Auftragsverarbeitungsvertrag (AVV)

(gemeinsam nachfolgend die Parteien)

Dieser AVV wird durch die Annahme der AGB und des AVV im Rahmen der Registrierung auf kursigo.de geschlossen. Er ergänzt den Hauptvertrag (AGB) zwischen den Parteien und geht diesem in datenschutzrechtlichen Fragen vor.

Art. 1 – Gegenstand und Dauer

1. Kursigo verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erbringung der in den AGB beschriebenen SaaS-Leistungen (Buchungs- und Verwaltungsplattform).
2. Die Verarbeitung erfolgt ausschließlich im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags (AGB). Dieser AVV gilt für die gesamte Dauer des Hauptvertrags.
3. Nach Beendigung des Hauptvertrags stellt Kursigo alle verarbeiteten Daten für 30 Tage zum Export bereit und löscht diese anschließend vollständig, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Art. 2 – Art und Zweck der Verarbeitung

Gegenstand der Auftragsverarbeitung ist:

• Speicherung und Verwaltung von Endkundendaten (Kursteilnehmer) des Verantwortlichen
• Verwaltung von Buchungen, Terminen und Karten
• Versand von transaktionalen E-Mails im Auftrag des Verantwortlichen (z. B. Buchungsbestätigung, Terminerinnerungen)
• Technischer Betrieb und Aufrechterhaltung der Plattforminstanz

Zweck der Verarbeitung ist ausschließlich die Erbringung der vertraglich geschuldeten Leistungen. Eine Verarbeitung für eigene Zwecke von Kursigo findet nicht statt.

Art. 3 – Art der verarbeiteten Daten und betroffene Personen

Im Rahmen des Auftragsverhältnisses werden folgende Datenkategorien verarbeitet:

Betroffene Personen: Endkunden (Kursteilnehmer) des Verantwortlichen.

Art. 4 – Weisungsgebundenheit und Verantwortung des Verantwortlichen

1. Kursigo verarbeitet personenbezogene Daten der Endkunden ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, Kursigo ist durch das Recht der Europäischen Union oder der Bundesrepublik Deutschland zu einer anderen Verarbeitung verpflichtet.
2. Weisungen können schriftlich oder per E-Mail (info@kursigo.de) erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
3. Hält Kursigo eine Weisung für rechtswidrig, ist Kursigo berechtigt und verpflichtet, die Ausführung zu verweigern und den Verantwortlichen unverzüglich zu informieren.
4. Der Verantwortliche bestätigt und gewährleistet, dass er für jede Verarbeitung von Endkundendaten über eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO verfügt (z. B. Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b, berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f, oder Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO). Kursigo prüft diese Rechtsgrundlage nicht und haftet nicht für das Fehlen einer solchen beim Verantwortlichen.
5. Der Verantwortliche ist verpflichtet, seinen Endkunden (Kursteilnehmern) gegenüber eine eigene, DSGVO-konforme Datenschutzerklärung vorzuhalten, in der Kursigo als Auftragsverarbeiter gemäß Art. 28 DSGVO genannt ist.

Art. 5 – Pflichten von Kursigo

Kursigo verpflichtet sich insbesondere zu Folgendem:

• Vertraulichkeit: Alle mit der Verarbeitung beauftragten Personen unterliegen einer Verschwiegenheitsverpflichtung in Bezug auf die Daten des Verantwortlichen.
• Technische und organisatorische Maßnahmen (TOM): Kursigo trifft angemessene TOM gemäß Art. 32 DSGVO. Die zum Zeitpunkt des Vertragsschlusses gültigen TOM sind in Anlage 1 (Technische und organisatorische Maßnahmen) zu diesem AVV festgehalten. Kursigo ist berechtigt, die TOM im Laufe der Zeit anzupassen, sofern das Schutzniveau nicht unterschritten wird.
• Unterstützung bei Betroffenenrechten: Kursigo unterstützt den Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und Übertragungsanfragen betroffener Personen im technisch möglichen und zumutbaren Rahmen.
• Meldung von Datenschutzverletzungen: Kursigo informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft. Die Meldung erfolgt so zeitnah, dass der Verantwortliche seiner eigenen Meldepflicht gemäß Art. 33 DSGVO (72 Stunden gegenüber der Aufsichtsbehörde) nachkommen kann. Die Meldung enthält soweit möglich: Art der Verletzung, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen.
• Datenschutz-Folgenabschätzung: Kursigo unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO, sofern eine solche erforderlich ist.
• Löschung nach Vertragsende: Nach Beendigung des Hauptvertrags löscht Kursigo alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Art. 6 – Unterauftragsverarbeiter

1. Kursigo ist berechtigt, Unterauftragsverarbeiter einzusetzen. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.
2. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 (Liste der Unterauftragsverarbeiter) aufgeführt. Diese Liste ist Bestandteil dieses AVV und wird von Kursigo bei Änderungen aktualisiert.
3. Kursigo informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Erneuerung von Unterauftragsverarbeitern) durch Aktualisierung der Anlage 2 und Benachrichtigung per E-Mail mit einer Vorlaufzeit von mindestens 14 Tagen. Der Verantwortliche hat das Recht, gegen solche Änderungen innerhalb von 14 Tagen nach Zugang der Benachrichtigung schriftlich Einspruch zu erheben. Im Falle eines berechtigten Einspruchs bemühen sich die Parteien um eine einvernehmliche Lösung.
4. Kursigo verpflichtet jeden Unterauftragsverarbeiter vertraglich zu denselben datenschutzrechtlichen Pflichten, die Kursigo gegenüber dem Verantwortlichen obliegen.

Art. 7 – Drittlandtransfers

1. Soweit personenbezogene Daten im Rahmen der Leistungserbringung in Länder außerhalb der Europäischen Union (Drittländer) übermittelt werden, geschieht dies ausschließlich auf Basis geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln (SCC).
2. Folgende Dienste können zu Drittlandtransfers führen (insb. USA): Amazon Web Services (CloudFront), Microsoft 365, Stripe. Alle genannten Anbieter sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

Art. 8 – Kontrollrechte des Verantwortlichen

1. Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und der datenschutzrechtlichen Vorschriften durch Kursigo zu kontrollieren.
2. Kontrollen erfolgen vorrangig durch Anforderung von Dokumentationen, Zertifizierungen, Prüfberichten oder schriftlichen Auskünften. Kursigo stellt die erforderlichen Nachweise innerhalb von 14 Werktagen nach Anforderung zur Verfügung.
3. Vor-Ort-Prüfungen durch den Verantwortlichen oder einen von ihm beauftragten Dritten sind unter folgenden Bedingungen möglich: (a) schriftliche Ankündigung mindestens 14 Tage im Voraus; (b) Durchführung ausschließlich während der üblichen Geschäftszeiten (Mo–Fr, 09:00–17:00 Uhr); (c) maximal eine Prüfung pro Kalenderjahr, soweit kein konkreter Anlass einer Datenschutzverletzung besteht; (d) keine unverhältnismäßige Störung des laufenden Betriebs; (e) der Verantwortliche trägt die Kosten der Vor-Ort-Prüfung; anfallender interner Aufwand von Kursigo (Personalzeit, Vorbereitung) wird zu einem Stundensatz von 90 € netto in Rechnung gestellt.
4. Kursigo stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachweisen zu können.

Art. 9 – Haftung

1. Die Haftungsregelungen des Hauptvertrags (AGB) gelten entsprechend, soweit sich aus der DSGVO keine zwingenden abweichenden Regelungen ergeben.
2. Im Außenverhältnis haften die Parteien gegenüber betroffenen Personen gemäß Art. 82 DSGVO gesamtschuldnerisch. Im Innenverhältnis hängt die Aufteilung der Haftung davon ab, inwieweit jede Partei den Schaden zu verantworten hat.

Art. 10 – Schlussbestimmungen

1. Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.
2. Änderungen dieses AVV bedürfen der Textform.
3. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
4. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV in datenschutzrechtlichen Angelegenheiten Vorrang.
5. Der AVV wird durch Zustimmung im Rahmen der Registrierung auf kursigo.de geschlossen; eines gesonderten schriftlichen Vertragsexemplars bedarf es nicht.

1. Vertraulichkeit

Zugangskontrolle

• Zugang zur Produktionsinfrastruktur ausschließlich für autorisiertes Personal
• Mehrstufige Authentifizierung (MFA) für administrative AWS-Zugänge
• Rollenbasierte Zugriffssteuerung (IAM) nach Least-Privilege-Prinzip

Zutrittskontrolle

• Serverinfrastruktur in zertifizierten AWS-Rechenzentren (ISO 27001, SOC 2)
• Kein eigener physischer Serverzugang; physische Sicherheit durch AWS gewährleistet

Trennungskontrolle

• Jeder Kursigo-Kunde erhält eine dedizierte Container-Instanz und eine eigene SQLite-Datenbank auf getrenntem EFS-Dateisystem
• Technisch erzwungene Datenisolation; kein mandantenübergreifender Datenzugriff möglich

2. Integrität

• Verschlüsselung aller Daten in der Übertragung via TLS 1.2 / 1.3 (HTTPS)
• Serverseitige Verschlüsselung aller gespeicherten Daten (AWS KMS, AES-256)
• Verschlüsselung EFS- und S3-Speicher via AWS-verwaltete KMS-Schlüssel
• Passwörter werden ausschließlich als kryptografischer Hash (bcrypt) gespeichert
• Konfigurationswerte und Secrets werden im AWS Secrets Manager verwaltet

3. Verfügbarkeit und Belastbarkeit

• Betrieb in AWS eu-central-1 (Frankfurt) mit hoher Verfügbarkeit durch ECS-Container-Orchestrierung
• Regelmäßige automatische Backups der SQLite-Datenbankdateien in separaten S3-Bucket (kursigo-workflow-backups)
• Monitoring und Logging über Amazon CloudWatch; Log-Retention: 30 Tage
• Keine produktiven Daten in lokalen Entwicklungsumgebungen

4. Verfahren zur Überprüfung, Bewertung und Evaluierung

• AWS CloudTrail für revisionssichere Protokollierung administrativer Zugriffe (empfohlen; Aktivierung vorgesehen)
• Regelmäßige interne Überprüfung der Zugriffsrechte und Konfigurationen
• Datenschutz by Design: keine Erhebung von Gesundheitsdaten, keine Tracking-Tools, minimale Datenerhebung

Die folgende Liste führt alle Unterauftragsverarbeiter auf, die Kursigo zum Zeitpunkt des Vertragsschlusses einsetzt. Kursigo aktualisiert diese Liste bei Änderungen gemäß Art. 6 dieses AVV und informiert den Verantwortlichen mit mindestens 14 Tagen Vorlauf.

Kursigo · Kai Renz · Otto-Hahn-Str. 7 · 89584 Ehingen (Donau) · info@kursigo.de · kursigo.de