Art. 28 DSGVO
Auftragsverarbeitungsvertrag
Zwischen Aputel (Auftragsverarbeiter) und dem Betreiber (Verantwortlicher) — Stand März 2026
§ 1 Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag (AVV) regelt gemäß Art. 28 DSGVO die Verarbeitung personenbezogener Daten durch Aputel im Auftrag des Betreibers.
Auftragsverarbeiter: KRV Transporte und Dienstleistungen e. K., Inhaber Kevin Rüchel-Volkmann, Langforter Str. 19, 40764 Langenfeld (Rheinland)
Verantwortlicher: Der Betreiber, der sich bei Aputel registriert hat.
Der AVV gilt für die Dauer des Nutzungsvertrags über Aputel.
§ 2 Art, Umfang und Zweck der Verarbeitung
| Zweck | Speicherung und Verwaltung von Terminbuchungen der Endkunden des Betreibers |
| Art der Verarbeitung | Erhebung, Speicherung, Anzeige, Löschung |
| Betroffene Personen | Endkunden des Betreibers (buchende Personen) |
| Datenkategorien | Vorname, Nachname, E-Mail-Adresse, optional Telefonnummer, gewählte Dienstleistung, Termin (Datum & Uhrzeit) |
| Speicherort | Google Firebase Firestore, Region europe-west3 (Frankfurt, Deutschland) |
§ 3 Pflichten des Auftragsverarbeiters
Aputel verpflichtet sich:
- →Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- →Zur Vertraulichkeit der Daten — alle Personen mit Datenzugang sind zur Vertraulichkeit verpflichtet
- →Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
- →Den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen
- →Alle Daten nach Ende des Vertrags zu löschen
- →Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zu übermitteln
§ 4 Technische und organisatorische Maßnahmen (TOMs)
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung | HTTPS/TLS für alle Verbindungen |
| Zugangskontrolle | Firebase Auth — nur authentifizierte Betreiber greifen auf eigene Daten zu |
| Zugriffskontrolle | Firestore Security Rules — strikte Trennung der Betreiberdaten |
| Verfügbarkeit | Google Firebase mit redundanter Infrastruktur |
| Trennungsgebot | Buchungsdaten mandantengetrennt — kein Betreiber kann auf Daten anderer zugreifen |
| Datensparsamkeit | Nur für die Buchungsabwicklung notwendige Daten werden erhoben |
§ 5 Unterauftragnehmer
Der Verantwortliche erteilt hiermit allgemeine Genehmigung zur Hinzuziehung folgender Unterauftragnehmer:
| Anbieter | Sitz | Zweck |
|---|---|---|
| Google LLC (Firebase) | EU — Frankfurt | Datenbank, Auth, Storage |
| Vercel Inc. | USA — SCCs | Hosting & Deployment |
| Brevo (Sendinblue SAS) | EU — Paris | E-Mail-Versand |
| Stripe, Inc. | USA — SCCs | Zahlungsabwicklung |
Aputel informiert den Verantwortlichen über geplante Änderungen der Unterauftragnehmer. Der Verantwortliche kann Einwände erheben.
§ 6 Datenpannen
Aputel meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich — in der Regel innerhalb von 72 Stunden — an den Verantwortlichen, damit dieser seinen Meldepflichten gemäß Art. 33 DSGVO nachkommen kann.
§ 7 Datenlöschung nach Vertragsende
Nach Kündigung löscht Aputel alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 8 Anwendbares Recht
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist Düsseldorf.