Auftraggeber (Verantwortlicher): [[Firma/Name Kunde]], [[Adresse]], vertreten durch [[Name]]
Auftragnehmer (Auftragsverarbeiter): Majd Aleid, Barther str 12, 13051 Berlin, E-Mail: kontakt@salontermine.de
Stand: 02.2026
(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers zwecks Bereitstellung, Hosting und Wartung einer Online-Terminbuchungs-Landing-Page / Website sowie damit verbundener Support- und Administrationsleistungen.
(2) Art der Verarbeitung: Erheben, Speichern, Ordnen, Auslesen, Übermitteln (an vom Auftraggeber bestimmte Empfänger), Berichtigung, Löschung.
(3) Kategorien personenbezogener Daten: Kontakt- und Terminangaben (z. B. Name, E-Mail, Telefonnummer, Terminzeit), technische Protokolldaten (Server-Logs, IP, Zeitstempel) soweit für Betrieb/Support erforderlich.
(4) Kategorien betroffener Personen: Kunden/Endnutzer des Auftraggebers und Beschäftigte des Auftraggebers (soweit zur Nutzung/Berechtigungsverwaltung erforderlich).
(5) Der Auftragnehmer verarbeitet Daten ausschließlich zu den in diesem Vertrag beschriebenen Zwecken.
(1) Die Verarbeitung beginnt mit Unterzeichnung dieses Vertrags und dauert bis zur Beendigung der Hauptleistung (Website/Hosting) an.
(2) Nach Vertragsende gelten die Regelungen zur Rückgabe/Löschung nach § 9.
(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(2) Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.
(1) Vertraulichkeit: Der Auftragnehmer verpflichtet alle unter seiner Kontrolle tätigen Personen auf Vertraulichkeit und die Einhaltung der DSGVO.
(2) Technische und organisatorische Maßnahmen (TOM): Der Auftragnehmer implementiert angemessene TOM gem. Art. 32 DSGVO (Einzelheiten: Anlage 1) und hält deren Wirksamkeit aufrecht.
(3) Unterstützung: Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung von Betroffenenrechten (Art. 12–22 DSGVO), bei Meldungen von Datenschutzverletzungen (Art. 33, 34 DSGVO) sowie ggf. bei Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO).
(4) Nachweise: Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag genannten Pflichten zur Verfügung.
(5) Protokollierung: Der Auftragnehmer führt geeignete Protokolle über relevante Verarbeitungsvorgänge (z. B. Administrationszugriffe, Änderungen an Systemkonfigurationen).
(6) Vertrauliche Behandlung von Weisungen, Datenträgern und Testdaten ist sicherzustellen.
(7) Datenverarbeitung außerhalb der EU/EWR erfolgt nur nach vorheriger schriftlicher Freigabe des Auftraggebers und unter Einsatz geeigneter Garantien (z. B. EU-Standardvertragsklauseln).
(1) Der Einsatz von Unterauftragsverarbeitern ist zulässig, sofern diese nachweislich den Anforderungen dieses Vertrags und der DSGVO genügen.
(2) Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen hinsichtlich der Hinzunahme/Ersetzung von Unterauftragsverarbeitern mindestens 14 Tage im Voraus; der Auftraggeber kann aus wichtigem Grund widersprechen.
(3) Der Auftragnehmer verpflichtet Unterauftragsverarbeiter inhaltsgleich zu den in diesem AVV geregelten Datenschutzpflichten.
(4) Aktuell eingesetzter Unterauftragsverarbeiter:
• Hetzner Online GmbH (Rechenzentrum, Deutschland)
Weitere Unterauftragsverarbeiter bedürfen der vorherigen Genehmigung des Auftraggebers.
(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung und die Erfüllung der Informationspflichten gegenüber Betroffenen verantwortlich.
(2) Der Auftraggeber ist berechtigt, Weisungen zu erteilen und deren Umsetzung zu kontrollieren (§ 7).
(1) Der Auftraggeber ist berechtigt, nach angemessener Vorankündigung Audits/Inspektionen beim Auftragnehmer durchzuführen oder durch unabhängige Prüfer durchführen zu lassen.
(2) Der Auftragnehmer wirkt an Kontrollen mit und stellt die erforderlichen Nachweise und Zutritte (soweit erforderlich und verhältnismäßig) zur Verfügung.
(1) Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, jede Verletzung des Schutzes personenbezogener Daten, die den Auftrag betreffen kann, und übermittelt verfügbare Informationen gemäß Art. 33 Abs. 3 DSGVO.
(2) Der Auftragnehmer dokumentiert Datenschutzverletzungen und unterstützt den Auftraggeber bei Benachrichtigungen nach Art. 33/34 DSGVO.
(1) Nach Beendigung der Auftragsverarbeitung, spätestens binnen 30 Tagen, löscht oder gibt der Auftragnehmer sämtliche personenbezogenen Daten nach Wahl des Auftraggebers zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Datenträger und Kopien sind ordnungsgemäß zu vernichten; Sicherungs-/Log-Daten werden nach Ablauf der Aufbewahrungsfristen gelöscht.
(3) Die Löschung ist in Textform zu bestätigen und auf Verlangen zu dokumentieren.
(1) Beide Parteien verpflichten sich, sämtliche im Rahmen dieses Vertrags erlangten Informationen vertraulich zu behandeln.
(2) Diese Pflicht gilt über das Vertragsende hinaus.
(1) Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für den Schaden, den sie durch eine nicht vertrags- oder gesetzeskonforme Verarbeitung verursacht hat.
(2) Zwischen den Parteien gelten im Innenverhältnis die gesetzlichen Regressregelungen.
(1) Datenübermittlungen in Drittländer finden nur statt, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (Angemessenheitsbeschluss, Standardvertragsklauseln o. Ä.).
(2) Der Auftragnehmer hält den Auftraggeber über die jeweils einschlägigen Garantien informiert.
(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform (Textform ausreichend, sofern nicht anders gefordert).
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt (Salvatorische Klausel).
(3) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers, sofern gesetzlich zulässig.
Ort/Datum: ________________________
Auftraggeber (Unterschrift): ______________________________
Auftragnehmer (Unterschrift): _____________________________
Zu den implementierten technischen und organisatorischen Maßnahmen gehören: Zugriffskontrolle für autorisierte Personen, Verschlüsselung bei der Übertragung (TLS) sowie sichere Verfahren zur Passwortverwaltung, wie in dieser Vereinbarung beschrieben.
Client (Controller): [[Company/Name Client]], [[Address]], represented by [[Name]]
Contractor (Processor): SalonTermine, Berlin, Email: kontakt@salontermine.de
Date: 01/2026
(1) The subject of this contract is the processing of personal data by the Contractor on behalf of the Client for the purpose of providing, hosting, and maintaining an online appointment booking landing page/website, as well as related support and administration services.
(2) Type of processing: Collection, storage, organization, structuring, reading, transmission (to recipients designated by the Client), correction, deletion.
(3) Categories of personal data: Contact and appointment details (e.g., name, email, phone number, appointment time), technical log data (server logs, IP, timestamp) as required for operation/support.
(4) Categories of data subjects: Customers/end-users of the Client and employees of the Client (as far as required for use/access management).
(5) The Contractor processes data exclusively for the purposes described in this contract.
(1) Processing begins upon signing this contract and continues until the termination of the main service (website/hosting).
(2) After the end of the contract, the regulations on return/deletion according to § 9 apply.
(3) The right to extraordinary termination for good cause remains unaffected.
(1) The Contractor processes personal data only on documented instructions from the Client. Oral instructions must be confirmed immediately in text form.
(2) If the Contractor considers an instruction to be unlawful, they inform the Client immediately.
(1) Confidentiality: The Contractor commits all persons acting under their authority to confidentiality and compliance with the GDPR.
(2) Technical and Organizational Measures (TOMs): The Contractor implements appropriate TOMs in accordance with Art. 32 GDPR (Details: Appendix 1) and maintains their effectiveness.
(3) Support: The Contractor supports the Client appropriately in fulfilling data subject rights (Art. 12–22 GDPR), reporting data breaches (Art. 33, 34 GDPR), and, if applicable, data protection impact assessments (Art. 35, 36 GDPR).
(4) Proof: The Contractor provides the Client with all necessary information to demonstrate compliance with the obligations specified in this contract.
(5) Logging: The Contractor maintains suitable logs of relevant processing operations (e.g., administrative access, changes to system configurations).
(6) Confidential treatment of instructions, data media, and test data is to be ensured.
(7) Data processing outside the EU/EEA takes place only with prior written approval from the Client and using appropriate guarantees (e.g., EU Standard Contractual Clauses).
(1) The use of sub-processors is permitted provided they demonstrably meet the requirements of this contract and the GDPR.
(2) The Contractor informs the Client of planned changes regarding the addition/replacement of sub-processors at least 14 days in advance; the Client may object for good cause.
(3) The Contractor obliges sub-processors to data protection obligations identical to those regulated in this DPA.
(4) Currently used sub-processor:
• Hetzner Online GmbH (Data Center, Germany)
Further sub-processors require prior approval from the Client.
(1) The Client is responsible for the lawfulness of data processing and the fulfillment of information obligations towards data subjects.
(2) The Client is entitled to issue instructions and control their implementation (§ 7).
(1) The Client is entitled, after reasonable advance notice, to carry out audits/inspections at the Contractor's premises or have them carried out by independent auditors.
(2) The Contractor cooperates in controls and provides the necessary evidence and access (as far as necessary and proportionate).
(1) The Contractor notifies the Client immediately, at the latest within 24 hours of becoming aware, of any violation of the protection of personal data that may affect the order, and transmits available information in accordance with Art. 33 (3) GDPR.
(2) The Contractor documents data breaches and supports the Client with notifications according to Art. 33/34 GDPR.
(1) Upon termination of the processing, at the latest within 30 days, the Contractor deletes or returns all personal data at the Client's choice, unless there is a legal obligation to retain data.
(2) Data media and copies must be properly destroyed; backup/log data will be deleted after expiration of retention periods.
(3) Deletion must be confirmed in text form and documented upon request.
(1) Both parties undertake to treat all information obtained within the scope of this contract confidentially.
(2) This obligation applies beyond the end of the contract.
(1) Liability is governed by Art. 82 GDPR. Each party is liable for the damage it has caused by processing that is not in accordance with the contract or the law.
(2) Between the parties, the statutory recourse regulations apply internally.
(1) Data transfers to third countries only take place if the requirements of Art. 44 et seq. GDPR are met (adequacy decision, standard contractual clauses, etc.).
(2) The Contractor keeps the Client informed about the applicable guarantees.
(1) Changes and amendments to this contract require written form (text form is sufficient unless otherwise required).
(2) Should individual provisions be invalid, the validity of the remaining regulations remains unaffected (severability clause).
(3) German law applies. Place of jurisdiction is the seat of the Contractor, if legally permissible.
Place/Date: ________________________
Client (Signature): ______________________________
Contractor (Signature): _____________________________
The implemented technical and organizational measures include: Authorized access control, encryption during transmission (TLS), and secure password management procedures, as described in this agreement.
العميل (المسؤول): [[الشركة/اسم العميل]]، [[العنوان]]، يمثله [[الاسم]]
المقاول (مُعالج البيانات): SalonTermine، برلين، البريد الإلكتروني: kontakt@salontermine.de
التاريخ: 01/2026
(1) موضوع هذا العقد هو معالجة البيانات الشخصية من قبل المقاول نيابة عن العميل لغرض توفير واستضافة وصيانة صفحة هبوط/موقع إلكتروني لحجز المواعيد عبر الإنترنت، بالإضافة إلى خدمات الدعم والإدارة ذات الصلة.
(2) نوع المعالجة: الجمع، التسجيل، التنظيم، الهيكلة، القراءة، النقل (إلى المستلمين المحددين من قبل العميل)، التصحيح، الحذف.
(3) فئات البيانات الشخصية: تفاصيل الاتصال والمواعيد (مثل الاسم، البريد الإلكتروني، رقم الهاتف، وقت الموعد)، وبيانات السجل الفنية (سجلات الخادم، عنوان IP، الطابع الزمني) حسب الاقتضاء للتشغيل/الدعم.
(4) فئات أصحاب البيانات: عملاء/المستخدمون النهائيون للعميل وموظفو العميل (بقدر ما هو مطلوب لإدارة الاستخدام/الوصول).
(5) يعالج المقاول البيانات حصريًا للأغراض الموضحة في هذا العقد.
(1) تبدأ المعالجة عند توقيع هذا العقد وتستمر حتى انتهاء الخدمة الرئيسية (الموقع/الاستضافة).
(2) بعد نهاية العقد، تسري اللوائح المتعلقة بالإرجاع/الحذف وفقًا للمادة 9.
(3) يظل الحق في الإنهاء الاستثنائي لسبب وجيه ساريًا.
(1) يعالج المقاول البيانات الشخصية فقط بناءً على تعليمات موثقة من العميل. يجب تأكيد التعليمات الشفهية فورًا في شكل نصي.
(2) إذا اعتبر المقاول أن تعليمات معينة غير قانونية، فإنه يبلغ العميل فورًا.
(1) السرية: يلتزم المقاول بإلزام جميع الأشخاص العاملين تحت سلطته بالسرية والامتثال للائحة العامة لحماية البيانات (GDPR).
(2) التدابير الفنية والتنظيمية (TOMs): ينفذ المقاول التدابير الفنية والتنظيمية المناسبة وفقًا للمادة 32 من GDPR (التفاصيل: الملحق 1) ويحافظ على فعاليتها.
(3) الدعم: يدعم المقاول العميل بشكل مناسب في الوفاء بحقوق أصحاب البيانات (المواد 12-22 GDPR)، والإبلاغ عن خروقات البيانات (المواد 33 و 34 GDPR)، وإذا لزم الأمر، تقييمات تأثير حماية البيانات (المواد 35 و 36 GDPR).
(4) الإثبات: يزود المقاول العميل بجميع المعلومات اللازمة لإثبات الامتثال للالتزامات المحددة في هذا العقد.
(5) التسجيل: يحتفظ المقاول بسجلات مناسبة لعمليات المعالجة ذات الصلة (مثل الوصول الإداري، والتغييرات في تكوينات النظام).
(6) يجب ضمان التعامل السري مع التعليمات ووسائط البيانات وبيانات الاختبار.
(7) تتم معالجة البيانات خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية فقط بموافقة كتابية مسبقة من العميل وباستخدام ضمانات مناسبة (مثل البنود التعاقدية القياسية للاتحاد الأوروبي).
(1) يُسمح باستخدام معالجي بيانات من الباطن شريطة أن يستوفوا بشكل مثبت متطلبات هذا العقد و GDPR.
(2) يبلغ المقاول العميل بالتغييرات المخططة فيما يتعلق بإضافة/استبدال معالجي البيانات من الباطن قبل 14 يومًا على الأقل؛ ويجوز للعميل الاعتراض لسبب وجيه.
(3) يلزم المقاول معالجي البيانات من الباطن بالتزامات حماية البيانات المطابقة لتلك المنظمة في هذا العقد.
(4) معالج البيانات من الباطن المستخدم حاليًا:
• Hetzner Online GmbH (مركز بيانات، ألمانيا)
تتطلب معالجات البيانات من الباطن الإضافية موافقة مسبقة من العميل.
(1) العميل مسؤول عن قانونية معالجة البيانات والوفاء بالتزامات المعلومات تجاه أصحاب البيانات.
(2) يحق للعميل إصدار تعليمات ومراقبة تنفيذها (§ 7).
(1) يحق للعميل، بعد إخطار مسبق معقول، إجراء تدقيق/تفتيش في مقر المقاول أو تكليف مدققين مستقلين بذلك.
(2) يتعاون المقاول في الضوابط ويوفر الأدلة والوصول اللازم (بقدر ما هو ضروري ومتناسب).
(1) يبلغ المقاول العميل فورًا، وفي موعد أقصاه 24 ساعة من العلم، بأي انتهاك لحماية البيانات الشخصية قد يؤثر على الطلب، وينقل المعلومات المتاحة وفقًا للمادة 33 (3) GDPR.
(2) يوثق المقاول خروقات البيانات ويدعم العميل بالإخطارات وفقًا للمواد 33/34 GDPR.
(1) عند انتهاء المعالجة، وفي موعد أقصاه 30 يومًا، يقوم المقاول بحذف أو إعادة جميع البيانات الشخصية حسب اختيار العميل، ما لم يكن هناك التزام قانوني بالاحتفاظ بالبيانات.
(2) يجب تدمير وسائط البيانات والنسخ بشكل صحيح؛ سيتم حذف بيانات النسخ الاحتياطي/السجل بعد انتهاء فترات الاحتفاظ.
(3) يجب تأكيد الحذف في شكل نصي وتوثيقه عند الطلب.
(1) يتعهد كلا الطرفين بمعاملة جميع المعلومات التي يتم الحصول عليها في إطار هذا العقد بسرية.
(2) يسري هذا الالتزام إلى ما بعد نهاية العقد.
(1) تخضع المسؤولية للمادة 82 من GDPR. كل طرف مسؤول عن الضرر الذي تسبب فيه من خلال معالجة لا تتوافق مع العقد أو القانون.
(2) تسري لوائح الرجوع القانوني داخليًا بين الطرفين.
(1) لا يتم نقل البيانات إلى دول ثالثة إلا إذا تم الوفاء بمتطلبات المادة 44 وما يليها من GDPR (قرار الملاءمة، البنود التعاقدية القياسية، إلخ).
(2) يبقي المقاول العميل على اطلاع بالضمانات المعمول بها.
(1) تتطلب التغييرات والتعديلات على هذا العقد شكلًا كتابيًا (يكفي الشكل النصي ما لم يُطلب خلاف ذلك).
(2) إذا كانت بعض الأحكام باطلة، فإن صحة اللوائح المتبقية تظل غير متأثرة (بند القابلية للفصل).
(3) يسري القانون الألماني. مكان الاختصاص هو مقر المقاول، إذا كان ذلك جائزًا قانونًا.
المكان/التاريخ: ________________________
العميل (التوقيع): ______________________________
المقاول (التوقيع): _____________________________
تشمل التدابير الفنية والتنظيمية المطبّقة: التحكم في الدخول المصرّح به، التشفير أثناء النقل (TLS)، وإجراءات آمنة لإدارة كلمات المرور، وفقًا لما هو موضح في هذه الاتفاقية.