Auftragsverarbeitungsvertrag
Wie wir deine Kundendaten verarbeiten.
Stand: 14. Mai 2026
Dieser Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO wird zwischen dir als Verantwortlicher („Auftraggeberin") und der Entruencer UG (haftungsbeschränkt) als Auftragsverarbeiter („wir") geschlossen. Er gilt für alle personenbezogenen Daten, die wir im Rahmen der Nutzung von Ordessa in deinem Auftrag verarbeiten — also insbesondere die Daten deiner Kundinnen und Termin-Beteiligten. Der AVV wird mit deiner Registrierung wirksam und gilt für die Dauer des Nutzungsvertrags.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch uns im Rahmen der SaaS-Plattform Ordessa. Die Dauer entspricht der Laufzeit des Nutzungsvertrags (siehe AGB). Mit Beendigung des Nutzungsvertrags endet auch dieser AVV.
2. Art und Zweck der Verarbeitung
Wir verarbeiten die Daten ausschließlich, um dir die Funktionen von Ordessa bereitzustellen: Terminverwaltung, Kundenakten und Look-Dokumentation, Rechnungs- und Belegverwaltung, Termin-Hub für Beteiligte sowie der dafür nötige Betrieb (Hosting, Backups, Mail-Versand). Eine Verarbeitung zu eigenen Zwecken findet nicht statt.
3. Art der Daten und betroffene Personen
- Datenarten: Stammdaten (Name, Kontaktdaten, Adresse), Termindaten, Make-up- und Haar-Dokumentation, hochgeladene Bilder, Rechnungs- und Zahlungsinformationen, Nachrichten im Termin-Hub.
- Betroffene Personen: deine Kundinnen, Termin-Beteiligte (z. B. Bräute, Models, Fotografen) sowie von dir angelegte Team-Mitglieder.
4. Pflichten des Auftragsverarbeiters
- Wir verarbeiten die Daten ausschließlich auf deine dokumentierte Weisung. Die Nutzung der Plattform gemäß ihrer Funktionen gilt als Weisung.
- Wir verpflichten die mit der Verarbeitung befassten Personen zur Vertraulichkeit.
- Wir treffen die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Abschnitt 7).
- Wir unterstützen dich im Rahmen des Möglichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) — dafür stehen dir in Ordessa der Daten-Export und die Account-Löschung zur Verfügung.
- Wir informieren dich unverzüglich, wenn uns eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
- Nach Beendigung des Vertrags löschen wir die Daten nach einer Karenzzeit von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
- Wir stellen dir die zum Nachweis der Einhaltung erforderlichen Informationen bereit und ermöglichen Überprüfungen in angemessenem Rahmen.
5. Pflichten des Verantwortlichen
Du bleibst für die Rechtmäßigkeit der Verarbeitung verantwortlich. Du stellst sicher, dass für die in Ordessa eingegebenen Daten eine Rechtsgrundlage besteht, und informierst deine Kundinnen über die Verarbeitung. Du benennst uns gegenüber eine für den Datenschutz zuständige Kontaktperson.
6. Unterauftragsverarbeiter
Du stimmst dem Einsatz folgender Unterauftragsverarbeiter zu. Wir verpflichten jeden auf ein gleichwertiges Datenschutzniveau.
- Hetzner Online GmbH (DE) — Hosting und Storage (EU-Server)
- Strato AG (DE) — Domain und Hosting der Marketing-Seite
- Stripe Payments Europe Ltd. (IE) — Zahlungsabwicklung
- Mindee SAS (FR) — Texterkennung (OCR) für hochgeladene Belege
- HeiGIT gGmbH / OpenRouteService (DE) — Routenberechnung für die Kilometerpauschale
Über Änderungen an dieser Liste informieren wir dich mit angemessener Frist vorab. Du kannst einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.
7. Technische und organisatorische Maßnahmen
- Verschlüsselte Übertragung (TLS) und verschlüsselte Backups.
- Zugriffskontrolle: rollenbasierte Rechte (Inhaber, Mitarbeiter, Assistenz), getrennte Mandanten, Authentifizierung mit gehashten Passwörtern.
- Protokollierung sicherheitsrelevanter Vorgänge (Audit-Log).
- Regelmäßige Backups und dokumentierte Wiederherstellungsprozesse.
- Hosting in Rechenzentren innerhalb der EU.
8. Haftung
Die Haftungsregelungen der AGB gelten entsprechend. Im Außenverhältnis zu betroffenen Personen gelten die gesetzlichen Bestimmungen der DSGVO.
9. Schlussbestimmungen
Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Bei Widersprüchen zwischen diesem AVV und den AGB gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
Entwurf — wird vor Launch durch die IT-Rechtskanzlei (Mandanten-Abo) ersetzt.