Zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Gem. Art. 28 DSGVO

1. Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

Auftragsverarbeiter: BlackSwanAI, Erlangen, Deutschland (nachfolgend „Anbieter“)

Gegenstand: Der Anbieter betreibt die SaaS-Plattform „Zeitplanr“ (zeitplanr.de) zur Online-Terminplanung. Im Rahmen der Nutzung des Dienstes verarbeitet der Anbieter personenbezogene Daten im Auftrag des Kunden (Verantwortlicher).

Dauer: Die Laufzeit dieses AVV entspricht der Laufzeit des zugrundeliegenden Nutzungsvertrags für Zeitplanr. Der AVV endet automatisch mit Beendigung des Hauptvertrags.

2. Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken:

  • Bereitstellung und Verwaltung der Online-Terminplanungsfunktionen
  • Synchronisation von Kalendereinträgen (Google Calendar)
  • Versand von Terminbestätigungen, Erinnerungen und Absagebenachrichtigungen per E-Mail
  • Erstellung und Verwaltung von Videokonferenzlinks (Google Meet)
  • Speicherung und Anzeige von Buchungsdaten im Dashboard des Verantwortlichen

3. Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Vor- und Nachname
  • E-Mail-Adresse
  • IP-Adresse
  • Zeitzone
  • Buchungsdaten (Datum, Uhrzeit, Terminart, Status)
  • Notizen und Nachrichten des Terminbuchers
  • Kalender-Zugangstoken (verschlüsselt gespeichert)
  • Einwilligungszeitstempel (DSGVO-Nachweis)

4. Kategorien betroffener Personen

  • Terminbucher (Gäste): Personen, die über die Buchungsseiten des Verantwortlichen Termine buchen
  • Registrierte Nutzer: Der Verantwortliche und ggf. weitere berechtigte Nutzer, die die Plattform zur Terminverwaltung nutzen

5. Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

  • eine gültige Rechtsgrundlage für die Verarbeitung sicherzustellen (z.B. Art. 6 Abs. 1 lit. b oder f DSGVO)
  • Weisungen an den Auftragsverarbeiter schriftlich oder in dokumentierter elektronischer Form zu erteilen
  • den Grundsätzen der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO zu entsprechen
  • betroffene Personen über die Verarbeitung im Rahmen der eigenen Datenschutzerklärung zu informieren
  • den DSE-Hinweis von Zeitplanr in die eigene Datenschutzerklärung aufzunehmen (siehe zeitplanr.de/dse-hinweis)

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter (BlackSwanAI) verpflichtet sich:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich
  • alle zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten
  • alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) umzusetzen (siehe Abschnitt 8)
  • Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Verantwortlichen einzusetzen (siehe Abschnitt 7)
  • den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen
  • den Verantwortlichen bei der Einhaltung der Pflichten gem. Art. 32–36 DSGVO zu unterstützen
  • nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (siehe Abschnitt 11)
  • dem Verantwortlichen alle für den Nachweis der Einhaltung erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen/Audits zu ermöglichen

7. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu. Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung informieren und ihm die Möglichkeit geben, Einspruch zu erheben.

UnterauftragsverarbeiterStandortZweck
Neon Inc. (PostgreSQL)Frankfurt, DEDatenbank-Hosting
Netlify Inc.USA (EU-SCCs)Applikations-Hosting & CDN
Google LLC (Calendar/Meet)USA (EU-SCCs)Kalendersynchronisation & Videokonferenzen
E-Mail-Dienstleister (Resend)USA (EU-SCCs)Transaktionale E-Mails

Für alle in Drittländern ansässigen Unterauftragsverarbeiter bestehen Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO als angemessene Garantien.

8. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt gemäß Art. 32 DSGVO folgende Maßnahmen um:

Zutrittskontrolle

Serverinfrastruktur wird ausschließlich über zertifizierte Cloud-Anbieter (Neon, Netlify) mit physischen Zugangskontrollen betrieben.

Zugangskontrolle

Authentifizierung über OAuth 2.0 (Google), sichere Session-Verwaltung über NextAuth.js mit verschlüsselten Session-Tokens.

Zugriffskontrolle

Rollenbasiertes Berechtigungssystem. Nutzer können nur auf eigene Daten zugreifen. Administrativer Zugang ist streng limitiert.

Weitergabekontrolle

Alle Datenübertragungen erfolgen über TLS 1.2+. Kalender-Zugangstoken werden mit AES-256 verschlüsselt gespeichert. API-Kommunikation ausschließlich über HTTPS.

Eingabekontrolle

Protokollierung von Buchungs-, Änderungs- und Löschvorgängen mit Zeitstempel und Nutzerkennung (Audit-Log).

Auftragskontrolle

Verarbeitung erfolgt ausschließlich auf Weisung des Verantwortlichen. Datennutzung ist auf die vertraglich vereinbarten Zwecke beschränkt.

Verfügbarkeitskontrolle

Automatische Backups durch Neon (PostgreSQL) mit Point-in-Time Recovery. Netlify bietet Hochverfügbarkeit mit globalem CDN und automatischem Failover.

Trennungsgebot

Mandantentrennung durch datenbankseitige Zuordnung aller Datensätze zu Nutzer-IDs. Logische Trennung gewährleistet, dass Nutzer ausschließlich auf eigene Daten zugreifen.

9. Datenschutz-Folgenabschätzung

Soweit eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO erforderlich ist, unterstützt der Auftragsverarbeiter den Verantwortlichen im erforderlichen Umfang bei deren Durchführung.

10. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten gem. Art. 33 DSGVO.

Die Meldung umfasst mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

Kontakt für Datenschutzvorfälle: info@blackswanai.de

11. Löschung und Rückgabe

Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Betroffene Personen können ihre Rechte auf Auskunft, Löschung und Datenportabilität jederzeit selbstständig über die DSGVO-Self-Service-Funktion ausüben: zeitplanr.de/privacy

Die Löschung wird bestätigt und dokumentiert. Backups werden gemäß dem regulären Backup-Zyklus überschrieben (max. 30 Tage).

12. Kontakt

Für Fragen zu diesem AVV oder zum Datenschutz bei Zeitplanr wenden Sie sich an:

BlackSwanAI
Erlangen, Deutschland
E-Mail: info@blackswanai.de
Web: blackswanai.de

13. Stand

Dieser Auftragsverarbeitungsvertrag ist gültig ab Februar 2026.

Stand: Februar 2026