Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Stand: 07. Juni 2026 – Version 1.1

zwischen

dem Nutzer des FeWo Check-in Systems (nachfolgend „Auftraggeber" / Verantwortlicher im Sinne der DSGVO)

und

FeWo-Solution, Betreiber des FeWo Check-in Systems (nachfolgend „Auftragnehmer" / Auftragsverarbeiter im Sinne von Art. 28 DSGVO)

---

§ 1 – Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zum Zweck der Erbringung des FeWo Check-in Services. Die Verarbeitung umfasst insbesondere die Speicherung und Verwaltung von Meldedaten der Gäste des Auftraggebers sowie die automatisierte Kommunikation mit diesen Gästen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (AGB).

§ 2 – Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung von Meldedaten der Gäste (Name, Anschrift, Geburtsdatum, Staatsangehörigkeit, Reisedokumentnummer)
• Automatisierter Versand von Nachrichten an Gäste (Check-in-Anleitung, Zugangscode, Erinnerungen, Abschiedsnachricht)
• Erstellung und Verwaltung von Meldescheinen gemäß Bundesmeldegesetz (BMG)
• Optionale Übergabe von Rechnungsdaten an Lexoffice
• Optionale Übermittlung von Buchungsdaten von/an Lodgify

Eine Verarbeitung der Daten zu anderen als den vereinbarten Zwecken findet nicht statt.

§ 3 – Art der personenbezogenen Daten und Kreis der betroffenen Personen

Kategorien personenbezogener Daten: Name, Anschrift, Geburtsdatum, Staatsangehörigkeit, Reisedokumentnummer, Kontaktdaten (E-Mail, Telefon), Anreise- und Abreisedaten, Zugangscodes.

Kreis der betroffenen Personen: Gäste des Auftraggebers, die eine Unterkunft des Auftraggebers buchen.

§ 4 – Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich insbesondere:

• Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• Zur Verschwiegenheit über die verarbeiteten Daten (Art. 28 Abs. 3 lit. b DSGVO);
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen;
• Die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter einzuhalten (Art. 28 Abs. 2 DSGVO);
• Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen;
• Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten nach Art. 28 DSGVO nachweisen zu können.

§ 5 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten, insbesondere:

• Vertraulichkeit: Verschlüsselte Datenübertragung (TLS/HTTPS), Zugangskontrolle durch Passwörter und rollenbasierte Berechtigungen;
• Integrität: Protokollierung von Zugriffen, regelmäßige Sicherheitsprüfungen;
• Verfügbarkeit: Regelmäßige Datensicherungen, redundante Serverinfrastruktur;
• Belastbarkeit: Monitoring und Alarmierung bei Systemausfällen.

§ 6 – Unterauftragsverarbeiter

Der Einsatz von Unterauftragsverarbeitern ist dem Auftragnehmer gestattet, soweit diese schriftlich auf die Einhaltung der DSGVO verpflichtet werden und ein angemessenes Datenschutzniveau gewährleisten. Der Auftraggeber wird über den Einsatz neuer Unterauftragsverarbeiter informiert und hat das Recht, Einwände zu erheben. Aktuelle Unterauftragsverarbeiter: Hosting- und Infrastrukturdienstleister innerhalb der EU/des EWR.

§ 7 – Betroffenenrechte

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Der Auftraggeber bleibt als Verantwortlicher alleinig zuständig für die Beantwortung dieser Anfragen gegenüber den Betroffenen.

§ 8 – Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrags sind alle personenbezogenen Daten des Auftraggebers auf dessen Wahl zu löschen oder zurückzugeben, sofern keine gesetzliche Pflicht zur Speicherung besteht. Die Löschung wird auf Anfrage schriftlich bestätigt.

§ 9 – Kontrollrechte des Auftraggebers

Der Auftraggeber ist berechtigt, die Einhaltung der Datenschutzvorschriften und der Vereinbarungen dieses Vertrags im erforderlichen Umfang zu kontrollieren. Der Auftragnehmer stellt auf Anfrage die notwendigen Informationen zur Verfügung und ermöglicht Audits durch den Auftraggeber oder einen von ihm beauftragten Prüfer.

§ 10 – Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO), damit der Auftraggeber seinen Meldepflichten gegenüber der Aufsichtsbehörde nachkommen kann.

§ 11 – Schlussbestimmungen

Dieser AVV ist Bestandteil des Hauptvertrags (AGB). Im Übrigen gelten die Bestimmungen der AGB ergänzend. Bei Widersprüchen zwischen diesem AVV und den AGB geht dieser AVV vor. Änderungen dieses AVV bedürfen der Textform.