Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Stand: 26. März 2026

Parteien

Verantwortlicher (Auftraggeber)

Name des Nutzers / Firma

Adresse des Nutzers

(nachfolgend „Auftraggeber")

Auftragsverarbeiter

Jehweg – SaaS-Studio Jens-Henning Gläsker

Winkelweg 4, 32758 Detmold

info@booth-hq.com

(nachfolgend „Auftragsverarbeiter")

Präambel

Der Auftraggeber nutzt die Plattform BoothHQ zur Verwaltung seines Eventgeschäfts. Im Rahmen dieser Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten der Endkunden des Auftraggebers (z. B. Namen, E-Mail-Adressen von Veranstaltungskunden).

Dieser Vertrag regelt die Rechte und Pflichten beider Parteien bei der Auftragsverarbeitung gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer

  1. Gegenstand der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers im Rahmen der Bereitstellung von BoothHQ.
  2. Dieser Vertrag gilt für die Dauer des Hauptvertrags (BoothHQ-Nutzungsvertrag) und endet automatisch mit dessen Beendigung.

§ 2 Art, Zweck und Umfang der Datenverarbeitung

Art der verarbeiteten Daten

Kategorien betroffener Personen

Zweck der Verarbeitung

Betrieb und Bereitstellung der Plattform BoothHQ zur Verwaltung von Buchungen, Events, Kundenkommunikation und Abrechnung des Auftraggebers.

§ 3 Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Weisung des Auftraggebers, insbesondere gemäß diesem Vertrag und dem Hauptvertrag.
  2. Der Auftragsverarbeiter gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind.
  3. Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe § 7).
  4. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit) im Rahmen des technisch Möglichen.
  5. Der Auftragsverarbeiter unterrichtet den Auftraggeber unverzüglich – spätestens innerhalb von 48 Stunden – wenn ihm eine Datenpanne bekannt wird, die ihn im Rahmen dieses Vertrags betrifft.
  6. Der Auftragsverarbeiter stellt sicher, dass alle Daten ausschließlich auf Servern in der Bundesrepublik Deutschland gespeichert und verarbeitet werden.
  7. Nach Beendigung dieses Vertrags löscht der Auftragsverarbeiter alle Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 4 Pflichten des Auftraggebers

  1. Der Auftraggeber ist verantwortlich für die Rechtmäßigkeit der Datenerhebung bei seinen Endkunden.
  2. Der Auftraggeber informiert seine Endkunden in seiner eigenen Datenschutzerklärung darüber, dass deren Daten über BoothHQ (betrieben von Jehweg – SaaS-Studio Jens-Henning Gläsker) verarbeitet werden.
  3. Der Auftraggeber erteilt Weisungen zur Datenverarbeitung schriftlich oder in Textform (E-Mail genügt). Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

§ 5 Unterauftragsverarbeitung

  1. Der Auftraggeber erteilt seine Zustimmung zur Einschaltung der folgenden Unterauftragsverarbeiter:
Unterauftragsverarbeiter Sitz Zweck
Stripe Payments Europe, Ltd. Dublin, Irland (EU) Zahlungsabwicklung
Hetzner Online GmbH Gunzenhausen, Deutschland Serverhosting, Datenspeicherung
IONOS SE Montabaur, Deutschland E-Mail-Versand und -Empfang
  1. Der Auftragsverarbeiter informiert den Auftraggeber rechtzeitig über geplante Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann Änderungen schriftlich widersprechen. Kommt keine Einigung zustande, kann der Auftraggeber den Hauptvertrag aus wichtigem Grund kündigen.
  2. Der Auftragsverarbeiter schließt mit Unterauftragsverarbeitern Verträge ab, die diesen mindestens gleiche Datenschutzpflichten auferlegen wie dieser Vertrag.

§ 6 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften durch den Auftragsverarbeiter zu überprüfen, z. B. durch Anforderung von Nachweisen oder eigene Kontrollen.
  2. Eigene Kontrollen werden mit einer Frist von mindestens 5 Werktagen angekündigt und finden zu den üblichen Geschäftszeiten statt.
  3. Der Auftraggeber trägt die Kosten eigener Kontrollen selbst. Der Auftragsverarbeiter kann für den damit verbundenen Aufwand eine angemessene Vergütung verlangen.

§ 7 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO ein:

Zutrittskontrolle

  • Serverbetrieb in gesicherten Rechenzentren mit Zutrittsschutz

Zugangskontrolle

  • Passwort-Authentifizierung + optionalem 2FA (TOTP)
  • Automatische Session-Timeouts
  • Keine Standardpasswörter

Zugriffskontrolle

  • Rollenbasiertes Berechtigungskonzept
  • Least-Privilege-Prinzip
  • Separate Datenhaltung pro Mandant

Trennungskontrolle

  • Strikte Trennung verschiedener Auftraggeber auf Datenbankebene
  • Kein mandantenübergreifender Datenzugriff

Übertragungssicherheit

  • HTTPS / TLS 1.3 für alle Verbindungen
  • Keine unverschlüsselte Übertragung personenbezogener Daten

Integrität & Verfügbarkeit

  • Regelmäßige automatische Backups
  • Getestete Datenwiederherstellung
  • DDoS-Schutz durch Hosting-Anbieter

§ 8 Schlussbestimmungen

  1. Soweit dieser Vertrag keine abweichenden Regelungen enthält, gelten die AGB des Auftragsverarbeiters.
  2. Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.
  3. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  4. Es gilt deutsches Recht. Gerichtsstand ist Detmold.
Hinweis zur Unterzeichnung: Dieser AVV wird durch die Registrierung und Nutzung von BoothHQ im Sinne von Art. 28 Abs. 9 DSGVO in elektronischer Form abgeschlossen. Bei Bedarf kann eine gedruckte Fassung zur beidseitigen Unterzeichnung bei info@booth-hq.com angefordert werden. Eine rechtliche Prüfung durch einen qualifizierten Rechtsanwalt vor produktivem Einsatz wird empfohlen.