Naar inhoud
StippaStippa
FunktionenPreiseFAQKontakt
AnmeldenLoslegen

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 21. Juni 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend: "Auftragsverarbeitungsvertrag" oder "AVV") ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen zwischen De Rechter Software und dem Kunden (nachfolgend: der "Vertrag"). Er legt die Vereinbarungen über die Verarbeitung personenbezogener Daten fest, die De Rechter Software im Auftrag des Kunden bei der Bereitstellung von Stippa durchführt, gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO).

1. Parteien und Rollen

  • Verantwortlicher: der Kunde, der die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Endkunden bestimmt.
  • Auftragsverarbeiter: De Rechter Software, Einzelunternehmen (eenmanszaak) mit Sitz in Molenwater 20, 4511 BN Breskens, Niederlande, KvK-Nummer (niederländisches Handelsregister) 98466402, Umsatzsteuer-Identifikationsnummer NL005332100B80, Betreiber von Stippa, der die personenbezogenen Daten ausschließlich im Namen und im Auftrag des Kunden verarbeitet.

2. Gegenstand, Art, Dauer und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung des Dienstes Stippa: einer Plattform zum Verwalten und Buchen von Terminen, zum Verwalten von Kunden und Mitarbeitern, zum Versenden von Benachrichtigungen und zum Abwickeln von Zahlungen. Die Verarbeitung dauert an, solange der Vertrag in Kraft ist, und endet gemäß Abschnitt 10.

3. Kategorien von Daten und betroffenen Personen

Die Verarbeitung betrifft die folgenden Kategorien betroffener Personen und personenbezogener Daten:

  • Betroffene Personen: Endkunden des Kunden und Mitarbeiter des Kunden.
  • Daten: Name, E-Mail-Adresse, Telefonnummer, Termindaten (Datum, Uhrzeit, Dienstleistung, Mitarbeiter, Notizen) und zahlungsbezogene Daten (über Stripe; keine vollständigen Kartendaten).

Der Auftragsverarbeiter verarbeitet keine besonderen Kategorien personenbezogener Daten, es sei denn, der Kunde gibt diese selbst ein; hierfür ist der Kunde verantwortlich und steht für eine rechtmäßige Grundlage ein.

4. Pflichten des Auftragsverarbeiters

  • Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf Grundlage dokumentierter Weisungen des Kunden, einschließlich des Vertrags, auch in Bezug auf die Übermittlung in ein Drittland, es sei denn, eine rechtliche Verpflichtung bestimmt etwas anderes; in diesem Fall teilt der Auftragsverarbeiter dem Kunden dies vorab mit, sofern die betreffende Rechtsvorschrift dies nicht verbietet.
  • Der Auftragsverarbeiter informiert den Kunden unverzüglich, wenn eine Weisung nach seiner Auffassung gegen die DSGVO oder andere anwendbare Datenschutzvorschriften verstößt.
  • Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind.
  • Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen (siehe Abschnitt 5).
  • Der Auftragsverarbeiter leistet dem Kunden angemessene Unterstützung bei der Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität und Widerspruch) sowie bei der Erfüllung seiner Pflichten nach den Artikeln 32 bis 36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation der Aufsichtsbehörde).
  • Der Auftragsverarbeiter verwendet die personenbezogenen Daten nicht für eigene Zwecke und verkauft sie niemals.

5. Sicherheitsmaßnahmen

Der Auftragsverarbeiter trifft mindestens die folgenden Maßnahmen:

  • Verschlüsselung von Daten während der Übertragung (TLS 1.2 oder höher) und im Ruhezustand;
  • Verschlüsselung sensibler Tokens mit AES-256-GCM vor der Speicherung;
  • rollenbasierte Zugriffssteuerung mit Row-Level Security in der Datenbank;
  • Protokollierung von Änderungen (Audit-Protokolle) zu Zwecken der Sicherheit und Nachvollziehbarkeit;
  • regelmäßige Überprüfung der Wirksamkeit der Maßnahmen.

6. Unterauftragsverarbeiter

Der Kunde erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die nachstehenden Unterauftragsverarbeiter einzusetzen:

  • Supabase Inc. für Datenbank-Hosting (in der EU gehostet)
  • Vercel Inc. für das Hosting der Webanwendung
  • Upstash, Inc. für Ratenbegrenzung und Missbrauchsschutz (vorübergehende Verarbeitung von IP-Adressen)
  • Cloudflare, Inc. für Bot- und Missbrauchsschutz (Turnstile)
  • Sentry (Functional Software, Inc.) für Fehler-Monitoring und die Stabilität der Anwendung
  • Inngest, Inc. für die Ausführung von Hintergrundaufgaben (z. B. Erinnerungen)
  • Grafana Labs für das Log-Management (Loki, nur falls aktiviert)
  • Stripe Payments Europe Ltd. und Mollie B.V. für die Zahlungsabwicklung (Mollie in der EU gehostet)
  • Resend, Inc. für den Versand transaktionaler E-Mails
  • Twilio Inc. / WhatsApp Business für optionale Nachrichtendienste
  • PostHog für die Produktanalyse (EU-Server)

Die folgenden Integrationen werden nur aktiviert, wenn der Kunde oder ein Mitarbeiter sie verbindet: Google LLC für die Kalendersynchronisation (siehe die Datenschutzerklärung) und Moneybird B.V. für eine Buchhaltungsanbindung.

Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten auf wie in diesem Auftragsverarbeitungsvertrag. Der Auftragsverarbeiter bleibt gegenüber dem Kunden für die Erfüllung der Pflichten durch den Unterauftragsverarbeiter vollumfänglich verantwortlich.

Bei einer beabsichtigten Änderung oder Hinzufügung eines Unterauftragsverarbeiters informiert der Auftragsverarbeiter den Kunden mindestens 30 Tage im Voraus. Der Kunde kann innerhalb dieser Frist aus berechtigten Gründen Widerspruch gegen die Änderung einlegen; die Parteien treten dann in Verhandlungen ein. Wird keine Lösung erzielt, kann der Kunde den betreffenden Dienst oder den Vertrag kündigen.

7. Übermittlung außerhalb des EWR

Soweit personenbezogene Daten an einen Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums übermittelt werden, erfolgt diese Übermittlung ausschließlich auf Grundlage einer geeigneten Garantie gemäß Kapitel V DSGVO: bei einer Übermittlung in die Vereinigten Staaten vorrangig auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023) für hierunter zertifizierte Parteien sowie als zusätzliche oder Auffanggarantie auf Grundlage der Standardvertragsklauseln der Europäischen Kommission (Standard Contractual Clauses, Durchführungsbeschluss (EU) 2021/914).

8. Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Kunden ohne unangemessene Verzögerung, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Dabei stellt der Auftragsverarbeiter die Informationen bereit, die der Kunde vernünftigerweise benötigt, um seiner etwaigen Meldepflicht gegenüber der zuständigen Aufsichtsbehörde und gegenüber den betroffenen Personen nachzukommen.

9. Audits

Der Auftragsverarbeiter stellt dem Kunden auf Anfrage die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Artikel 28 DSGVO genannten Pflichten nachzuweisen. Der Kunde kann unter Wahrung einer angemessenen Frist und höchstens einmal pro Jahr ein Audit durch den Kunden selbst oder einen vom Kunden beauftragten, unabhängigen Auditor durchführen (lassen). Die angemessenen Kosten hierfür trägt der Kunde, es sei denn, aus dem Audit ergibt sich ein wesentlicher Mangel des Auftragsverarbeiters.

10. Rückgabe und Löschung

Nach Beendigung des Vertrags wird der Auftragsverarbeiter nach Wahl des Kunden alle personenbezogenen Daten entweder als Datenexport an den Kunden zur Verfügung stellen oder löschen sowie bestehende Kopien löschen, es sei denn, eine gesetzliche Aufbewahrungspflicht (wie die steuerliche Aufbewahrungspflicht für Zahlungsdaten) bestimmt etwas anderes. Trifft der Kunde innerhalb der in den Allgemeinen Geschäftsbedingungen genannten Frist von 30 Tagen keine Wahl, werden die Daten gelöscht.

11. Haftung und anwendbares Recht

Auf diesen Auftragsverarbeitungsvertrag finden die Haftungsbestimmungen und das anwendbare Recht aus den Allgemeinen Geschäftsbedingungen Anwendung. Bei Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und den Allgemeinen Geschäftsbedingungen geht dieser Auftragsverarbeitungsvertrag vor, soweit es die Verarbeitung personenbezogener Daten betrifft.

12. Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag oder für ein unterzeichnetes Exemplar können Sie über support@stippa.nl Kontakt aufnehmen.

StippaStippa

Terminplanung ohne Aufwand.

Für wen

  • Für Friseure
  • Kosmetikstudios
  • Physiotherapeuten
  • Coaches
  • Personal Trainer

Funktionen

  • Buchungs-Widget
  • Online-Zahlungen
  • Erinnerungen
  • No-Show-Prävention
  • Online-Kalender
  • Kundenverwaltung

Produkt

  • Funktionen
  • Preise
  • FAQ
  • Kontakt

Rechtliches

  • Datenschutzrichtlinie
  • Nutzungsbedingungen
  • Auftragsverarbeitungsvertrag

© 2026 Stippa. Alle Rechte vorbehalten.

De Rechter Software · Molenwater 20, 4511 BN Breskens · KvK 98466402 · btw NL005332100B80

······