Rechtliches

Auftragsverarbeitungsvertrag

Gemäß Art. 28 DSGVO / Pursuant to Art. 28 GDPR

Stand: 27. Februar 2026

Parteien und Abschluss

Dieser Auftragsverarbeitungsvertrag („AVV") wird geschlossen zwischen dem Betreiber von Tiapla – René Rothe, Am Herrschaftsanger 5, 89343 Jettingen-Scheppach, Deutschland (nachfolgend „Auftragsverarbeiter") – und jedem Kunden, der die Tiapla-Buchungsplattform zur Verarbeitung personenbezogener Daten seiner eigenen Endnutzer verwendet (nachfolgend „Verantwortlicher").

Dieser AVV ist Bestandteil der Tiapla-Nutzungsbedingungen. Mit der Nutzung des Dienstes akzeptiert der Verantwortliche diesen AVV. Der AVV erfüllt die Anforderungen des Art. 28 DSGVO.

Gegenstand, Laufzeit, Art und Zweck der Verarbeitung

Gegenstand: Verarbeitung personenbezogener Daten der Endnutzer des Verantwortlichen zum Zweck der Terminbuchung.

Processing of personal data of the Controller's end users for the purpose of appointment booking.

Laufzeit: Für die Dauer der Nutzung des Tiapla-Dienstes durch den Verantwortlichen. Die Verarbeitung endet mit Löschung des Kontos oder Einstellung des Dienstes.

For as long as the Controller uses the Tiapla Service. Processing ends upon deletion of the account or discontinuation of the Service.

Art: Erhebung, Speicherung, Abruf und Löschung von Termindaten über die Tiapla-Plattform und -API.

Collection, storage, retrieval, and deletion of appointment data via the Tiapla platform and API.

Zweck: Bereitstellung der Terminbuchungsfunktion im Auftrag des Verantwortlichen.

Provision of appointment booking functionality on behalf of the Controller.

Art der personenbezogenen Daten und Kategorien betroffener Personen

Folgende Datenkategorien können verarbeitet werden, abhängig von den durch den Verantwortlichen konfigurierten Feldern:

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Termindatum und -uhrzeit
  • Notizen und weitere vom Verantwortlichen konfigurierte Felder

Betroffene Personen sind die Endnutzer des Verantwortlichen, die über das Tiapla-Widget oder die Buchungsseite Terminbuchungen einreichen.

Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter (Tiapla) verpflichtet sich:

  • Personenbezogene Daten ausschließlich zum Zweck der Erbringung des Dienstes und nur im erforderlichen Umfang zu verarbeiten.
  • Sicherzustellen, dass alle zur Verarbeitung befugten Personen Vertraulichkeitsverpflichtungen unterliegen.
  • Geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO umzusetzen (siehe Abschnitt 7).
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung) soweit technisch möglich zu unterstützen.
  • Den Verantwortlichen unverzüglich zu informieren, wenn eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die dessen Daten betrifft.
  • Alle personenbezogenen Daten des Verantwortlichen nach Beendigung der Leistungsbeziehung zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Alle erforderlichen Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieses AVV und von Art. 28 DSGVO erforderlich sind.
  • Audits, einschließlich Inspektionen, durch den Verantwortlichen oder einen von ihm beauftragten Prüfer zu ermöglichen und zu unterstützen (Art. 28 Abs. 3 lit. h DSGVO). Umfang und Zeitpunkt sind vorab zu vereinbaren, um Betriebsunterbrechungen zu minimieren.

Pflichten des Verantwortlichen

Der Verantwortliche ist verantwortlich für:

  • Die Sicherstellung einer rechtmäßigen Rechtsgrundlage für die Verarbeitung von Endnutzerdaten (z. B. Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung).
  • Die Information seiner Endnutzer über die Datenverarbeitung in einer rechtskonformen Datenschutzerklärung auf seiner eigenen Website.
  • Die Sicherstellung, dass nur erforderliche und rechtmäßig erhobene Daten über den Dienst verarbeitet werden.
  • Die Erteilung dokumentierter Weisungen an den Auftragsverarbeiter, soweit erforderlich (die Nutzung des Dienstes gilt als Weisung).

Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter zur Erbringung des Tiapla-Dienstes ein. Soweit ein Unterauftragsverarbeiter seinen Sitz außerhalb der EU/des EWR hat, sind geeignete Garantien (EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO) vereinbart. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz solcher Unterauftragsverarbeiter.

Unterauftragsverarbeiter Dienst Standort AVV / DPA
Amazon Web Services EMEA SARL Cloud-Infrastruktur (EC2, Speicher) EU – Frankfurt, Deutschland (eu-central-1) AWS AVV (PDF)
Google LLC Google Calendar API – optional, nur aktiv wenn ein Unternehmen seinen Google-Kalender verbindet USA (Übertragung über EU-Standardvertragsklauseln, Art. 46 Abs. 2 lit. c DSGVO) Google AVV (SCCs)
Microsoft Ireland Operations Ltd Microsoft Graph / Outlook-Kalender-API – optional, nur aktiv wenn ein Unternehmen seinen Outlook-Kalender verbindet EU – Irland Microsoft AVV
seven.io GmbH SMS-Gateway für Terminbestätigungen und -erinnerungen – optional, nur aktiv wenn ein Unternehmen SMS-Benachrichtigungen aktiviert hat EU – Deutschland seven.io AVV
STRATO AG Transaktionaler E-Mail-Versand – Terminbestätigungen, Erinnerungen, DSGVO-Verifizierungsmails und Systembenachrichtigungen EU – Berlin, Deutschland STRATO AVV

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern durch Aktualisierung dieser Seite. Der Verantwortliche kann innerhalb von 14 Tagen nach Bekanntgabe Widerspruch erheben.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft folgende Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus:

  • HTTPS/TLS-Verschlüsselung für alle Daten bei der Übertragung.
  • Verschlüsselte Speicherung ruhender Daten auf geschützter Serverinfrastruktur.
  • Zugriffskontrolle: Nur autorisiertes Personal hat Zugang zu Produktionsdaten.
  • Authentifizierung: Konten sind durch Zugangsdaten und JWT-basiertes Sitzungsmanagement geschützt.
  • Regelmäßige Datensicherungen zur Vermeidung von Datenverlust.
  • Serverinfrastruktur mit Standort in der EU/dem EWR; keine Übermittlung von Daten in Drittländer.

Rückgabe und Löschung von Daten

Nach Beendigung der Leistungsbeziehung oder auf schriftliche Anfrage des Verantwortlichen löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten innerhalb einer angemessenen Frist, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann eine Bestätigung der Löschung anfordern.