Auftragsverarbeitungsvertrag

Letzte Aktualisierung: 2026-01-19

Dieser Auftragsverarbeitungsvertrag («AVV») ist Teil der Vereinbarung zwischen Koalendar («Auftragsverarbeiter», «wir») und der Kundenorganisation, die Koalendar nutzt («Kunde», «Verantwortlicher», «Sie») und gilt, soweit Koalendar personenbezogene Daten im Auftrag des Kunden im Rahmen der Erbringung des Koalendar-Dienstes (der «Dienst») verarbeitet.

Dieser AVV ist durch Verweis in unsere Allgemeinen Geschäftsbedingungen einbezogen. Mit der Erstellung eines Kontos oder der Nutzung des Dienstes akzeptieren Sie diesen AVV.

1. Begriffsbestimmungen

Soweit hier nicht anders definiert, haben die Begriffe in diesem AVV die in der DSGVO oder unseren AGB angegebenen Bedeutungen.

• «DSGVO» bezeichnet die Verordnung (EU) 2016/679.
• «Personenbezogene Daten» bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und im Auftrag des Kunden verarbeitet werden.
• «Verarbeitung» hat die in der DSGVO angegebene Bedeutung.
• «Unterauftragsverarbeiter» bezeichnet einen von Koalendar beauftragten Dritten zur Verarbeitung personenbezogener Daten im Auftrag des Kunden.

2. Rollen und Umfang

• Der Kunde ist der Verantwortliche für die dem Dienst zur Terminplanung übermittelten oder darüber erhobenen personenbezogenen Daten (z. B. Gäste- und Buchungsdaten).
• Koalendar ist der Auftragsverarbeiter dieser personenbezogenen Daten und wird sie nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten, wie in diesem AVV und der Funktionalität des Dienstes beschrieben.

Dieser AVV gilt nicht für:

• Daten, die Koalendar als eigener Verantwortlicher verarbeitet (z. B. Kontoverwaltung, Abrechnung und Marketing, soweit zutreffend).
• Drittanbieterdienste, die der Kunde optional aktiviert (z. B. Zoom oder Kalenderanbieter). Diese Anbieter handeln als unabhängige Dritte nach ihren eigenen Bedingungen und Datenschutzrichtlinien.

3. Einzelheiten der Verarbeitung (Artikel 28(3))

Die Einzelheiten der Verarbeitung sind in Anlage 1 beschrieben (Gegenstand, Dauer, Art und Zweck der Verarbeitung, Arten personenbezogener Daten und Kategorien betroffener Personen).

4. Pflichten des Auftragsverarbeiters

Koalendar wird:

• Nach Anweisung verarbeiten. Personenbezogene Daten nur gemäß dokumentierten Anweisungen des Kunden verarbeiten, wie sie durch die Funktionalität des Dienstes umgesetzt werden, einschließlich in Bezug auf Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern nicht nach geltendem Recht erforderlich (in diesem Fall werden wir den Kunden informieren, sofern nicht untersagt).
• Vertraulichkeit. Sicherstellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer geeigneten gesetzlichen Verschwiegenheitspflicht unterliegen.
• Sicherheit. Angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementieren (siehe Anlage 1 für eine Übersicht).
• Unterauftragsverarbeiter. Unterauftragsverarbeiter nur gemäß Abschnitt 5 einsetzen.
• Den Kunden unterstützen. Dem Kunden angemessene Unterstützung bei der Beantwortung von Anfragen betroffener Personen und der Einhaltung der DSGVO-Pflichten leisten, wie in Abschnitt 7 beschrieben.
• Verletzungsmeldung. Den Kunden unverzüglich nach Kenntniserlangung einer Verletzung personenbezogener Daten, die Kundendaten betrifft, benachrichtigen, wie in Abschnitt 8 beschrieben.
• Löschung oder Zurückgabe. Personenbezogene Daten am Ende der Dienstleistungserbringung löschen oder zurückgeben, wie in Abschnitt 9 beschrieben.
• Information und Prüfungen. Angemessen notwendige Informationen zur Nachweis der Einhaltung dieses AVV bereitstellen und Prüfungen gemäß Abschnitt 10 ermöglichen.

5. Unterauftragsverarbeiter

5.1 Beauftragte Unterauftragsverarbeiter

Der Kunde bevollmächtigt Koalendar, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden zu beauftragen. Eine Liste der aktuellen Unterauftragsverarbeiter ist in Anlage 2 enthalten.

5.2 Pflichten der Unterauftragsverarbeiter

Koalendar wird:

• Den Unterauftragsverarbeitern datenschutzrechtliche Bedingungen auferlegen, die mindestens so schützend sind wie die in diesem AVV, einschließlich angemessener Vertraulichkeits- und Sicherheitspflichten.
• Für die Erfüllung der Pflichten der Unterauftragsverarbeiter in dem von geltendem Recht geforderten Umfang verantwortlich bleiben.

5.3 Änderungen bei Unterauftragsverarbeitern

Koalendar kann Unterauftragsverarbeiter von Zeit zu Zeit aktualisieren. Bei Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters aktualisieren wir Anlage 2. Hat der Kunde einen sachlich begründeten Einwand in Bezug auf den Datenschutz, kann er uns dies unverzüglich mitteilen; können die Parteien das Problem nicht lösen, kann der Kunde die betroffene Teilleistung des Dienstes nicht mehr nutzen oder gemäß den AGB kündigen.

6. Internationale Datenübermittlungen

Der Kunde erkennt an, dass einige Unterauftragsverarbeiter personenbezogene Daten außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz verarbeiten können.

Soweit die DSGVO für solche Übermittlungen einen Übermittlungsmechanismus verlangt, vereinbaren die Parteien:

• Koalendar wird sicherstellen, dass ein geeigneter Übermittlungsmechanismus Anwendung findet (z. B. die EU-Standardvertragsklauseln (Modul Zwei, Verantwortlicher zu Auftragsverarbeiter) und ggf. das UK Addendum).
• Bei Bedarf wird Koalendar angemessene ergänzende Maßnahmen entsprechend dem Übermittlungsrisiko implementieren.

7. Unterstützung bei Betroffenenanfragen und DSGVO-Pflichten

Unter Berücksichtigung der Art der Verarbeitung und der Koalendar verfügbaren Informationen werden wir den Kunden angemessen unterstützen bei:

• Der Beantwortung von Anfragen betroffener Personen (Zugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch).
• Sicherheit, Verletzungsmeldung und Datenschutz-Folgenabschätzungen, soweit zutreffend.

Der Kunde bleibt für die Beantwortung von Anfragen betroffener Personen verantwortlich. Anfragen sind an support@koalendar.com zu richten mit ausreichenden Angaben zur Identifizierung des relevanten Kontos und der Buchungsseite.

8. Verletzung personenbezogener Daten

Koalendar wird den Kunden unverzüglich nach Kenntniserlangung einer Verletzung personenbezogener Daten, die Kundendaten betrifft, benachrichtigen und soweit verfügbar Angaben machen über:

• Die Art der Verletzung
• Wahrscheinliche Folgen
• Getroffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung

9. Aufbewahrung, Löschung und Zurückgabe von Daten

Der Kunde kann Daten über den Dienst löschen (soweit verfügbar) oder durch Löschungsanfrage an support@koalendar.com.

Bei Beendigung oder Ablauf des Dienstes wird Koalendar die personenbezogenen Daten des Kunden gemäß den Standardpraktiken des Dienstes zur Aufbewahrung und Löschung löschen oder zurückgeben, sofern geltendes Recht nicht die Speicherung der personenbezogenen Daten vorschreibt.

10. Prüfungen und Compliance-Informationen

Koalendar wird angemessen notwendige Informationen zur Nachweis der Einhaltung dieses AVV bereitstellen. Erfordert der Kunde eine Prüfung, muss er ein angemessenes Voraushinweis geben; die Prüfung muss:

• Sich auf für die personenbezogenen Daten des Kunden relevante Informationen beschränken
• Die Geschäftsabläufe von Koalendar nicht unzumutbar beeinträchtigen
• Angemessenen Vertraulichkeitspflichten unterliegen

Soweit möglich kann Koalendar Prüfungsanfragen durch die Bereitstellung von Zertifizierungen, Prüfberichten oder Zusammenfassungen Dritter erfüllen.

11. Sonstiges

• Rangfolge. Bei Widerspruch zwischen diesem AVV und den AGB hinsichtlich der Verarbeitung personenbezogener Daten hat dieser AVV Vorrang.
• Haftung. Die Haftungsbestimmungen in den AGB gelten für diesen AVV in dem gesetzlich zulässigen Umfang.

Anlage 1: Einzelheiten der Verarbeitung

A. Gegenstand

Erbringung des Dienstes, einschließlich Terminplanungsabläufe und Kommunikation.

B. Dauer

Die Dauer der Nutzung des Dienstes durch den Kunden zuzüglich etwaiger begrenzter Aufbewahrungsfristen für Sicherheit, Backups, Streitbeilegung oder rechtliche Compliance.

C. Art und Zweck der Verarbeitung

• Buchungsseiten und Termine erstellen und verwalten
• Buchungsbezogene Benachrichtigungen senden (E-Mail und SMS, soweit konfiguriert)
• Kundensupport bereitstellen
• Missbrauch und Betrug verhindern
• Service-Analysen bereitstellen und Leistung verbessern

D. Kategorien betroffener Personen

• Endnutzer des Kunden (Gäste und andere Teilnehmer)
• Nutzer und Administratoren des Kunden

E. Arten personenbezogener Daten

Abhängig von der Konfiguration des Kunden und der Nutzung des Dienstes:

• Identitäts- und Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
• Buchungs- und Planungsmetadaten (Terminzeit, Dauer, Ereignisname, Antworten auf Buchungsformularfragen)
• Technische Daten (IP-Adresse, Geräte- und Browser-Metadaten, Logs)
• Integrationsmetadaten (z. B. Kalenderereignis-IDs und Videokonferenzlinks, falls aktiviert)

Der Kunde sollte besondere Kategorien personenbezogener Daten (wie in DSGVO Artikel 9 definiert) nur einreichen, wenn unbedingt erforderlich und auf eigene Verantwortung durch den Kunden konfiguriert.

F. Sicherheitsmaßnahmen (Zusammenfassung)

Koalendar unterhält ein Sicherheitsprogramm zum Schutz personenbezogener Daten, das unter anderem folgende Maßnahmen umfasst:

• Verschlüsselung bei der Übertragung (TLS) und Zugriffskontrollen für Produktionssysteme
• Rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung für privilegierten Zugriff
• Protokollierung und Überwachung
• Sichere Entwicklungs- und Änderungsmanagementpraktiken

Sicherheitsmaßnahmen können von Zeit zu Zeit gemäß Branchenstandards aktualisiert werden.

Anlage 2: Unterauftragsverarbeiter

Koalendar kann die folgenden Unterauftragsverarbeiter zur Erbringung des Dienstes einsetzen. Die genannten Verarbeitungsstandorte sind typisch; einige Anbieter können Daten je nach Konfiguration und betrieblichen Erfordernissen in weiteren Regionen verarbeiten.