Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 15. Mai 2026

Dieser AVV ist durch Verweis Bestandteil der Geschäftlichen Nutzungsbedingungen und tritt in Kraft, wenn der Kunde die Geschäftlichen Nutzungsbedingungen akzeptiert oder den Service nach dem oben genannten Datum erstmals nutzt, je nachdem, was früher eintritt. Kunden, die eine gegenseitig unterzeichnete Ausfertigung dieses AVV auf Geschäftsbriefpapier benötigen, können diese durch Schreiben an privacy@easyweek.io anfordern. EasyWeek wird ohne inhaltliche Änderungen an dieser Vorlage gegenzeichnen.

1. Begriffsbestimmungen

Groß geschriebene, aber in dieser AVV nicht definierte Begriffe haben die Bedeutung, die ihnen in den Geschäftsbedingungen für Unternehmen oder in der DSGVO zugewiesen wird. Im Einzelnen:

• „DSGVO" — Verordnung (EU) 2016/679 sowie das österreichische Datenschutzgesetz (DSG) und, soweit anwendbar, die UK DSGVO und die schweizerische DSG, jeweils mit den erforderlichen Anpassungen gelesen.
• „Verantwortlicher", „Auftragsverarbeiter", „Betroffene Person", „Personenbezogene Daten", „Verletzung des Schutzes personenbezogener Daten", „Verarbeitung", „Unterauftragsverarbeiter", „Aufsichtsbehörde" — im Sinne von Art. 4 DSGVO.
• „Kundenpersonenbezogene Daten" — Personenbezogene Daten, die der Kunde oder seine autorisierten Nutzer in den Service eingeben oder durch die Nutzung des Service erzeugen und die von EasyWeek im Auftrag des Kunden verarbeitet werden.
• „Standardvertragsklauseln" — die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß DSGVO, angenommen durch den Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021.

2. Rollen

Der Kunde ist der Verantwortliche für die personenbezogenen Daten des Kunden. EasyWeek ist der Auftragsverarbeiter und verarbeitet personenbezogene Daten des Kunden ausschließlich auf dokumentierte Weisung des Kunden und in Übereinstimmung mit diesem AVV, den Geschäftsbedingungen für Unternehmen sowie dem anwendbaren Recht.

Die Parteien erkennen an, dass EasyWeek für begrenzte Kategorien personenbezogener Daten, die EasyWeek für eigene Zwecke verarbeitet, als Verantwortlicher fungiert — beispielsweise Anmeldedaten autorisierter Nutzer, Abrechnungsdaten und Nutzungstelemetrie des Dienstes. Diese Verarbeitung unterliegt der Datenschutzerklärung für Unternehmen, nicht diesem AVV.

3. Gegenstand, Laufzeit, Zweck

Gegenstand, Art, Zweck, Dauer, Kategorien personenbezogener Daten und Kategorien betroffener Personen sind in Anhang I beschrieben.

Die AVV gilt für die Dauer der Verarbeitung von personenbezogenen Daten des Kunden durch EasyWeek im Auftrag des Kunden und bleibt nach Beendigung der Allgemeinen Geschäftsbedingungen so lange in Kraft, wie dies zur Einhaltung von Abschnitt 13 erforderlich ist.

4. Weisungen des Kunden

Der Service selbst, die vom Kunden über die Benutzeroberfläche und die API des Service vorgenommenen Konfigurationen, die Geschäftsbedingungen sowie diese DPA stellen die vollständigen und abschließenden dokumentierten Weisungen des Kunden an EasyWeek hinsichtlich der Verarbeitung personenbezogener Daten des Kunden dar. Etwaige zusätzliche oder abweichende Weisungen bedürfen einer schriftlichen Vereinbarung und können zusätzliche Gebühren nach sich ziehen.

EasyWeek wird den Kunden unverzüglich informieren, wenn EasyWeek der Ansicht ist, dass eine Weisung gegen die DSGVO, das österreichische Datenschutzgesetz (DSG) oder eine sonstige datenschutzrechtliche Bestimmung der EU oder eines Mitgliedstaats verstößt, und kann die betreffende Weisung bis zur schriftlichen Bestätigung durch den Kunden aussetzen.

5. Vertraulichkeit

EasyWeek stellt sicher, dass die zur Verarbeitung personenbezogener Daten des Kunden befugten Mitarbeiter zur Vertraulichkeit verpflichtet sind (oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen) und an Zugriffskontrollen sowie das Prinzip der minimalen Rechtevergabe gebunden sind. Der Zugriff auf personenbezogene Daten des Kunden ist auf jene Mitarbeiter beschränkt, die diesen Zugriff für den Betrieb oder die Verbesserung des Service benötigen.

6. Sicherheit (TOMs)

EasyWeek implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie in Anhang II dargelegt. EasyWeek kann seine TOMs im Laufe der Zeit aktualisieren, solange das Schutzniveau nicht verringert wird.

7. Unterauftragsverarbeiter

Der Kunde erteilt EasyWeek hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die Liste der genehmigten Unterauftragsverarbeiter zum Zeitpunkt des Abschlusses dieses AVV ist in Anhang III aufgeführt und wird unter /business/subprocessors aktuell gehalten.

EasyWeek wird den Kunden mindestens dreißig (30) Tage im Voraus über jede beabsichtigte Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren, und zwar über das In-App-Benachrichtigungscenter sowie, sofern der Kunde dies abonniert hat, per E-Mail. Der Kunde kann innerhalb von dreißig (30) Tagen nach der Mitteilung auf der Grundlage vernünftiger, dokumentierter datenschutzrechtlicher Gründe Widerspruch erheben. Können sich die Parteien nicht auf eine Lösung einigen, kann der Kunde die Geschäftsbedingungen hinsichtlich des Teils des Dienstes kündigen, der den strittigen Unterauftragsverarbeiter erfordert, mit anteiliger Erstattung vorausbezahlter Gebühren für die verbleibende Laufzeit.

EasyWeek verpflichtet jeden Unterauftragsverarbeiter durch einen schriftlichen Vertrag zu Datenschutzpflichten, die nicht weniger schützend sind als die in diesem AVV festgelegten. EasyWeek bleibt dem Kunden gegenüber vollumfänglich für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter verantwortlich.

8. Internationale Datenübermittlungen

Personenbezogene Daten der Kunden werden vorrangig im Europäischen Wirtschaftsraum verarbeitet. Sofern personenbezogene Daten der Kunden in ein Land außerhalb des EWR übermittelt werden, für das kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, finden die Standardvertragsklauseln mit folgenden Auswahlentscheidungen Anwendung:

• Modul 2 (Verantwortlicher an Auftragsverarbeiter) wird durch Verweis einbezogen für Übermittlungen vom Kunden (oder dessen für die Verarbeitung Verantwortlichem im EWR) an EasyWeek, soweit EasyWeek personenbezogene Daten des Kunden in einem Drittland verarbeitet.
• Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) wird durch Verweis einbezogen für Weiterübermittlungen von EasyWeek an Unterauftragsverarbeiter in einem Drittland.
• Klausel 7 (Beitrittsklausel) ist enthalten.
• Klausel 9(a) — Option 2 (allgemeine schriftliche Genehmigung, 30-tägige Ankündigungsfrist) findet Anwendung.
• Klausel 11(a) — eine unabhängige Streitbeilegungsstelle ist nicht ausgewählt.
• Klausel 17 — das anzuwendende Recht ist das Recht der Bundesrepublik Deutschland.
• Klausel 18 — zuständige Gerichte sind die Gerichte in Düsseldorf, Deutschland.
• Anlage I der Standardvertragsklauseln wird durch Verweis auf Anlage I dieser Auftragsverarbeitungsvereinbarung ausgefüllt.
• Anlage II der Standardvertragsklauseln wird durch Verweis auf Anlage II dieser Auftragsverarbeitungsvereinbarung ausgefüllt.
• Anlage III der Standardvertragsklauseln wird durch Verweis auf Anlage III dieser Auftragsverarbeitungsvereinbarung ausgefüllt.

Eine Datentransfer-Folgenabschätzung, die EasyWeeks Bewertung der Rechtslage im Bestimmungsland sowie etwaige ergänzende technische, vertragliche oder organisatorische Maßnahmen zusammenfasst, ist auf Anfrage unter privacy@easyweek.io erhältlich.

Für Übermittlungen in das Vereinigte Königreich findet der UK International Data Transfer Addendum zu den Standardvertragsklauseln (herausgegeben vom ICO und in Kraft seit dem 21. März 2022) Anwendung. Für Übermittlungen in die Schweiz werden die Standardvertragsklauseln mit den vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geforderten Anpassungen ausgelegt.

9. Betroffenenanfragen

Der Service bietet Self-Service-Funktionen, die es dem Kunden ermöglichen, Betroffenenanfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu erfüllen. Nimmt eine betroffene Person direkt Kontakt zu EasyWeek auf, leitet EasyWeek die Anfrage unverzüglich an den Kunden weiter und antwortet der betroffenen Person nur mit einer Empfangsbestätigung und der Weiterleitung der Anfrage an den Kunden.

EasyWeek unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht, auf Betroffenenanfragen gemäß Art. 12 bis 22 DSGVO zu antworten.

10. Verletzung des Schutzes personenbezogener Daten

EasyWeek wird den Kunden unverzüglich und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden, nachdem EasyWeek Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die Kundendaten betrifft, benachrichtigen. Die Benachrichtigung enthält zumindest die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen, soweit diese bekannt sind: die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und betroffenen Datensätze, die voraussichtlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen.

EasyWeek ergreift angemessene Schritte, um die Verletzung einzudämmen und zu beheben, und stellt dem Kunden die Informationen zur Verfügung, die der Kunde benötigt, um seinen eigenen Benachrichtigungspflichten gegenüber seiner Aufsichtsbehörde – in Österreich der Datenschutzbehörde (DSB), https://www.dsb.gv.at/ – und den betroffenen Personen nachzukommen.

11. Datenschutz-Folgenabschätzung und vorherige Konsultation

EasyWeek unterstützt den Kunden in angemessenem Umfang bei jeder Datenschutz-Folgenabschätzung oder vorherigen Konsultation, die der Kunde gemäß Art. 35 oder 36 DSGVO durchzuführen hat, soweit diese Unterstützung vernünftigerweise erforderlich ist und die entsprechenden Informationen bei EasyWeek vorliegen.

12. Prüfung

EasyWeek stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, einschließlich:

• Aktueller Kopien der relevantesten Zertifizierungen und Prüfberichte (wie ISO 27001, sofern verfügbar, SOC-2-Typ-II-Berichte relevanter Unterauftragsverarbeiter).
• Schriftlicher Antworten auf einen angemessenen Sicherheitsfragebogen, einmal pro Zwölfmonatszeitraum, kostenlos.

Sofern die vorstehenden Informationen nicht ausreichend sind und der Kunde von seiner Aufsichtsbehörde verpflichtet wird, eine Vor-Ort-Prüfung durchzuführen, kann der Kunde auf eigene Kosten selbst oder durch einen unabhängigen Prüfer eine Prüfung durchführen (lassen), und zwar mit einer schriftlichen Ankündigungsfrist von mindestens sechzig (60) Tagen, während der Geschäftszeiten, höchstens einmal pro Zwölfmonatszeitraum (es sei denn, eine Verletzung des Schutzes personenbezogener Daten ist eingetreten), unter angemessenen Vertraulichkeitszusagen und ohne den Geschäftsbetrieb von EasyWeek oder die Sicherheit anderer Kunden zu beeinträchtigen. Der Umfang der Prüfung beschränkt sich auf die Überprüfung der Einhaltung dieser DPA durch EasyWeek.

13. Rückgabe und Löschung

Innerhalb von dreißig (30) Tagen nach Beendigung der Business-Nutzungsbedingungen kann der Kunde personenbezogene Daten des Kunden über die vom Service bereitgestellten Self-Service-Exportwerkzeuge exportieren. Nach Ablauf dieser dreißigtägigen Übergangsfrist löscht oder anonymisiert EasyWeek die personenbezogenen Daten des Kunden innerhalb einer angemessenen Frist und jedenfalls innerhalb von neunzig (90) Tagen, es sei denn, EasyWeek ist nach EU-Recht oder dem Recht eines Mitgliedstaats verpflichtet, diese ganz oder teilweise aufzubewahren (in diesem Fall unterliegen die aufbewahrten Daten weiterhin den Vertraulichkeits- und Sicherheitspflichten dieses Auftragsverarbeitungsvertrags).

Sicherungskopien, die personenbezogene Daten des Kunden enthalten, werden auf rollierender Basis innerhalb der standardmäßigen Backup-Aufbewahrungsfrist überschrieben und unterliegen bis zu deren Ablauf diesem Auftragsverarbeitungsvertrag.

14. Haftung und sonstige Bestimmungen

Die Haftung jeder Partei im Rahmen dieses AVV oder in Verbindung mit dieses AVV unterliegt den Haftungsbeschränkungen und -ausschlüssen, die in den Geschäftsbedingungen für Unternehmen festgelegt sind.

Dieser AVV ist Bestandteil der Geschäftsbedingungen für Unternehmen. Im Falle eines Widerspruchs zwischen dieses AVV und den Geschäftsbedingungen für Unternehmen in Bezug auf die Verarbeitung personenbezogener Daten des Kunden geht diese DV vor. Im Falle eines Widerspruchs zwischen dieses AVV und den Standardvertragsklauseln gehen die Standardvertragsklauseln vor.

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Die Gerichte in Düsseldorf, Deutschland, sind ausschließlich zuständig, unbeschadet des zwingenden Schutzes von betroffenen Personen nach dem Recht ihres gewöhnlichen Aufenthalts gemäß dem KSchG (Konsumentenschutzgesetz) und sonstigen zwingenden österreichischen Verbraucherschutzvorschriften.

Anhang I – Beschreibung der Verarbeitung

Gegenstand Die Verarbeitung, die erforderlich ist, um dem Kunden den EasyWeek Business Service bereitzustellen.

Dauer Für die Laufzeit der Business-Nutzungsbedingungen und jeden nach Beendigung erforderlichen Aufbewahrungszeitraum, der zur Erfüllung von Abschnitt 13 notwendig ist.

Art und Zweck der Verarbeitung Hosting, Speicherung, Abruf, Organisation, Änderung, Übermittlung, Löschung, Anonymisierung, statistische Analyse und sonstige Verarbeitungsvorgänge, die erforderlich sind, um Online-Buchung, Kundenbeziehungsmanagement, Finanzen und Rechnungsstellung, Marketing-Automatisierung, Website-Erstellung, Erinnerungen und Benachrichtigungen, Marktplatz-Listung, KI-gestützte Funktionen sowie ergänzende Funktionen bereitzustellen.

Kategorien von betroffenen Personen

• Endkunden und potenzielle Kunden des Kunden
• Mitarbeiter, Freiberufler, Auftragnehmer und sonstige autorisierte Nutzer des Kunden
• Besucher der Online-Buchungsseiten und eingebetteten Widgets des Kunden
• Absender und Empfänger von Kommunikation, die über den Service geleitet wird

Kategorien personenbezogener Daten

• Identifikationsdaten (Name, Foto, Geschlecht)
• Kontaktdaten (E-Mail, Telefon, Adresse)
• Zugangsdaten der autorisierten Nutzer des Kunden
• Buchungs- und Terminhistorie
• Notizen, Dateien, Fotos, Dokumente, die vom Kunden hochgeladen wurden
• Daten zu Treueprogrammen, Geschenkguthabensalden, Kundensegmente
• Kommunikationsinhalte (SMS, WhatsApp, E-Mail-Text, Push-Benachrichtigungstext, In-App-Chat)
• Finanzdaten (Rechnungsunterlagen, Zahlungsstatus, letzte 4 Ziffern von Zahlungskarten — vollständige Kartendaten werden direkt von Stripe verarbeitet und nicht von EasyWeek gespeichert)
• Technische Daten (IP-Adresse, Gerätekennzeichen, Browser, Sprache, Zeitstempel)
• Sofern der Kunde sie zu erfassen wählt: gesundheitsbezogene Notizen (in Beauty-, Wellness-, medizinischen oder zahnmedizinischen Kontexten). Der Kunde ist dafür verantwortlich, sicherzustellen, dass er über eine gültige Rechtsgrundlage gemäß Art. 9 DSGVO verfügt, bevor er solche Daten erfasst.

Häufigkeit der Übermittlungen Kontinuierlich.

Aufbewahrung Personenbezogene Daten des Kunden werden so lange aufbewahrt, wie der Kunde es anweist, und wie in Abschnitt 13 weiter beschrieben.

Anhang II – Technische und organisatorische Maßnahmen

EasyWeek implementiert mindestens die folgenden Maßnahmen, die von Zeit zu Zeit aktualisiert werden können, sofern das Schutzniveau dadurch nicht verringert wird:

• Pseudonymisierung und Verschlüsselung — TLS 1.3 für Daten bei der Übertragung über öffentliche Netzwerke; AES-256 für ruhende Daten (Datenbankspeicher, Objektspeicher, Backups); mandantenspezifische Verschlüsselungsschlüssel für sensible Felder, soweit anwendbar.
• Vertraulichkeit — rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Rechte (Least Privilege), Multi-Faktor-Authentifizierung für alle administrativen Zugriffe verpflichtend, automatischer Sitzungsablauf (Session-Timeout), IP-basierte Zugriffskontrollen für Produktionssysteme, schriftliche Vertraulichkeitsverpflichtungen für alle Mitarbeiterinnen und Mitarbeiter.
• Integrität — Change Management, Code-Review, automatisiertes Dependency Scanning, signierte Deployment-Artefakte, Integritätsprüfungen für Backups.
• Verfügbarkeit und Belastbarkeit — Produktionshosting in Hetzner-Rechenzentren in Deutschland mit redundanter Strom- und Netzwerkversorgung, Kubernetes-Orchestrierung mit automatischer Wiederherstellung, tägliche Backups mit zonenübergreifender Replikation, dokumentierter Disaster-Recovery-Plan mit jährlichen Übungen (Tabletop Exercises), Statusseite unter status.easyweek.io.
• Wiederherstellung — Backup-Aufbewahrungsdauer ausreichend für die Wiederherstellung des Dienstes nach einem physischen oder technischen Vorfall; vierteljährliche Wiederherstellungstests.
• Prüfung und Bewertung — jährlicher Penetrationstest der Produktionsumgebung durch Dritte, kontinuierliches statisches und dynamisches Anwendungssicherheitstesting in CI/CD, Schwachstellenmanagementprozess mit definierten Behebungs-SLAs.
• Netzwerksegmentierung — Produktions-, Staging- und Entwicklungsumgebungen sind logisch und physisch getrennt; Administratorzugriff ausschließlich über Bastion Hosts.
• Protokollierung und Überwachung — zentralisierte Audit-Logs für Authentifizierung, Autorisierung, Konfigurationsänderungen und Datenexportereignisse, mindestens ein Jahr aufbewahrt; Security Information and Event Monitoring (SIEM) mit Alarmierung bei Anomalien.
• Sichere Entwicklung — SDLC mit Bedrohungsmodellierung (Threat Modelling), Peer Review, Secret Scanning, Lizenz-Compliance und OWASP-konformen Programmierstandards.
• Lieferantenmanagement — schriftliche Verträge mit allen Unterauftragsverarbeitern, die gleichwertige Verpflichtungen auferlegen; regelmäßige Überprüfung.
• Personalsicherheit — Hintergrundprüfungen, soweit rechtlich zulässig; Schulungen zu Sicherheitsbewusstsein und Datenschutz bei Dienstantritt und jährlich danach.
• Vorfallmanagement — 24/7-Bereitschaftsdienst (On-Call Rotation); dokumentiertes Incident-Response-Playbook; Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden gemäß Abschnitt 10 sowie Art. 33 DSGVO und § 24 DSG.
• Physische Sicherheit — der physische Zugang zu Verarbeitungseinrichtungen wird vom jeweiligen Unterauftragsverarbeiter, der die Einrichtung betreibt (Hetzner, Google Cloud), unter ISO 27001 / SOC 2 zertifizierten Kontrollen geregelt.

Anhang III – Genehmigte Unterauftragsverarbeiter

Die aktuelle Liste der EasyWeek-Unterauftragsverarbeiter wird unter /business/subprocessors veröffentlicht und gepflegt. Die Liste unter dieser URL wird hiermit durch Verweis in diese AVV und Anhang III aufgenommen.