Auftragsverarbeitungsvertrag (AVV)
Stand: 13. Juni 2026
Dieser Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch Civi-Cal (Auftragsverarbeiter) im Auftrag des Trägers (Verantwortlicher). Eine unterschriftsreife Fassung stellen wir auf Anfrage bereit.
1. Gegenstand und Dauer
Gegenstand ist die Bereitstellung des Belegungskalenders. Die Dauer entspricht der Laufzeit des Hauptvertrags.
2. Art und Zweck der Verarbeitung
Verarbeitet werden Stammdaten der Nutzer sowie Buchungs- und Anfragedaten zum Zweck der Raum- und Ressourcenverwaltung.
3. Kategorien betroffener Personen
Mitarbeitende und Mitglieder des Trägers sowie anfragende Personen (Bürger, Gäste).
4. Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
Mandantentrennung auf Datenbankebene (Row-Level-Security), Verschlüsselung der Übertragung (TLS), gehashte Speicherung von API-Schlüsseln, Zugriffskontrolle über rollenbasierte Berechtigungen, EU-Hosting, regelmäßige Backups.
5. Unterauftragsverarbeiter
netcup GmbH (Hosting, Deutschland/EU). ALL-INKL.COM – Neue Medien Münnich (DNS-Verwaltung der Domain, Deutschland). Resend / Plus Five Five, Inc. (transaktionaler E-Mail-Versand via Amazon SES, EU-Region Irland; Drittlandübermittlung in die USA auf Basis von Standardvertragsklauseln). Stripe Payments Europe, Ltd. (Zahlungsabwicklung) ausschließlich für kostenpflichtige Tarife. Weitere Unterauftragsverarbeiter werden vorab mitgeteilt.
6. Rechte des Verantwortlichen
Der Verantwortliche kann jederzeit einen Datenexport (JSON) anfordern bzw. selbst durchführen sowie die Löschung von Personen- oder Trägerdaten veranlassen.
7. Löschung nach Vertragsende
Nach Beendigung des Vertrags werden die verarbeiteten Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.