Auftragsverarbeitungs-Vertrag (AVV / DPA)
Stand: 5. Juni 2026 · Vertrag nach Art. 28 DSGVO
Dieser Auftragsverarbeitungs-Vertrag („AVV") ergänzt die Nutzungsbedingungen zwischen Ihnen als Verantwortlichem („Kunde") und Aaron Schmidt, terminio.ai als Auftragsverarbeiter („Anbieter"). Er gilt automatisch für jede Nutzung des Dienstes, bei der personenbezogene Daten Ihrer Kunden oder Mitarbeitenden verarbeitet werden, und kann auf Anfrage gegengezeichnet werden.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Anbieter im Rahmen der Bereitstellung von terminio.ai (Online-Terminbuchung, KI-Telefonassistent, WhatsApp-Erinnerungen, Kalender- und Kundenverwaltung). Die Verarbeitung dauert für die Laufzeit des Hauptvertrags und endet mit dessen Beendigung.
2. Art und Zweck der Verarbeitung
Hosting, Speicherung, Anzeige und Übermittlung von Termin-, Kunden- und Konfigurationsdaten zur Bereitstellung der Buchungs-, Telefonie- und Erinnerungsfunktionen.
3. Art der Daten und Kategorien betroffener Personen
- Stammdaten Ihrer Endkunden: Name, E-Mail, Telefonnummer, Notizen, Sprache.
- Termindaten: gebuchte Leistung, Zeitpunkt, Mitarbeitender, Status, Historie.
- Kommunikationsdaten: WhatsApp- und SMS-Erinnerungen, Telefongesprächs-Metadaten und ggf. Transkripte des KI-Assistenten.
- Mitarbeiterdaten: Name, E-Mail, Rolle, Arbeitszeiten.
- Nutzungs- und Protokolldaten: IP-Adresse, Browser, Aufrufzeitpunkte.
Betroffene Personengruppen sind Ihre Endkunden, Ihre Mitarbeitenden sowie Interessenten, die Ihre Buchungsseite aufrufen.
4. Pflichten des Anbieters
- Verarbeitung ausschließlich auf dokumentierte Weisung des Kunden, die über die Konfiguration im Produkt und schriftliche Anweisungen erteilt werden kann.
- Vertraulichkeit aller mit der Verarbeitung befassten Personen (Art. 28 Abs. 3 lit. b DSGVO).
- Umsetzung angemessener technischer und organisatorischer Maßnahmen (siehe Abschnitt 7).
- Unterstützung des Kunden bei Betroffenenrechten, Meldepflichten (Art. 33, 34 DSGVO) und Datenschutz-Folgenabschätzungen.
- Unverzügliche Meldung von Datenschutzverletzungen, spätestens jedoch innerhalb von 48 Stunden nach Kenntnis.
- Nach Beendigung des Vertrags: Löschung oder Rückgabe aller personenbezogenen Daten innerhalb von 30 Tagen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
5. Pflichten des Kunden
Der Kunde ist Verantwortlicher im Sinne der DSGVO und hat die Rechtmäßigkeit der Verarbeitung sicherzustellen, insbesondere eine Rechtsgrundlage für die Übermittlung der Daten an den Anbieter sowie etwaige Einwilligungen seiner Endkunden (z. B. für WhatsApp-Erinnerungen oder die Aufzeichnung von Telefonaten durch den KI-Assistenten).
6. Unterauftragsverarbeiter
Der Kunde erteilt eine allgemeine Genehmigung zum Einsatz folgender Unterauftragsverarbeiter. Änderungen werden mit mindestens 30 Tagen Vorlauf auf dieser Seite angekündigt; der Kunde kann der Änderung aus wichtigem Grund widersprechen.
| Anbieter | Leistung | Standort / Transfer |
|---|---|---|
| Supabase, Inc. (über Lovable Cloud) | Datenbank-Hosting, Authentifizierung, Storage | EU (Frankfurt) |
| Cloudflare, Inc. | CDN, Edge-Hosting der Anwendung | Global, EU-Standardvertragsklauseln |
| Paddle.com Market Limited | Merchant of Record, Zahlungsabwicklung, Rechnungen, Steuern | UK / EU, SCC + UK IDTA |
| Twilio Ireland Limited | Telefonie, SMS, WhatsApp Business API | EU / USA, EU-Standardvertragsklauseln |
| ElevenLabs Inc. | KI-Sprachsynthese und Conversational-AI für den Telefonassistenten | USA, EU-Standardvertragsklauseln |
| Google Ireland Limited | OAuth-Login (sofern vom Kunden aktiviert) | EU / USA, EU-Standardvertragsklauseln |
| Resend, Inc. | Transaktionale E-Mails (z. B. Passwort-Reset, Bestätigungen) | EU / USA, EU-Standardvertragsklauseln |
7. Technische und organisatorische Maßnahmen (TOMs)
- Verschlüsselung: TLS 1.2+ für alle Datenübertragungen, AES-256 für ruhende Daten in der Datenbank und im Storage.
- Zugriffskontrolle: Rollenbasierter Zugriff (RBAC), Row-Level-Security in der Datenbank, Mandantentrennung pro Tenant-ID.
- Authentifizierung: Passwort-Hashing (bcrypt/argon2), optionales OAuth, Session-Token mit kurzer Lebensdauer.
- Protokollierung: Zugriffs-, Fehler- und Sicherheits-Logs mit beschränkter Aufbewahrungsdauer (30–90 Tage).
- Backups: Tägliche verschlüsselte Backups mit 30 Tagen Rückhalt.
- Verfügbarkeit: Mehrfach replizierte Datenbank, automatisches Failover.
- Trennungsgebot: Logische Trennung der Kundendaten über Tenant-IDs in jeder Tabelle.
- Mitarbeitende: Verpflichtung auf Vertraulichkeit, Need-to-know-Prinzip, dokumentierte Zugriffe.
- Incident Response: Definierter Prozess zur Erkennung, Eindämmung und Meldung von Sicherheitsvorfällen.
8. Kontrollrechte des Kunden
Der Kunde hat das Recht, sich von der Einhaltung dieses Vertrags zu überzeugen. Der Anbieter stellt hierfür auf Anfrage einen aktuellen TOM-Bericht zur Verfügung. Vor-Ort-Audits sind nach vorheriger schriftlicher Ankündigung von mindestens 30 Tagen einmal pro Kalenderjahr möglich.
9. Drittlandtransfer
Soweit personenbezogene Daten an Auftragsverarbeiter außerhalb des EWR übermittelt werden, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (Modul 3) sowie ergänzender Schutzmaßnahmen (Verschlüsselung, Minimierung, Zugriffskontrolle).
10. Schlussbestimmungen
Im Falle eines Widerspruchs zwischen diesem AVV und den Nutzungsbedingungen gehen die Regelungen dieses AVV in Bezug auf die Verarbeitung personenbezogener Daten vor. Es gilt das Recht der Bundesrepublik Deutschland.
Kontakt
Anfragen zu diesem AVV richten Sie bitte über das Kontaktformular oder per E-Mail an die im Impressum angegebene Adresse.