Diese Fassung ist ein sorgfältiger Entwurf und wird vor dem offiziellen Start anwaltlich final geprüft. Verbindlich abgeschlossen wird der AVV in der App als Teil deines Kontos.
Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten zwischen dir als Verantwortlichem (der Betrieb) und der Develogix Agency e.U. als Auftragsverarbeiter (zeitl) gemäß Art. 28 DSGVO. Er gilt für alle personenbezogenen Daten, die zeitl im Rahmen der Nutzung der Software in deinem Auftrag verarbeitet.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch zeitl zum Zweck der Bereitstellung der Terminbuchungs-Software. Die Dauer entspricht der Laufzeit des Hauptvertrags (Nutzung von zeitl). Weisungsbefugt ist der Verantwortliche.
2. Art, Zweck und betroffene Personen
- Art der Verarbeitung: Erheben, Speichern, Ordnen, Anzeigen, Versenden von Benachrichtigungen, Löschen und Exportieren im Rahmen der Softwarefunktionen.
- Zweck: Terminverwaltung, Betrieb der Buchungsseite, Kundenkartei, Benachrichtigungen und — je nach Plan — Zahlungsanbahnung und Statistik.
- Betroffene Personen: Endkund:innen des Betriebs sowie dessen Mitarbeiter:innen.
- Datenkategorien: Kontaktdaten der Endkund:innen (Name, E-Mail, Telefon), Termin- und Buchungsdaten, interne Notizen, Zahlungsstatus (keine vollständigen Kartendaten — diese verarbeitet der Zahlungsdienstleister direkt), technische Nutzungsdaten.
Abgrenzung zum zeitl-Kundenkonto: Endkund:innen buchen über ein betriebsübergreifendes zeitl-Kundenkonto (Kennung ist die per SMS bestätigte Telefonnummer, dazu Name und E-Mail für Login/Versand). Für dieses Konto ist zeitl selbst Verantwortlicher (siehe Datenschutzerklärung, Punkt 3.5) — es ist nicht Gegenstand dieses AVV. Gegenstand dieses AVV sind ausschließlich die betriebsbezogenen Daten in der Kundenkartei des Verantwortlichen (dessen Termine, Notizen, Zähler, Online-Sperre).
3. Pflichten von zeitl als Auftragsverarbeiter
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern nicht gesetzlich zu anderem verpflichtet.
- Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit.
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe Punkt 4).
- Unterstützung des Verantwortlichen bei der Beantwortung von Betroffenenanfragen sowie bei Datenschutz-Folgeabschätzungen und Meldepflichten, soweit erforderlich und möglich.
- Unverzügliche Information des Verantwortlichen bei Kenntnis von Verletzungen des Schutzes personenbezogener Daten.
- Keine Nutzung der Daten für eigene Zwecke. zeitl betreibt keinen Marktplatz und gibt die Kundendaten des Betriebs nicht an Dritte zu Werbezwecken weiter.
4. Technische und organisatorische Maßnahmen (TOMs)
- Transportverschlüsselung (TLS) für alle Verbindungen; Passwörter ausschließlich als kryptografischer Hash gespeichert.
- Zugriffskontrolle über Rollen und Rechte; Zwei-Faktor-Authentifizierung verfügbar.
- Hosting und Backups ausschließlich in der EU. Regelmäßige, verschlüsselte Backups.
- Mandantentrennung: die Daten jedes Betriebs sind logisch strikt voneinander getrennt.
- Protokollierung sicherheitsrelevanter Vorgänge, u. a. administrativer Support-Zugriffe (Impersonation).
5. Unterauftragsverarbeiter (Subprozessoren)
Du stimmst dem Einsatz folgender Unterauftragsverarbeiter zu. Alle erfüllen die Anforderungen der DSGVO; eine Übermittlung in Drittländer erfolgt nur mit geeigneten Garantien.
- Hosting-Anbieter (EU): Betrieb der Server-Infrastruktur und Backups innerhalb der EU.
- Stripe Payments Europe, Ltd. (Irland): Abwicklung der Abo-Zahlungen des Betriebs an zeitl.
- Mollie B.V. (Niederlande): Abwicklung der Online-Anzahlungen von Endkund:innen an den Betrieb (Basic/Pro).
- E-Mail-Versanddienstleister (EU): Versand transaktionaler E-Mails (Bestätigungen, Erinnerungen).
- SMS-Dienstleister seven.io (EU): Versand der SMS mit dem Einmalcode zur Bestätigung der Telefonnummer sowie von SMS-Erinnerungen (Pro, sobald verfügbar).
Über beabsichtigte Änderungen dieser Liste informieren wir dich vorab; du kannst berechtigten Einwand erheben.
6. Betroffenenrechte und Löschung
zeitl unterstützt dich dabei, den Rechten deiner Endkund:innen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) nachzukommen. Kundendaten sind jederzeit als CSV/JSON exportierbar. Nach Beendigung des Vertrags werden die personenbezogenen Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
7. Nachweise und Kontrollen
Wir stellen dir die zur Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglichen angemessene Überprüfungen — vorrangig durch Bereitstellung geeigneter Nachweise, um den laufenden Betrieb nicht unverhältnismäßig zu beeinträchtigen.
8. Schlussbestimmungen
Es gilt österreichisches Recht. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Datenschutzanfragen richtest du an office@develogix.at.
Stand: Juli 2026.