Stand: April 2026

Auftragsverarbeitungsvertrag (AVV)

Dieser AVV konkretisiert die Verarbeitung personenbezogener Daten nach Art. 28 DSGVO, wenn ein Studio Terminelo zur Verwaltung von Kunden, Terminen und Kommunikation nutzt.

1. Parteien und Rollen

Verantwortlicher ist das Studio oder Unternehmen, das Terminelo nutzt. Auftragsverarbeiter ist Webdesign VALNOVO, Valerii Novokhyzhnii, Klosterstr. 3, 71394 Kernen im Remstal, Deutschland.

Der AVV wird bei der Registrierung zusammen mit den AGB abgeschlossen. Er gilt für alle personenbezogenen Daten, die Terminelo im Auftrag des Studios verarbeitet.

2. Gegenstand, Dauer, Art und Zweck

Gegenstand ist der Betrieb einer SaaS-Anwendung für Online-Buchung, Kalender, Kundenverwaltung, Mitarbeiterverwaltung, E-Mail-Versand, Erinnerungen und optionale Zusatzfunktionen. Die Dauer entspricht der Laufzeit des Nutzungsvertrags.

Die Verarbeitung erfolgt durch Speichern, Auslesen, Strukturieren, Anzeigen, Übermitteln, Löschen und Sichern der Daten, soweit dies für den Betrieb von Terminelo erforderlich ist.

3. Kategorien personenbezogener Daten

  • Stammdaten: Name, E-Mail-Adresse, Telefonnummer.
  • Termindaten: Leistungen, Zeiten, Standort, Mitarbeiter, Status.
  • Kommunikationsdaten: E-Mail-Inhalte, Magic-Links, Erinnerungen, Stornierungs- und Umbuchungsinformationen.
  • Interne Notizen und Präferenzen, soweit das Studio diese in Terminelo einträgt.
  • Technische Daten: Logdaten, Sicherheitsereignisse, Sitzungs- und Rate-Limit-Daten.

4. Kategorien betroffener Personen

  • Kunden und Interessenten des Studios.
  • Mitarbeiter, Inhaber und Administratoren des Studios.
  • Kontaktpersonen des Studios.

5. Weisungen des Verantwortlichen

Terminelo verarbeitet Daten ausschließlich auf dokumentierte Weisung des Studios, insbesondere durch Einstellungen in der Anwendung, Supportanfragen und vertragliche Vereinbarungen. Hält Terminelo eine Weisung für rechtswidrig, wird das Studio hierauf hingewiesen.

6. Vertraulichkeit

Personen, die Zugriff auf personenbezogene Daten haben können, werden zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht. Zugriff erfolgt nur, soweit dies für Betrieb, Support, Sicherheit oder Fehlerbehebung erforderlich ist.

7. Technische und organisatorische Maßnahmen

  • TLS-verschlüsselte Übertragung.
  • EU-orientiertes Hosting und Datenbankbetrieb.
  • Datenbank-Sessions, Zugriffsschutz und rollenbasierte Rechte.
  • Mandantentrennung durch Anwendungsschicht und Postgres RLS.
  • Rate-Limits, Sicherheitsheader und Protokollierung von Zugriffen.
  • Regelmäßige Backups nach den dokumentierten Betriebsprozessen.
  • PII-Reduktion in Logs und Fehlerberichten.

8. Unterauftragsverarbeiter

Das Studio erteilt eine allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter. Terminelo informiert über wesentliche Änderungen. Das Studio kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

  • Hetzner Online GmbH: Hosting, Server-Infrastruktur (Deutschland / EU)
  • Supabase: Postgres-Datenbank und Storage (EU-Region)
  • Resend: Versand transaktionaler E-Mails (EU/USA, mit DSGVO-Vertragsgrundlagen)
  • Sentry: Fehleranalyse und Stabilitätsmonitoring (EU/USA, mit DSGVO-Vertragsgrundlagen)
  • PostHog EU: Produktanalyse nach Einwilligung (EU-Hosting)
  • Stripe: Zahlungsabwicklung, sobald Zahlungen aktiviert sind (EU/USA, mit DSGVO-Vertragsgrundlagen)
  • OpenAI: KI-Funktionen nur nach ausdrücklicher Aktivierung (USA, nur mit zusätzlicher Vertrags- und Einwilligungsgrundlage)

9. Unterstützungspflichten

Terminelo unterstützt das Studio angemessen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Sicherheitsmaßnahmen und Meldungen von Datenschutzverletzungen, soweit die Unterstützung die Verarbeitung in Terminelo betrifft.

10. Datenschutzverletzungen

Terminelo informiert das Studio unverzüglich, wenn eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Studios betrifft. Die Information enthält, soweit verfügbar, Art und Umfang des Vorfalls, betroffene Datenkategorien und bereits ergriffene Maßnahmen.

11. Löschung und Rückgabe

Nach Ende des Vertrags löscht oder exportiert Terminelo die im Auftrag verarbeiteten Daten nach Weisung des Studios, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigte Nachweisinteressen entgegenstehen.

12. Nachweise und Kontrollen

Terminelo stellt dem Studio auf Anfrage angemessene Informationen zur Einhaltung dieses AVV bereit. Prüfungen erfolgen mit angemessener Vorankündigung, während üblicher Geschäftszeiten und ohne Gefährdung der Sicherheit anderer Mandanten.