Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen dem Kunden (nachfolgend "Verantwortlicher" oder "Auftraggeber")
und
Oasis Appart GmbH
Gustav-Becker-Straße 4
01979 Lauchhammer
Deutschland
E-Mail: info@oasify.de
(nachfolgend "Auftragsverarbeiter")

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform "Oasify" (nachfolgend "Plattform"). Art, Umfang und Zweck der Datenverarbeitung ergeben sich aus dem zugrunde liegenden Nutzungsvertrag sowie aus diesem Auftragsverarbeitungsvertrag.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen Auftraggeber und Auftragsverarbeiter. Sie beginnt mit der Registrierung auf der Plattform und endet mit der vollständigen Löschung des Kundenkontos.

(3) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, sofern in § 7 dieses Vertrags nichts anderes bestimmt ist.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich zur Erbringung der folgenden Leistungen:

• Self-Service Check-in: Erfassung und Verarbeitung von Gästedaten im Rahmen des digitalen Kiosk-Check-in-Prozesses, einschließlich Buchungsverifizierung, Dokumentenscan (Ausweis/Reisepass) mittels OCR-Technologie und Identitätsabgleich.
• Gästeverwaltung und Meldescheine: Speicherung und Verwaltung von Gästedaten, Buchungsinformationen, Check-in-Protokollen und digitalen Meldescheinen zur Erfüllung der melderechtlichen Verpflichtungen des Auftraggebers (BMG §§ 29–30).
• Rechnungsstellung: Erstellung, Versand und Verwaltung von Rechnungen an Gäste des Auftraggebers, einschließlich Stornorechnungen, Kurtaxe-Abrechnungen und USt-Zusammenfassungen (GoBD-konform).
• Türschloss-Steuerung: Übermittlung von Entriegelungsbefehlen an Smart-Lock-Systeme nach erfolgreicher Identitätsverifizierung des Gastes.
• Buchungssynchronisation:Abgleich von Buchungsdaten mit Channel-Management-Systemen (z. B. Smoobu) zur Verifizierung von Reservierungen.
• Mitarbeiterverwaltung: Verwaltung von Mitarbeiterdaten des Auftraggebers für Reinigungsprojekte, Wäsche-Management, Zeiterfassung und Lohnabrechnung.
• E-Mail-Kommunikation: Versand von Rechnungen, Benachrichtigungen und systembezogenen E-Mails an Gäste und Mitarbeiter des Auftraggebers.
• Gäste-Kommunikation: Bereitstellung eines Nachrichtensystems für die direkte Kommunikation zwischen dem Auftraggeber und seinen Gästen (Inbox, Vorlagen, Broadcast, geplante Nachrichten). Optional über WhatsApp Business.
• KI-gestützte Funktionen: Bereitstellung eines KI-Assistenten und KI-basierter Analysen zur Betriebsoptimierung. Eingabedaten werden nicht zum Training von KI-Modellen verwendet.
• Dynamic Pricing: Automatische Preisberechnung auf Basis nicht-personenbezogener Betriebsdaten (Auslastung, Saison, Vorlaufzeit).
• Umgebungsüberwachung: Verarbeitung von Sensor-Daten (Lärmpegel, Temperatur, Luftfeuchtigkeit) zur Überwachung der Apartment-Umgebung. Keine Audioaufzeichnung.
• Benachrichtigungen: Zustellung von E-Mail-, In-App- und Push-Benachrichtigungen an Kunden und deren Mitarbeiter über betriebsrelevante Ereignisse.

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:

• Stammdaten: Vor- und Nachname, Geburtsdatum, Staatsangehörigkeit
• Kontaktdaten: E-Mail-Adresse, Telefonnummer (sofern angegeben)
• Buchungsdaten: Buchungsnummer, An- und Abreisedatum, gebuchte Unterkunft, Anzahl der Gäste, Buchungsquelle
• Ausweisdaten: Dokumententyp (Personalausweis/Reisepass), Dokumentennummer, per OCR extrahierte Namens- und Geburtsdaten, Foto des Ausweisdokuments
• Adressdaten: Straße, Hausnummer, Postleitzahl, Ort, Land
• Rechnungsdaten: Rechnungsadresse, Rechnungsbeträge, Steuernummern
• Mitarbeiterdaten: Name, E-Mail-Adresse, Stundenlohn, Arbeitszeiterfassungen, Lohnabrechnungsdaten
• Kommunikationsdaten: Nachrichteninhalte (Gäste-Nachrichten, Team-Messenger), Zustellstatus, Zeitstempel
• Protokolldaten: Check-in-Zeitstempel, IP-Adressen (serverseitig), Audit-Log-Einträge, Verifizierungsergebnisse, Entriegelungsprotokolle

§ 4 Kategorien betroffener Personen

Von der Datenverarbeitung sind folgende Kategorien betroffener Personen betroffen:

• Hotelgäste / Ferienwohnungsgäste: Personen, die eine Unterkunft des Auftraggebers gebucht haben und den Self-Service Check-in nutzen, über die Plattform kontaktiert werden oder deren Daten im Rahmen der Gästeverwaltung verarbeitet werden.
• Mitarbeiter des Auftraggebers: Angestellte oder freie Mitarbeiter des Auftraggebers, die über die Plattform für Reinigungsprojekte, Zeiterfassung, Lohnabrechnung oder Team-Kommunikation verwaltet werden.

§ 5 Pflichten des Auftragsverarbeiters

(1) Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Vertraulichkeit: Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen. Die konkreten Maßnahmen sind in § 6 dieses Vertrags beschrieben.

(4) Unterauftragsverarbeiter: Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Die derzeit eingesetzten Unterauftragsverarbeiter sind in § 7 aufgeführt. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung für den Einsatz dieser Unterauftragsverarbeiter.

(5) Unterstützungspflicht: Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten gemäß Art. 12–22 DSGVO (Betroffenenrechte) sowie Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldepflichten, Datenschutz-Folgenabschätzung).

(6) Löschung: Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (siehe § 9).

(7) Nachweispflicht: Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen einschließlich Inspektionen bei (siehe § 8).

(8) Meldepflicht bei Datenschutzverletzungen: Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist (Art. 33 Abs. 2 DSGVO). Die Benachrichtigung erfolgt innerhalb von 24 Stunden nach Kenntniserlangung und enthält mindestens: Art der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen und ergriffene Abhilfemaßnahmen.

§ 6 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

6.1 Verschlüsselung

• Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2/1.3 (HTTPS).
• Datenbank-Verbindungen sind SSL-verschlüsselt.
• Sensible Integrationsschlüssel (API-Keys) werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert.
• Passwörter werden ausschließlich als bcrypt-Hashes gespeichert.
• Ausweisdokumente werden in einem privaten Storage-Bucket mit eingeschränktem Zugriff gespeichert.

6.2 Zugriffskontrolle

• Rollenbasiertes Zugriffskonzept (RBAC) mit den Rollen "Admin" und "Mitarbeiter".
• Row Level Security (RLS) auf Datenbankebene: Mandanten können ausschließlich auf eigene Daten zugreifen (Mandantentrennung durch organization_id).
• Authentifizierung über Supabase Auth mit JWT-Token und Refresh-Token-Mechanismus.
• API-Routen sind durch serverseitige Auth-Guards geschützt.
• Middleware prüft bei jedem Request die Berechtigung und Organisationszugehörigkeit.
• Rate-Limiting auf sicherheitskritischen Endpunkten (DB-persistent, fail-closed).

6.3 Pseudonymisierung

• Interne Verarbeitung erfolgt über UUIDs statt Klarnamen.
• OCR-extrahierte Daten werden nur für den Identitätsabgleich verwendet und nicht dauerhaft mit dem Ausweisfoto verknüpft.
• Audit-Logs protokollieren Aktionen ohne vollständige personenbezogene Daten.
• Rechnungsdaten werden nach Ablauf der Aufbewahrungsfrist automatisch pseudonymisiert (Personendaten entfernt, Rechnungsnummern und Beträge erhalten).
• Marktdaten-Benchmarks verwenden ausschließlich aggregierte, anonymisierte Werte.

6.4 Verfügbarkeit und Belastbarkeit

• Hosting auf Supabase-Infrastruktur mit automatischen täglichen Backups.
• Point-in-Time Recovery (PITR) für die Datenbank verfügbar.
• Automatische Skalierung der Anwendungsserver (Vercel Edge Network).
• Monitoring und Alerting für Systemausfälle (Sentry).
• Angestrebte Verfügbarkeit: 99,5 % im Jahresmittel.

6.5 Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Sicherheitsupdates der eingesetzten Software-Komponenten.
• Dependency-Audits für verwendete Drittanbieter-Bibliotheken.
• Zugriffsprotokollierung und Audit-Trail für administrative Aktionen.
• GoBD-konforme Unveränderbarkeit von Rechnungsdaten und Audit-Log-Einträgen.
• Automatische Löschprozesse für abgelaufene Daten (Ausweisfotos, Adressdaten, Anfragen).

§ 7 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt zur Erfüllung seiner vertraglichen Pflichten die folgenden Unterauftragsverarbeiter ein. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu:

7.1 Supabase Inc.

• Leistung: Cloud-Hosting, PostgreSQL-Datenbank, Authentifizierung, Dateispeicherung (Storage), Edge Functions
• Standort: EU (AWS eu-west-1, Irland)
• Datenschutzvereinbarung: Data Processing Agreement (DPA) vorhanden, EU-Standardvertragsklauseln (SCCs) abgeschlossen
• Anmerkung: Alle Datenbanken und Speicher befinden sich innerhalb der EU. Supabase Inc. hat seinen Sitz in den USA, die Datenverarbeitung erfolgt jedoch ausschließlich in der EU-Region.

7.2 Vercel Inc.

• Leistung: Anwendungshosting, Edge-Netzwerk, serverlose Funktionsausführung (Server-Side Rendering, API-Routes)
• Standort: USA (mit globalem Edge-Netzwerk inkl. EU-Standorten)
• Datenschutzvereinbarung: Data Processing Agreement (DPA) vorhanden. Zertifiziert unter dem EU-US Data Privacy Framework (DPF)
• Verarbeitete Daten: IP-Adressen, HTTP-Request-Metadaten, serverseitige Funktionsausführung. Zugriffsprotokolle werden maximal 30 Tage gespeichert.

7.3 Resend Inc.

• Leistung: Transaktionaler E-Mail-Versand (Rechnungen, Benachrichtigungen, Gäste-Nachrichten)
• Standort: USA
• Datenschutzvereinbarung: Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Zertifiziert unter dem EU-US Data Privacy Framework (DPF)
• Verarbeitete Daten: E-Mail-Adressen der Empfänger, E-Mail-Inhalte (Rechnungen als PDF-Anhang, Benachrichtigungstexte), Zustellstatus

7.4 Stripe Payments Europe Ltd. / Stripe Inc.

• Leistung: Zahlungsabwicklung für Abonnement-Gebühren, Rechnungsmanagement
• Standort: Dublin, Irland (EU) / San Francisco, USA
• Datenschutzvereinbarung: Data Processing Agreement (DPA) vorhanden. Stripe Payments Europe Ltd. verarbeitet innerhalb des EWR. Für Übermittlungen an Stripe Inc. (USA) gilt das EU-US Data Privacy Framework (DPF)
• Verarbeitete Daten: Zahlungsinformationen (Kreditkarte/SEPA), E-Mail-Adresse, Rechnungsadresse. Kreditkartendaten werden ausschließlich von Stripe gespeichert, nicht auf Servern des Auftragsverarbeiters.

7.5 OpenAI Ireland Limited

• Leistung: OCR-Verarbeitung von Ausweisdokumenten mittels KI-gestützter Bilderkennung (GPT-4 Vision), KI-Assistent (Chat)
• Vertragspartei: OpenAI Ireland Limited, Dublin, Irland (EWR) — zuständig für Daten aus dem EWR und der Schweiz
• Unterauftragsverarbeiter: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, USA (Liste unter platform.openai.com/subprocessors)
• Datenschutzvereinbarung: OpenAI Data Processing Addendum v.010126, abgeschlossen am 19.04.2026 (Contract-ID 5b42f56a-eda0-4c09-9182-391d9ba34be7), inkl. EU-Standardvertragsklauseln (SCCs) für Weiter-Übermittlungen in die USA
• Verarbeitete Daten: Fotos von Ausweisdokumenten (temporär zur Textextraktion), Chat-Eingaben und Kontextdaten für den KI-Assistenten. OpenAI speichert API-Anfragen standardmäßig für bis zu 30 Tage zur Missbrauchsüberwachung, verwendet sie jedoch nicht zu Trainingszwecken.
• Aufbewahrung: Max. 30 Tage (Standard-Retention für Abuse-Monitoring). Nach Ablauf werden die Daten automatisch gelöscht. Zero Data Retention (ZDR) ist nicht aktiviert.

7.6 Nuki Home Solutions GmbH

• Leistung: Smart-Lock-API zur Türschloss-Steuerung (Entriegelungsbefehle), Schloss-Status-Abfragen
• Standort: Graz, Österreich (EU)
• Datenschutzvereinbarung: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
• Verarbeitete Daten: Geräte-IDs der Schlösser, Entriegelungszeitstempel, Batteriestatus. Keine personenbezogenen Gästedaten werden an Nuki übermittelt.

7.7 Smoobu GmbH

• Leistung: Channel-Management, Buchungssynchronisation, Preisübertragung (Dynamic Pricing)
• Standort: Berlin, Deutschland (EU)
• Datenschutzvereinbarung: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
• Verarbeitete Daten: Buchungsdaten (Buchungsnummer, Gästename, An-/Abreise, Unterkunft), Preisdaten (bei Dynamic Pricing Push)

7.8 Functional Software Inc. (Sentry)

• Leistung: Fehlerüberwachung, Performance-Monitoring, Session Replay (nur bei Einwilligung)
• Standort: San Francisco, USA
• Datenschutzvereinbarung: Data Processing Agreement (DPA) vorhanden
• Verarbeitete Daten: Technische Fehlerdaten (Stack-Traces, HTTP-Statuscodes). Personenbezogene Daten werden serverseitig automatisch herausgefiltert (PII Scrubbing). Clientseitige Erfassung nur nach Cookie-Einwilligung.

7.9 Meta Platforms Ireland Ltd. / Meta Platforms Inc. (optional)

• Leistung: WhatsApp Business Messaging (optional, nur bei aktivierter WhatsApp-Integration durch den Kunden)
• Standort: Dublin, Irland (EU) / USA
• Datenschutzvereinbarung: WhatsApp Business Data Processing Terms. Für Übermittlungen in die USA gilt das EU-US Data Privacy Framework (DPF)
• Verarbeitete Daten: Telefonnummern der Gäste, Nachrichteninhalte, Zustellstatus
• Anmerkung: Dieser Unterauftragsverarbeiter wird nur eingesetzt, wenn der Kunde die WhatsApp-Integration explizit aktiviert.

7.10 Minut Inc. (optional)

• Leistung: Umgebungsüberwachung (Lärmpegel, Temperatur, Luftfeuchtigkeit) über IoT-Sensoren
• Standort: Malmö, Schweden (EU) / USA
• Datenschutzvereinbarung: EU-Standardvertragsklauseln (SCCs)
• Verarbeitete Daten: Sensor-Messwerte, Geräte-IDs, Alarm-Ereignisse. Keine personenbezogenen Gästedaten.
• Anmerkung: Dieser Unterauftragsverarbeiter wird nur eingesetzt, wenn der Kunde die Minut-Integration explizit aktiviert.

7.11 Haufe-Lexware GmbH & Co. KG (lexoffice, optional)

• Leistung: Synchronisation von Rechnungen, Stornorechnungen und Kontaktdaten in den lexoffice-Account des Kunden
• Standort: Freiburg, Deutschland (EU)
• Datenschutzvereinbarung: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Verarbeitung erfolgt ausschließlich innerhalb Deutschlands.
• Verarbeitete Daten: Rechnungsdaten (Rechnungsnummer, Beträge, USt), Gästenamen und -anschriften (als Rechnungsempfänger), Buchungs- und Leistungszeiträume, USt-IdNr.
• Anmerkung: Dieser Unterauftragsverarbeiter wird nur eingesetzt, wenn der Kunde die lexoffice-Integration explizit aktiviert und eigene API-Zugangsdaten hinterlegt.

7.12 sevDesk GmbH (optional)

• Leistung: Synchronisation von Rechnungen, Stornorechnungen und Kontaktdaten in den sevDesk-Account des Kunden
• Standort: Offenburg, Deutschland (EU)
• Datenschutzvereinbarung: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Verarbeitung erfolgt ausschließlich innerhalb Deutschlands.
• Verarbeitete Daten: Rechnungsdaten (Rechnungsnummer, Beträge, USt), Gästenamen und -anschriften (als Rechnungsempfänger), Buchungs- und Leistungszeiträume, USt-IdNr.
• Anmerkung: Dieser Unterauftragsverarbeiter wird nur eingesetzt, wenn der Kunde die sevDesk-Integration explizit aktiviert und eigene API-Zugangsdaten hinterlegt.

7.13 Expo, Inc. (Mobile App Build, OTA, Push)

• Leistung: Build der iOS-/Android-Apps via EAS Build, Over-the-Air-Updates und Push Notification Service
• Standort: Mountain View, USA
• Datenschutzvereinbarung: Expo / EAS Data Processing Addendum mit SCCs; DPF-Zertifizierung
• Unterauftragsverarbeiter: Apple Inc. (APNs Routing für iOS), Google LLC (FCM Routing für Android)
• Verarbeitete Daten: Expo Push Tokens (geräte­spezifisch), Build-Metadaten; keine personen­bezogenen Anwendungs­daten der Endnutzer
• Sub-Processor Liste: expo.dev/legal/subprocessors

7.14 Anthropic, PBC

• Leistung: KI-gestützte Wartung, Fehleranalyse und Weiter­entwicklung der Plattform durch die Geschäftsführung der Oasis Appart GmbH (Einsatz des KI-Assistenten „Claude")
• Standort: San Francisco, USA
• Datenschutzvereinbarung: Anthropic Commercial Terms inkl. Data Processing Addendum. Für Übermittlungen in die USA gelten EU-Standard­vertrags­klauseln (SCCs). Anthropic nutzt API-Eingaben nicht zu Trainingszwecken.
• Verarbeitete Daten: Datenbank-Inhalte (anlass­bezogen, im Wartungs­kontext), Quellcode und Konfiguration, Fehlerprotokolle, Eingaben des Plattform-Betreibers im Chat. Standard-Retention: 30 Tage.
• Anmerkung: Anthropic wird ausschließlich durch den Plattform-Betreiber anlass­bezogen eingesetzt (Wartung, Debugging, Support-Vorfälle) — niemals automatisiert oder im Rahmen der Standard-Anwendungslogik. Lese- und Schreib­zugriffe auf personen­bezogene Daten der Kunden während Wartungs-Sessions werden im internen Audit-Log (`pii_write_audit_log`) protokolliert.

7.15 Slack Technologies LLC (optional)

• Leistung: Betriebs-Benachrichtigungen (Buchungsereignisse) an einen vom Kunden selbst eingerichteten Slack-Eingangs-Webhook
• Standort: San Francisco, USA (Slack Technologies LLC, ein Unternehmen der Salesforce, Inc.)
• Datenschutzvereinbarung: Salesforce/Slack Data Processing Addendum inkl. EU-Standardvertragsklauseln (SCCs); Salesforce ist unter dem EU-US Data Privacy Framework (DPF) gelistet
• Verarbeitete Daten: Buchungsnummer, Wohnung/Apartment, An-/Abreisedatum (bei Neubuchungen zusätzlich Gesamtpreis). Kein Gastname und kein freier Nachrichtentext.
• Anmerkung: Wird nur eingesetzt, wenn der Kunde die Slack-Benachrichtigungen explizit aktiviert und einen eigenen Webhook hinterlegt.

Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail informieren. Der Verantwortliche hat die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben. Erhebt der Verantwortliche innerhalb von 14 Tagen nach Benachrichtigung keinen Einspruch, gilt die Zustimmung als erteilt.

7.16 Maschinenlesbare Liste

Die in § 7 aufgeführten Unterauftragsverarbeiter sind zusätzlich in einer maschinenlesbaren Form unter den folgenden URLs öffentlich abrufbar — geeignet für DSGVO-Audit-Tools, automatisierte Compliance-Reviews und interne Prüfprozesse des Verantwortlichen:

• JSON: /api/legal/sub-processors
• CSV (für Tabellenkalkulationen): /api/legal/sub-processors?format=csv

Die Liste enthält pro Unterauftragsverarbeiter: Bezeichnung, Standort, Datenkategorien, Übermittlungsmechanismus (EU-only / SCC / DPF), Verweis auf den jeweiligen Datenverarbeitungsvertrag des Anbieters sowie eine eindeutige ID. Sie ist via Schema- und Inhaltsversion (`spec`, `version`) eindeutig referenzierbar.

§ 8 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses Vertrags und der DSGVO durch den Auftragsverarbeiter zu überprüfen. Dies kann durch Selbstauskünfte, Vorlage von Zertifizierungen oder Audits vor Ort erfolgen.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag und Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(3) Inspektionen und Audits vor Ort werden mit einer angemessenen Vorankündigungsfrist von mindestens 14 Werktagen durchgeführt. Der Auftragsverarbeiter kann verlangen, dass Audits von einem unabhängigen, vom Verantwortlichen beauftragten und vom Auftragsverarbeiter akzeptierten Prüfer durchgeführt werden.

(4) Die Kosten einer Überprüfung trägt der Verantwortliche, es sei denn, die Überprüfung ergibt wesentliche Verstöße des Auftragsverarbeiters gegen diesen Vertrag.

§ 9 Löschung und Rückgabe personenbezogener Daten

(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten bestehen. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Während dieser Frist kann der Verantwortliche seine Daten exportieren.

(2) Der Verantwortliche kann vor Vertragsende die Herausgabe aller im Auftrag verarbeiteten Daten in einem gängigen, maschinenlesbaren Format verlangen (JSON, CSV). Der Auftragsverarbeiter stellt hierfür eine Export-Funktion über die Plattform bereit.

(3) Gespeicherte Ausweisdokumente werden gemäß der konfigurierbaren Datenaufbewahrungsfrist (Standard: 14 Tage nach Checkout) automatisch gelöscht. Der Verantwortliche kann diese Frist in den Plattform-Einstellungen anpassen.

(4) Rechnungsdaten werden nach Ablauf der steuerrechtlichen Aufbewahrungsfrist (8 Jahre gemäß § 257 HGB, § 147 AO) pseudonymisiert. Personenbezogene Daten werden entfernt, Rechnungsnummern und Beträge bleiben erhalten (GoBD-Konformität).

(5) Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.

§ 10 Haftung

(1) Die Haftung der Vertragsparteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.

(2) Der Auftragsverarbeiter haftet für Schäden, die durch eine nicht den Vorgaben der DSGVO entsprechende Verarbeitung oder durch ein Handeln entgegen den rechtmäßigen Weisungen des Verantwortlichen verursacht wurden.

(3) Der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

(4) Im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter haftet jede Partei für den Anteil des Schadens, der ihrem jeweiligen Verantwortungsbereich zuzurechnen ist.

§ 11 Schlussbestimmungen

(1) Dieser Auftragsverarbeitungsvertrag unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die unwirksame Bestimmung ist durch eine Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Änderung dieser Formklausel.

(4) Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Cottbus, Deutschland.

(5) Dieser Auftragsverarbeitungsvertrag tritt mit der Registrierung des Verantwortlichen auf der Plattform in Kraft und gilt für die gesamte Dauer der Nutzung der Plattform.

Stand: Mai 2026
Oasis Appart GmbH, Gustav-Becker-Straße 4, 01979 Lauchhammer, Deutschland