Auftragsverarbeitungsvertrag
Letzte Aktualisierung: Mai 2026
Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil des Vertrags zwischen Ihnen ("Verantwortlicher", "Studio") und Belle ("Auftragsverarbeiter") zur Nutzung der Belle-Plattform gemaess Artikel 28 der DSGVO.
1. Gegenstand der Verarbeitung
Gegenstand: Bereitstellung von Diensten zur Terminverwaltung, Kundenkommunikation und Online-Buchung.
Dauer: Fuer die Laufzeit des Studio-Abonnements zuzueglich der 30-taegigen Loeschfrist.
Art und Zweck: Speicherung, Abruf und Verarbeitung personenbezogener Daten zum Zweck der Terminbuchung, automatisierter Benachrichtigungen und der Studioverwaltung.
Kategorien betroffener Personen: Kunden des Studios (Personen, die Termine buchen), Mitarbeiter des Studios.
Arten personenbezogener Daten: Name, Telefonnummer, E-Mail-Adresse, Terminhistorie, Geburtsdatum (optional).
2. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3)
2.1 Dokumentierte Weisungen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich auf Grundlage dokumentierter Weisungen des Verantwortlichen, einschliesslich in Bezug auf Uebermittlungen in Drittlaender, es sei denn, er ist gesetzlich dazu verpflichtet.
2.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
2.3 Sicherheitsmassnahmen (Art. 32)
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Massnahmen, darunter:
- Passwort-Hashing mit Argon2id (64 MB Speicherkosten)
- TLS 1.3 fuer alle Daten waehrend der Uebertragung
- Sicherheit auf Zeilenebene (Row-Level Security), die die Daten jedes Studios auf Datenbankebene isoliert
- JWT-Authentifizierung mit kurzlebigen Token und rotierenden Aktualisierungstoken
- Strikte Content Security Policy und Ratenbegrenzung
- Audit-Protokollierung aller Datenaenderungen
2.4 Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung fuer den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen ueber jede beabsichtigte Aenderung und gibt ihm die Moeglichkeit, Einspruch zu erheben. Aktuelle Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Zweck | Standort | Garantien |
|---|---|---|---|
| Railway | Hosting, PostgreSQL, Redis | EU | Datenspeicherung in der EU |
| Cloudflare | CDN, DNS, R2-Objektspeicher | Global | Standardvertragsklauseln |
| Resend | Transaktionaler E-Mail-Versand | USA | Standardvertragsklauseln |
| Twilio | SMS- und WhatsApp-Versand | USA | Standardvertragsklauseln |
Jeder Unterauftragsverarbeiter ist durch Datenschutzpflichten gebunden, die denen dieses AVV gleichwertig sind.
2.5 Rechte der Betroffenen
Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Beantwortung von Antraegen betroffener Personen (Auskunft, Berichtigung, Loeschung, Datenuebertragbarkeit, Einschraenkung, Widerspruch) durch Bereitstellung von:
- Kundendatenexport (JSON-Format) ueber das Dashboard
- Anonymisierung von Kundendaten (wenn Loeschung beantragt wird, aber Aufzeichnungen aufbewahrt werden muessen)
- Vollstaendigem Studiodatenexport fuer Inhaber
2.6 Unterstuetzung bei Sicherheit und Verletzung des Schutzes personenbezogener Daten
Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Erfuellung der Pflichten gemaess den Artikeln 32 bis 36, einschliesslich der Meldung von Datenschutzverletzungen. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzueglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.
2.7 Loeschung und Rueckgabe
Nach Beendigung der Dienstleistung loescht der Auftragsverarbeiter saemtliche personenbezogene Daten innerhalb von 30 Tagen (Loeschfrist), sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann saemtliche Daten exportieren, bevor die Loeschung eingeleitet wird.
2.8 Kontrolle
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung des Artikels 28 zur Verfuegung und ermoeglicht Ueberpruefungen durch den Verantwortlichen oder einen von diesem beauftragten Pruefer. Der Auftragsverarbeiter informiert den Verantwortlichen unverzueglich, wenn eine Weisung gegen die DSGVO verstoesst.
3. Pflichten des Verantwortlichen
- Sicherstellen, dass fuer jede Verarbeitung eine gueltige Rechtsgrundlage vorliegt
- Erforderliche Einwilligungen der betroffenen Personen einholen, sofern notwendig
- Verarbeitungsweisungen erteilen, die mit der DSGVO vereinbar sind
- Den Auftragsverarbeiter ueber etwaige Anforderungen an eine Datenschutz-Folgenabschaetzung informieren
4. Anwendbares Recht
Dieser AVV unterliegt dem portugiesischen Recht und der DSGVO. Die zustaendige Aufsichtsbehoerde ist die CNPD (Comissao Nacional de Protecao de Dados). Sofern Ihr Studio in Deutschland ansaessig ist, koennen Sie sich auch an die zustaendige Datenschutzbehoerde Ihres Bundeslandes wenden.