Funktionen der Plattform oder, falls erforderlich, über manuelle Eingriffe des Support-Teams in angemessener Zeit

Die Unterstützung wird ohne zusätzliche Kosten geleistet, sofern der erforderliche Aufwand mit den ordentlichen Support-Zeiten vereinbar ist. Für außerordentliche Anträge oder für Tätigkeiten, die dedizierte technische Entwicklungen erfordern, kann ZenBookr nach Annahme des Verantwortlichen die Erstattung der entstandenen Kosten verlangen.

10. Verletzung des Schutzes personenbezogener Daten (Datenpanne)

Erlangt ZenBookr Kenntnis von einer Datenpanne, die die im Auftrag des Verantwortlichen verarbeiteten Daten betrifft:

• (a) Wird ZenBookr den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Entdeckung benachrichtigen;
• (b) Wird ZenBookr die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen mitteilen: Art der Verletzung, Kategorien und ungefähre Anzahl der Betroffenen und betroffenen Datensätze, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen zur Abmilderung der Auswirkungen;
• (c) Wird ZenBookr mit dem Verantwortlichen bei den Maßnahmen zur Bewältigung des Vorfalls, bei der Meldung an die Aufsichtsbehörden gemäß Art. 33 DSGVO und gegebenenfalls bei der Benachrichtigung der Betroffenen gemäß Art. 34 DSGVO kooperieren;
• (d) Wird ZenBookr den Vorfall, seine Ursachen und die ergriffenen Korrekturmaßnahmen dokumentieren.

Die Pflicht zur Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO (binnen 72 Stunden) verbleibt beim Verantwortlichen: ZenBookr stellt nur die für die Erfüllung durch den Verantwortlichen notwendigen Informationen bereit.

11. Audit und Inspektionen

Der Verantwortliche hat gemäß Art. 28 Abs. 3 lit. h DSGVO das Recht, die Einhaltung der Pflichten von ZenBookr als Auftragsverarbeiter zu überprüfen, durch:

• (a) Prüfung der von ZenBookr bereitgestellten technischen und organisatorischen Dokumentation (Audit-Berichte Dritter, Zertifizierungen, technische Dokumentation der Plattform)
• (b) Auf schriftliches, begründetes Ersuchen vor-Ort- oder Remote-Audit an den Standorten von ZenBookr, mit mindestens 30 Arbeitstagen Vorankündigung, zu üblichen Geschäftszeiten, einmal pro Jahr (außer außerordentliche Audits bei bestätigter Verletzung)

Der Verantwortliche trägt die Kosten des eigenen Audits. Etwaige von Dritten beauftragte Audits (z. B. externe Revisoren des Verantwortlichen) sind nach Unterzeichnung einer Vertraulichkeitsvereinbarung zulässig.

ZenBookr kann das vor-Ort-Audit durch die Vorlage anerkannter unabhängiger Zertifizierungen (z. B. SOC 2, ISO 27001) ersetzen, wo anwendbar.

12. Löschung / Rückgabe der Daten am Ende des Vertrags

Bei Beendigung des Hauptvertrags, aus welchem Grund auch immer, wird ZenBookr nach Wahl des Verantwortlichen, schriftlich innerhalb von 30 Tagen nach Beendigung mitgeteilt:

• (a) Die personenbezogenen Daten dem Verantwortlichen in strukturiertem Format (JSON/CSV-Export) zurückgeben, oder
• (b) Alle personenbezogenen Daten (und vorhandene Kopien) löschen

In Ermangelung von Angaben des Verantwortlichen innerhalb von 30 Tagen nach Beendigung wird ZenBookr standardmäßig die Löschung vornehmen.

Die Löschung auf aktiven Systemen erfolgt innerhalb von 30 Tagen. Die vollständige Löschung einschließlich Backups erfolgt innerhalb von 60 Tagen nach dem Antrag (zur Einhaltung des automatischen Backup-Rotationszyklus).

ZenBookr kann die personenbezogenen Daten nur in den Grenzen und für die Zeit aufbewahren, die unbedingt erforderlich ist, um:

• Gesetzliche Verpflichtungen zu erfüllen (z. B. steuerliche Pflichten, Aufbewahrung von Zahlungsnachweisen)
• Rechtsverteidigung
• Anonymisierte Daten (irreversibel nicht auf Personen rückführbar) zu statistischen Zwecken

13. Haftung

Jede Partei haftet für Schäden, die durch ihre Verstöße gegen die Pflichten dieses AVV oder der DSGVO verursacht werden. Die Gesamthaftung von ZenBookr gemäß diesem AVV ist wie im Abschnitt «Haftungsbeschränkung» der AGB für Fachkräfte vorgesehen begrenzt.

Es versteht sich, dass ZenBookr gemäß Art. 82 Abs. 2 DSGVO nur für Schäden haftet, die durch die Verarbeitung verursacht werden, wenn ZenBookr gegen speziell an Auftragsverarbeiter gerichtete DSGVO-Pflichten verstoßen oder unter Nichtbeachtung oder im Widerspruch zu den Weisungen des Verantwortlichen gehandelt hat.

Der Verantwortliche stellt ZenBookr von Ansprüchen Dritter (einschließlich Betroffener und Aufsichtsbehörden) frei, die sich ergeben aus:

• Verstößen des Verantwortlichen gegen eigene DSGVO-Pflichten (Datenschutzinformation, Rechtsgrundlage, Einholung von Einwilligungen)
• Hochladen von Daten auf die Plattform, die der Verantwortliche nicht zur Erhebung/Verarbeitung berechtigt war
• Unrechtmäßigen Weisungen des Verantwortlichen

14. Schlussbestimmungen

14.1 Änderungen des AVV

ZenBookr kann den AVV aktualisieren, um ihn an rechtliche Entwicklungen, Änderungen des Dienstes oder zur Verbesserung der gebotenen Garantien anzupassen. Die Änderungen werden dem Verantwortlichen mit mindestens 30 Tagen Vorankündigung per E-Mail und per In-App-Hinweis mitgeteilt.

Stimmt der Verantwortliche den Änderungen nicht zu, kann er den Hauptvertrag innerhalb von 30 Tagen nach Mitteilung ohne Strafe durch schriftliche Mitteilung an ZenBookr kündigen.

14.2 Anwendbares Recht und Gerichtsstand

Der vorliegende AVV unterliegt italienischem Recht. Für jede Streitigkeit ist der in den AGB für Fachkräfte angegebene Gerichtsstand zuständig.

14.3 Fortbestehen

Die Pflichten dieses AVV, die ihrer Natur nach die Beendigung des Hauptvertrags überdauern müssen (z. B. Vertraulichkeit, Löschung der Daten), gelten weiter.

15. Kontakt

Für jede Angelegenheit im Zusammenhang mit dem vorliegenden AVV: