Wir nutzen optionale cookielose Analyse, um den Checkout zu verbessern. Details findest du in unserer Datenschutzerklärung.

Zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: März 2026

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch

Deniz Yilmaz Babig
(Einzelunternehmer / Geschäftsbezeichnung: „Sitence“)
Lipschitzallee 40, 12353 Berlin, Deutschland
E-Mail: contact@denizbabig.de

– nachfolgend „Auftragsverarbeiter“ –

im Auftrag des Kunden (nachfolgend „Verantwortlicher“) im Rahmen der Nutzung der Sitence-Plattform.

(2) Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (vgl. § 12 AGB) und gilt für die gesamte Dauer des Hauptvertrags einschließlich einer etwaigen Nachlaufzeit für Rückgabe oder Löschung der Daten.

(3) Bei Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen hat dieser AVV Vorrang, soweit die Verarbeitung personenbezogener Daten im Auftrag betroffen ist.

(4) Verarbeitungsbeschreibung: Gegenstand der Verarbeitung ist die Bereitstellung, der Betrieb und die Wartung der Sitence-Plattform für den Verantwortlichen, einschließlich Hosting, Datenhaltung, Authentifizierung, E-Mail-Dispatch sowie Support und Fehleranalyse. Dauer: für die Laufzeit des Hauptvertrags zzgl. Karenz- und Backup-Rotationsfristen gemäß § 13 dieses AVV. Häufigkeit/Umfang: laufend und ereignisbasiert entsprechend der Nutzung durch den Verantwortlichen und dessen Endkunden.

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen zum Zweck der Bereitstellung der folgenden Plattformfunktionen:

  • Newsletter-Verwaltung und -Versand (Speicherung von Abonnentendaten, Versand über E-Mail-Dienstleister)
  • Treuekarten-/Loyalty-Programm (Mitgliederverwaltung, Stempel- und Einlösungsverfolgung)
  • Reservierungsannahme und -verwaltung (Speicherung und Bearbeitung von Buchungsanfragen)
  • Kontakt-/Anfrageformular und Inbox (Speicherung und Verwaltung eingehender Anfragen, z. B. Catering, Events, allgemeine Kontaktaufnahme)
  • Coupon-Einlösungen (Erfassung von Einlösungsdaten, soweit personenbezogene Daten anfallen)

(2) Die Art der Verarbeitung umfasst insbesondere: Erhebung, Erfassung, Speicherung, Anpassung, Abfrage, Verwendung, Übermittlung (an Unterauftragsverarbeiter gemäß § 9), Löschung und Vernichtung personenbezogener Daten.

§ 3 Art der personenbezogenen Daten, Kategorien betroffener Personen

(1) Art der personenbezogenen Daten:

  • Kontaktdaten (E-Mail-Adresse, Name, ggf. Telefonnummer)
  • Kommunikationsinhalte (Nachrichten, Anfragen, Betreffzeilen)
  • Buchungs-/Reservierungsdaten (Datum, Uhrzeit, Personenzahl, Anlass, ggf. Lieferadresse)
  • Newsletter-Daten (Anmeldezeitpunkt, Abmeldezeitpunkt, Versandstatus)
  • Treuekarten-Daten (Mitgliedsname, Stempelstand, Einlösungshistorie)
  • Coupon-Einlösungsdaten (E-Mail des Einlösenden, Einlösungszeitpunkt, ggf. Referenz)
  • Technische Metadaten (Zeitstempel, Quelle der Anmeldung, Geräte-/Browserinformationen soweit technisch übermittelt)

(2) Kategorien betroffener Personen:

  • Gäste, Kunden und Interessenten des Verantwortlichen (Endkunden)
  • Newsletter-Abonnenten
  • Treuekarten-Mitglieder
  • Personen, die Reservierungen, Anfragen oder Kontaktformulare nutzen

(3) Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO sind nicht Gegenstand der Verarbeitung und sind vom Verantwortlichen nicht über die Plattform zu verarbeiten. Der Verantwortliche stellt sicher, dass keine besonderen Kategorien personenbezogener Daten über die Plattform erfasst werden. Erfasst der Verantwortliche entgegen dieser Regelung besondere Kategorien personenbezogener Daten, informiert er den Auftragsverarbeiter unverzüglich. Der Auftragsverarbeiter ist berechtigt, solche Daten soweit technisch möglich zu sperren oder zu löschen, soweit dies zur Risikominimierung erforderlich ist, und unterstützt den Verantwortlichen unverzüglich in Abstimmung bei geeigneten Maßnahmen. Diese Maßnahmen gelten als vorab dokumentierte Weisung des Verantwortlichen für den Fall einer vertragswidrigen Eingabe besonderer Kategorien. Soweit eine Sicherung oder Einschränkung statt Löschung zur Erfüllung gesetzlicher Pflichten oder zur Beweissicherung erforderlich ist, kann der Auftragsverarbeiter die Verarbeitung auf eine reine Speicherung mit Zugriffsbeschränkung reduzieren, bis der Verantwortliche eine weitere Weisung erteilt.

§ 4 Pflichten und Rechte des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er stellt insbesondere sicher, dass:

  • die Erhebung und Verarbeitung personenbezogener Daten auf einer gültigen Rechtsgrundlage beruht (z. B. Einwilligung, Vertragsanbahnung, berechtigtes Interesse),
  • betroffene Personen gemäß Art. 13/14 DSGVO informiert werden,
  • Einwilligungen (insb. für Newsletter) ordnungsgemäß eingeholt und dokumentiert sind,
  • Abmeldungen und Widerrufe ordnungsgemäß umgesetzt werden.

(2) Der Verantwortliche erteilt dem Auftragsverarbeiter alle erforderlichen Weisungen in Textform. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

§ 5 Weisungen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland.

(2) Die in diesem AVV und den AGB enthaltenen Regelungen gelten als initiale Weisungen. Darüber hinausgehende Weisungen sind in Textform an contact@denizbabig.de zu richten.

(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Verantwortlichen unverzüglich. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung bis zur Klärung auszusetzen.

§ 6 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet; in diesem Fall teilt er dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

(2) Der Auftragsverarbeiter nutzt die personenbezogenen Daten nicht für eigene Zwecke und gibt sie nicht ohne Weisung an Dritte weiter.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung, vorherige Konsultation), soweit dies unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen möglich und zumutbar ist.

(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er feststellt, dass er Weisungen des Verantwortlichen ganz oder teilweise nicht befolgen kann.

§ 7 Vertraulichkeit

(1) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(2) Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags fort.

§ 8 Technische und organisatorische Maßnahmen (TOMs)

(1) Die technischen und organisatorischen Maßnahmen ergeben sich aus Anlage 1 (TOMs) zu diesem AVV. Der Auftragsverarbeiter gewährleistet mindestens ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO; das Schutzniveau wird nicht unterschritten.

(2) Der Auftragsverarbeiter überprüft die Wirksamkeit der Maßnahmen regelmäßig und passt sie bei Bedarf dem Stand der Technik an. Das Schutzniveau darf dabei nicht unterschritten werden. Wesentliche Änderungen der TOMs teilt der Auftragsverarbeiter dem Verantwortlichen in Textform mit. Wesentlich sind Änderungen, die Vertraulichkeit, Integrität oder Verfügbarkeit der Verarbeitung in relevanter Weise beeinflussen oder die eingesetzten Schutzkategorien ersetzen.

(3) Auf Anfrage stellt der Auftragsverarbeiter dem Verantwortlichen eine aktuelle Beschreibung der technischen und organisatorischen Maßnahmen in Textform zur Verfügung, einschließlich der jeweils aktuellen Unterauftragsverarbeiter-TOMs, soweit verfügbar.

§ 9 Unterauftragsverarbeitung

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zum Einsatz der nachfolgend genannten Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO):

Anbieter / EntityZweckOrt der VerarbeitungDrittlandtransfer
Supabase Inc. (USA)Datenbank, Authentifizierung, DatenspeicherungPrimär Frankfurt (EU); gem. RegionseinstellungMöglich (Support/Admin); vgl. § 9 Abs. 6
Brevo SAS (Frankreich)Newsletter-Versand, E-Mail-DispatchEUNach aktuellem Stand nicht vorgesehen; Drittlandzugriffe können im Ausnahmefall (z. B. Support) durch Unterauftragskette nicht vollständig ausgeschlossen werden; vgl. § 9 Abs. 6
Vercel Inc. (USA)Hosting, Website-Runtime, Serverless FunctionsPrimär Frankfurt (EU); gem. RegionseinstellungMöglich (Edge/Support); vgl. § 9 Abs. 6
Cloudflare Inc. (USA)CDN, DNS, DDoS-SchutzGlobal (Edge-Netzwerk)Ja (EU-Standardvertragsklauseln); vgl. § 9 Abs. 6

(2) Der Auftragsverarbeiter informiert den Verantwortlichen vor der beabsichtigten Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters in Textform (z. B. per E-Mail) und räumt dem Verantwortlichen die Möglichkeit ein, innerhalb von vier (4) Wochen nach Zugang der Mitteilung Einspruch zu erheben. Der Auftragsverarbeiter setzt einen neuen oder ersetzten Unterauftragsverarbeiter nicht vor Ablauf der Einspruchsfrist ein, es sei denn, der Einsatz ist aus zwingenden Sicherheits- oder Betriebsgründen erforderlich; in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich und ermöglicht einen Einspruch innerhalb einer angemessen verkürzten Frist (mindestens jedoch 5 Werktage, sofern nicht eine unmittelbare Sicherheitsgefährdung dies unmöglich macht).

(3) Erhebt der Verantwortliche innerhalb der Frist Einspruch aus datenschutzrechtlichen Gründen, werden die Parteien eine einvernehmliche Lösung anstreben. Kann keine Einigung erzielt werden, steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

(4) Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber für die Einhaltung der Pflichten durch den Unterauftragsverarbeiter.

(5) Unterauftragsverarbeiter dürfen weitere Unterauftragsverarbeiter (Sub-Subprozessoren) nur unter Einhaltung der Anforderungen der Art. 28 Abs. 2 und Abs. 4 DSGVO einsetzen. Der Auftragsverarbeiter stellt sicher, dass die in diesem AVV festgelegten Datenschutzpflichten entlang der gesamten Unterauftragskette vertraglich auferlegt werden. Soweit der Auftragsverarbeiter über Änderungen in der Unterauftragskette Kenntnis erlangt, informiert er den Verantwortlichen hierüber im Rahmen des Absatzes 2. Der Auftragsverarbeiter wird im Rahmen des Zumutbaren die von Unterauftragsverarbeitern bereitgestellten Subprozessor-Informationen (z. B. Subprocessor-Listen und Änderungsmitteilungen) überwachen, um Änderungen in der Unterauftragskette zeitnah zu erkennen.

(6) Soweit im Rahmen der Leistungserbringung eine Übermittlung personenbezogener Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgt oder nicht ausgeschlossen werden kann (z. B. durch Support-, Wartungs- oder Administrationszugriffe), stellt der Auftragsverarbeiter sicher, dass die Anforderungen der Art. 44 ff. DSGVO eingehalten werden. Hierzu werden – sofern kein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) vorliegt – insbesondere die EU-Standardvertragsklauseln („SCC“) gemäß Durchführungsbeschluss (EU) 2021/914 in dem jeweils einschlägigen Modul entsprechend der Rollenverteilung (insb. Modul 3 für Verarbeiter → Unterauftragsverarbeiter; Modul 2, soweit ausnahmsweise ein direkter Transfer im Verhältnis Verantwortlicher → Auftragsverarbeiter betroffen ist und die Parteien dies vereinbaren) – abgeschlossen und, soweit erforderlich, eine Transfer-Risikobewertung (Transfer Impact Assessment, TIA) durchgeführt sowie ergänzende technische und organisatorische Maßnahmen implementiert. Ergibt die Risikobewertung, dass ein im Wesentlichen gleichwertiges Schutzniveau nicht gewährleistet werden kann, setzt der Auftragsverarbeiter den betreffenden Transfer aus oder unterbindet ihn. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage eine Kurzfassung der durchgeführten TIA sowie die Kategorien der eingesetzten Zusatzmaßnahmen in Textform zur Verfügung (ohne sicherheitskritische Implementierungsdetails offenzulegen). Der jeweils einschlägige SCC-Text wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt; zulässig sind Schwärzungen ausschließlich von nicht datenschutzrelevanten Geschäftsgeheimnissen (z. B. Preisbestandteile), soweit dadurch der Sinngehalt der SCCs nicht beeinträchtigt wird.

§ 10 Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Anfragen betroffener Personen gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter, sofern die Zuordnung möglich ist.

§ 11 Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, in der Regel innerhalb von 48 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung enthält mindestens folgende Informationen, soweit zum Zeitpunkt der Meldung verfügbar:

  • Beschreibung der Art der Verletzung, einschließlich der Kategorien und ungefähren Anzahl betroffener Personen und Datensätze,
  • Name und Kontaktdaten des Ansprechpartners beim Auftragsverarbeiter,
  • Beschreibung der wahrscheinlichen Folgen der Verletzung,
  • Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen zur Behebung und Abmilderung.

(3) Sind nicht alle Informationen gleichzeitig verfügbar, stellt der Auftragsverarbeiter sie ohne unangemessene weitere Verzögerung schrittweise bereit (Art. 33 Abs. 4 DSGVO analog).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und der betroffenen Personen (Art. 34 DSGVO).

§ 12 Datenschutz-Folgenabschätzung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO), soweit dies unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen möglich und zumutbar ist.

§ 13 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, oder gibt sie nach Wahl des Verantwortlichen in einem gängigen, maschinenlesbaren Format zurück (Art. 28 Abs. 3 lit. g DSGVO). Die Rückgabe erfolgt durch Bereitstellung eines Exports über einen Download-Link oder durch Übermittlung auf einem üblichen elektronischen Weg. Der Export wird über einen angemessen gesicherten, zeitlich befristeten Zugriff bereitgestellt. Der Auftragsverarbeiter stellt den Export innerhalb von 14 Kalendertagen nach Zugang der Weisung zur Rückgabe bereit. Der Verantwortliche teilt dem Auftragsverarbeiter seine Wahl (Rückgabe oder Löschung) spätestens bis zum Ende der in § 11 AGB geregelten Karenzzeit (15 Kalendertage nach Vertragsende) mit. Erfolgt keine Mitteilung innerhalb der Karenzzeit, gilt dies als dokumentierte Weisung, die Daten zu löschen. Die Löschung erfolgt ohne unangemessene Verzögerung nach Ablauf der Karenzzeit.

(2) Bestehende Aufbewahrungspflichten nach Unions- oder Mitgliedstaatenrecht (insb. steuerrechtliche Pflichten gem. § 147 AO) bleiben unberührt. In diesem Fall schränkt der Auftragsverarbeiter die Verarbeitung auf das für die Erfüllung der Aufbewahrungspflicht erforderliche Maß ein und löscht die Daten unverzüglich nach Wegfall der Aufbewahrungspflicht.

(3) Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage in Textform.

(4) Soweit personenbezogene Daten in Sicherungskopien (Backups) enthalten sind, werden diese im Rahmen der regulären Backup-Rotationszyklen gelöscht, spätestens jedoch innerhalb von 90 Kalendertagen nach Löschung der produktiven Daten, soweit dies im Einflussbereich des Auftragsverarbeiters und der eingesetzten Anbieter technisch umsetzbar ist. Ist eine Einzellöschung aus technischen Gründen nicht möglich, werden die betreffenden Daten bis zur nächstmöglichen Backup-Rotation durch geeignete Maßnahmen (insbesondere Zugriffsbeschränkung) geschützt. Während dieser Zeit unterliegen die Daten weiterhin den Pflichten dieses AVV und werden nicht aktiv verarbeitet.

§ 14 Nachweise und Kontrollen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen bei (Art. 28 Abs. 3 lit. h DSGVO).

(2) Fernprüfung (Remote-Audit): Der Verantwortliche kann den Auftragsverarbeiter zur Beantwortung eines strukturierten Fragebogens oder zur Vorlage aktueller Nachweise (z. B. Zertifikate, TOMs-Beschreibung, Berichte unabhängiger Prüfer) auffordern. Der Auftragsverarbeiter beantwortet diese Anfragen innerhalb angemessener Frist. Fernprüfungen können einmal jährlich oder aus begründetem Anlass durchgeführt werden. Ein begründeter Anlass liegt insbesondere bei Datenschutzvorfällen, konkreten Hinweisen auf Verstöße gegen diesen AVV oder bei Anfragen einer Aufsichtsbehörde vor.

(3) Vor-Ort-Prüfung: Ein Vor-Ort-Audit durch den Verantwortlichen oder einen von ihm beauftragten, zur Vertraulichkeit verpflichteten Prüfer findet nur statt, wenn eine Fernprüfung nach Absatz 2 nicht ausreicht, um die Einhaltung der Pflichten zu überprüfen, oder wenn ein begründeter Verdacht auf eine Verletzung dieses AVV besteht. Die Vor-Ort-Prüfung ist mit einer angemessenen Vorankündigung von mindestens vier (4) Wochen durchzuführen und darf den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen. Bei behördlich gesetzten Fristen oder einem laufenden Sicherheitsvorfall kann die Vorankündigung angemessen verkürzt werden.

(4) Die Kosten einer Prüfung trägt grundsätzlich der Verantwortliche, es sei denn, die Prüfung ergibt einen wesentlichen Verstoß des Auftragsverarbeiters gegen diesen AVV. Dies gilt nicht für Maßnahmen, zu denen der Auftragsverarbeiter aufgrund gesetzlicher Pflichten oder behördlicher Anordnungen verpflichtet ist; solche Maßnahmen trägt der Auftragsverarbeiter im eigenen Verantwortungsbereich. Die Kostenregelung darf die gesetzlichen Kontrollrechte des Verantwortlichen nicht faktisch vereiteln.

(5) Unberührt bleibt das Recht zuständiger Aufsichtsbehörden, im Rahmen ihrer gesetzlichen Befugnisse Prüfungen durchzuführen; der Auftragsverarbeiter wird hierbei mitwirken.

§ 15 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem Zweck der unwirksamen Bestimmung möglichst nahekommt.

(2) Ergänzungen und Änderungen dieses AVV bedürfen der Textform.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

(4) Dieser AVV tritt mit der Annahme durch den Verantwortlichen (z. B. per Checkbox im CMS oder ausdrücklicher Bestätigung in Textform) in Kraft.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Stand: Februar 2026 · Version 1.0

Die nachfolgenden Maßnahmen beschreiben das zum Zeitpunkt des Vertragsschlusses bestehende Sicherheitsniveau. Der Auftragsverarbeiter passt die Maßnahmen dem Stand der Technik an; das Schutzniveau wird dabei nicht unterschritten (§ 8 Abs. 2 AVV).

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

  • Kein physischer Serverbetrieb durch den Auftragsverarbeiter; Infrastruktur vollständig bei Unterauftragsverarbeitern (vgl. § 9 AVV).
  • Die Unterauftragsverarbeiter betreiben Rechenzentren mit anerkannten Sicherheitsstandards und branchüblichen physischen Zugangskontrollen (z. B. Zutrittsbeschränkungen, Überwachung, 24/7-Sicherheitsdienst). Soweit Zertifizierungen (z. B. ISO 27001, SOC 2) für eingesetzte Dienste oder Standorte vorliegen, können entsprechende Nachweise im Rahmen von § 14 AVV bereitgestellt werden.

1.2 Zugangskontrolle

  • Authentifizierung über Zugangslink oder Passwort mit E-Mail-Verifikation.
  • Mehrfaktor-Authentifizierung (MFA), soweit vom System unterstützt und vom Verantwortlichen aktiviert.
  • Automatisches Session-Timeout und Token-Rotation, soweit vom jeweiligen Authentifizierungsverfahren unterstützt.
  • Administrative Zugänge nur über gesicherte Verbindungen mit MFA.

1.3 Zugriffskontrolle

  • Rollenbasiertes Berechtigungsmodell (RBAC): Owner › Manager › Editor › Viewer.
  • Mandantengetrennte Datenhaltung (Row-Level Security/RLS) auf Datenbankebene; jeder Mandant sieht ausschließlich seine eigenen Daten.
  • Principle of Least Privilege für alle Systemkomponenten und Dienstkonten.
  • Regelmäßige Überprüfung und Entzug nicht mehr benötigter Zugriffsrechte.

1.4 Trennungskontrolle

  • Logische Mandantentrennung (Tenant-Isolation) über tenant_id + Row-Level Security auf jeder relevanten Tabelle.
  • Separate Umgebungen für Entwicklung, Staging und Produktion.
  • Zweckgebundene Verarbeitung: Daten werden nur für den jeweiligen Plattformzweck verarbeitet (Newsletter, Loyalty, Reservierungen, Inbox, Coupons).

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

  • Verschlüsselung der Datenübertragung über aktuelle TLS-Standards (mindestens TLS 1.2, soweit von Client/Server unterstützt).
  • Verschlüsselung ruhender Daten (Encryption at Rest) gemäß den Sicherheitsfunktionen der eingesetzten Anbieter (z. B. AES-256 oder vergleichbar).
  • E-Mail-Versand über eingesetzte E-Mail-Dienstleister nach dem Stand der Technik; für den Transport wird – soweit vom jeweiligen empfangenden Mailserver unterstützt – TLS verwendet (opportunistische Transportverschlüsselung). Eine Ende-zu-Ende-Verschlüsselung des E-Mail-Inhalts ist nicht geschuldet.

2.2 Eingabekontrolle

  • Protokollierung sicherheitsrelevanter Vorgänge (Audit-Log): Anmeldungen, Rollenänderungen, Datenmutationen, Statuswechsel.
  • Audit-Log-Einträge sind mandantengebunden und werden gegen unbefugte Veränderung geschützt (z. B. restriktive Adminrechte, Protokollierung administrativer Zugriffe, technische Schutzmechanismen des eingesetzten Logging-Systems).
  • Eingabevalidierung (Input Sanitization) auf Anwendungsebene gegen Injection-Angriffe.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b/c DSGVO)

  • Primärhosting in der EU (Rechenzentrum Frankfurt); Regionseinstellungen gemäß Anbieter-Optionen. Auf Anfrage kann der Auftragsverarbeiter im Rahmen von § 14 AVV geeignete Nachweise zu Regionseinstellungen und Konfigurationen bereitstellen (z. B. Konfigurationsauszüge/Screenshots).
  • Redundante Infrastruktur der Unterauftragsverarbeiter (Multi-AZ, automatisches Failover).
  • Regelmäßige automatisierte Backups durch den Datenbankbetreiber; Backup-Rotation gemäß § 13 Abs. 4 AVV.
  • DDoS-Schutz über CDN/Edge-Netzwerk (Cloudflare).
  • Verfügbarkeitszielwert der Plattform: 99,5 % im Jahresmittel (Zielwert, kein SLA; keine pauschalen Gutschriften oder Entschädigungen, sofern nicht ausdrücklich vereinbart; vgl. § 6 AGB).

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Sicherheitsupdates und Patchmanagement für alle Systemkomponenten.
  • Secure Software Development Lifecycle (Secure SDLC): Code Reviews, Dependency Scanning, automatisierte Tests.
  • Regelmäßige Überprüfung der Anbieter-Zertifizierungen und DPAs der Unterauftragsverarbeiter.
  • Dokumentierter Incident-Response-Prozess (vgl. § 11 AVV): Erkennung, Eskalation, Benachrichtigung, Nachbereitung.
  • Auswertung von Audit-Logs bei Verdachtsmomenten.

5. Auftragskontrolle

  • Verarbeitung ausschließlich nach dokumentierter Weisung (§§ 5, 6 AVV).
  • Sorgfältige Auswahl der Unterauftragsverarbeiter nach Datenschutz- und Sicherheitskriterien (§ 9 AVV).
  • Vertragliche Verpflichtung aller Unterauftragsverarbeiter auf gleichwertige Datenschutzpflichten (Art. 28 Abs. 4 DSGVO).
  • Verpflichtung aller mit der Datenverarbeitung befassten Personen zur Vertraulichkeit gemäß § 7 AVV.