Auftragsverarbeitungsvertrag

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen:

Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der cloudbasierten Hotelmanagementsoftware Hestia PMS und ist Bestandteil des Hauptvertrages (AGB). Dieser AVV entspricht den Anforderungen des Art. 28 DSGVO und orientiert sich an den aktuellen Empfehlungen des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), des Europäischen Datenschutzausschusses (EDSA) sowie der aktualisierten Bitkom-Mustervertragsanlage zur Auftragsverarbeitung (Version 2025).

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand der Auftragsverarbeitung

Der Auftragsverarbeiter stellt dem Verantwortlichen die cloudbasierte Software „Hestia PMS“ zur Verfügung. Im Rahmen dieser Dienstleistung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Die Verarbeitung umfasst insbesondere:

• Speicherung von Gästedaten
• Verarbeitung von Reservierungsdaten
• Erstellung und Speicherung von Rechnungen (inkl. E-Rechnung im Format ZUGFeRD 2.1)
• Verarbeitung von Kassendaten inkl. TSE-Signierung
• Speicherung von Meldescheindaten (nur für ausländische Gäste gemäß § 30 BMG in der Fassung ab 01.01.2025)
• Durchführung von täglichen verschlüsselten Datensicherungen
• GoBD-konforme Protokollierung aller Geschäftsvorfälle (Audit-Logging gemäß GoBD vom 14. Juli 2025)
• Erstellung von DSFinV-K-Exporten (Version 2.4) für die Kassenprüfung

1.2 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Hauptvertrages. Nach Beendigung des Vertrages werden die Daten gemäß § 8 dieses AVV behandelt.

§ 2 Art und Zweck der Verarbeitung

2.1 Zweck

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung und des Betriebs der Hotelmanagementsoftware Hestia PMS für den Verantwortlichen.

2.2 Art der Verarbeitung

• Erheben (bei Dateneingabe durch den Verantwortlichen)
• Speichern
• Ordnen und Strukturieren
• Abfragen und Auslesen
• Abgleichen
• Einschränken
• Löschen oder Vernichten
• Übermitteln (z.B. E-Mail-Versand von Buchungsbestätigungen)

§ 3 Kategorien betroffener Personen und personenbezogener Daten

3.1 Kategorien betroffener Personen

• Hotelgäste des Verantwortlichen (inkl. Begleitpersonen)
• Geschäftspartner und Firmenkunden
• Mitarbeiter des Verantwortlichen (als Benutzer der Software)

3.2 Kategorien personenbezogener Daten

3.3 Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) ist nicht Gegenstand dieses Auftrags. Sollte der Verantwortliche solche Daten in das System eingeben (z.B. Gesundheitsdaten zu Allergien oder Mobilitätseinschränkungen in Gästennotizen), erfolgt dies in alleiniger Verantwortung des Verantwortlichen. Der Verantwortliche hat in diesem Fall sicherzustellen, dass eine Rechtsgrundlage (z.B. Art. 9 Abs. 2 lit. a DSGVO - ausdrückliche Einwilligung) vorliegt.

§ 4 Pflichten des Auftragsverarbeiters

4.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Weisungen ergeben sich primär aus diesem AVV und dem Hauptvertrag. Der Verantwortliche kann darüber hinaus Weisungen per E-Mail erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Meinung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften (DSGVO, BDSG oder andere anwendbare Datenschutzgesetze) verstößt. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung bis zu einer Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

4.2 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass alle mit der Verarbeitung personenbezogener Daten betrauten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.

4.3 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung:

• Bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch Bereitstellung geeigneter Funktionen in der Software (z.B. Export, Anonymisierung, Löschung)
• Bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation)
• Bei Prüfungen durch Aufsichtsbehörden durch Bereitstellung erforderlicher Informationen und Zugang

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

5.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Datenbankserver werden in zertifizierten Rechenzentren in Deutschland betrieben: vServer.site (Elektronik Böcker) mit Standorten in Frankfurt am Main (Interxion/Digital Realty) und Düsseldorf (QSC AG). Backups werden bei Hetzner Online GmbH im Rechenzentrum Falkenstein (FSN1) gespeichert. Alle Rechenzentren verfügen über 24/7-Überwachung, Zutrittskontrollen und redundante Stromversorgung.
• Zugangskontrolle: SSH-Key-Authentifizierung (Ed25519), kein Root-Login, Fail2ban mit automatischer IP-Sperrung nach fehlgeschlagenen Versuchen, regelmäßige Sicherheitsupdates
• Zugriffskontrolle: Rollenbasierte Berechtigungen mit 20+ granularen Berechtigungen, Protokollierung aller Zugriffe im GoBD-konformen Audit-Log
• Trennungskontrolle: Mandantentrennung durch separate Datenbankbereiche pro Hotel (Multi-Tenant-Architektur mit hotelId als Diskriminator)

5.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: TLS 1.3 Verschlüsselung für alle Datenübertragungen (HTTPS-only), HSTS aktiviert
• Eingabekontrolle: GoBD-konformes Audit-Logging aller Geschäftsvorfälle mit Benutzer, Zeitstempel und Vorher-/Nachher-Werten (Field-Level-Tracking gemäß GoBD Rz. 59)
• Manipulationsschutz: Kryptografische Verkettung (SHA-256 Hash-Chain) der Audit-Logs zur Sicherstellung der Unveränderbarkeit gemäß GoBD Rz. 107

5.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

• Verfügbarkeitskontrolle: Tägliche automatisierte Backups, clientseitig verschlüsselt mit AES-256-GCM vor der Übertragung zur Hetzner Storage Box
• Wiederherstellbarkeit: Dokumentierte und regelmäßig getestete Backup-Restore-Prozeduren, Recovery Point Objective (RPO): 24 Stunden
• Belastbarkeit: Skalierbare Infrastruktur, Monitoring mit automatischen Alerts (Percona Monitoring and Management)

5.4 Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Der Auftragsverarbeiter überprüft die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig (mindestens jährlich) und passt diese bei Bedarf dem aktuellen Stand der Technik an. Die Ergebnisse werden dokumentiert.

5.5 IT-Sicherheit und NIS-2

Der Auftragsverarbeiter orientiert sich bei seinen IT-Sicherheitsmaßnahmen an den Anforderungen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), das seit dem 17. Januar 2025 in Kraft ist. Das BSI-Registrierungsportal ist seit Januar 2026 freigeschaltet. Dies umfasst insbesondere angemessene Maßnahmen zum Risikomanagement, zur Vorfallsmeldung und zur Aufrechterhaltung der Betriebskontinuität.

Hinweis zur BSI-Registrierung: Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Feststellung der Betroffenheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) über das Portal registrieren. Sollte der Auftragsverarbeiter in den Anwendungsbereich des NIS2UmsuCG fallen (ca. 29.500 Unternehmen bundesweit betroffen), wird er den Verantwortlichen hierüber unverzüglich informieren, sich beim BSI registrieren und die entsprechenden Nachweise (insbesondere Registrierungsbestätigung und Kontaktdaten des IT-Sicherheitsbeauftragten) bereitstellen.

§ 6 Unterauftragsverarbeiter

6.1 Genehmigte Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern unter den in Absatz 6.2 und 6.3 genannten Bedingungen (Art. 28 Abs. 2 DSGVO).

Folgende Unterauftragsverarbeiter sind zum Zeitpunkt des Vertragsschlusses genehmigt:

6.2 Änderungen bei Unterauftragsverarbeitern

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern (Hinzufügen oder Ersetzen) mindestens 30 Tage im Voraus per E-Mail an die im System hinterlegte E-Mail-Adresse des Administrators. Der Verantwortliche kann aus sachlich begründeten datenschutzrechtlichen Gründen innerhalb von 14 Tagen nach Zugang der Mitteilung in Textform Widerspruch einlegen. Bei berechtigtem Widerspruch wird der Auftragsverarbeiter den Unterauftragsverarbeiter nicht einsetzen oder dem Verantwortlichen ein Sonderkündigungsrecht einräumen.

6.3 Vertragliche Absicherung

Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern Vereinbarungen geschlossen werden, die gleichwertige Datenschutzpflichten wie in diesem AVV vorsehen (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Einhaltung der Datenschutzpflichten durch die Unterauftragsverarbeiter verantwortlich.

§ 7 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, über:

• Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO)
• Verdacht auf unbefugten Zugriff auf personenbezogene Daten
• Schwerwiegende Störungen des Betriebs

Die Meldung enthält soweit möglich alle Informationen gemäß Art. 33 Abs. 3 DSGVO:

• Art der Verletzung
• Betroffene Datenkategorien
• Ungefähre Anzahl betroffener Personen und Datensätze
• Wahrscheinliche Folgen der Verletzung
• Ergriffene und vorgeschlagene Maßnahmen

Hinweis: Die Entscheidung über eine Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und/oder die betroffenen Personen (Art. 34 DSGVO) obliegt dem Verantwortlichen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung dieser Pflichten.

§ 8 Datenportabilität und EU Data Act

Gemäß der Verordnung (EU) 2023/2854 (Data Act), die seit dem 12. September 2025 verbindlich gilt, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Wahrnehmung seiner Rechte auf Datenportabilität und Anbieterwechsel (Cloud Switching):

• Der Verantwortliche kann jederzeit alle seine Daten in strukturierten, maschinenlesbaren und standardisierten Formaten exportieren.
• Export-Funktionen sind während der gesamten Vertragslaufzeit und bis zu 30 Tage nach Vertragsende kostenfrei verfügbar.
• Auf Anfrage stellt der Auftragsverarbeiter technische Dokumentation zu den verwendeten Datenformaten zur Verfügung.
• Während eines Anbieterwechsels wird das vereinbarte Datensicherheitsniveau aufrechterhalten.

§ 9 Beendigung der Verarbeitung

9.1 Datenrückgabe

Nach Beendigung des Hauptvertrages stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage alle personenbezogenen Daten in gängigen, maschinenlesbaren Formaten zur Verfügung (siehe auch § 8):

• CSV für tabellarische Daten (Gäste, Reservierungen, etc.)
• JSON für strukturierte Daten
• PDF für Belege (Rechnungen, Gutscheine, Meldescheine)
• DSFinV-K-Export (ZIP mit 20 CSV-Dateien) für Kassendaten

9.2 Datenlöschung

Nach Ablauf von 30 Tagen nach Vertragsende löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen unwiderruflich, sofern:

• Keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere § 147 AO: 10 Jahre für steuerlich relevante Unterlagen)
• Der Verantwortliche nicht ausdrücklich eine längere Speicherung wünscht

Der Auftragsverarbeiter erstellt automatisch ein Löschprotokoll, das dem Verantwortlichen auf Anfrage zur Verfügung gestellt wird. Das Löschprotokoll enthält: Datum der Löschung, Kategorien der gelöschten Daten, Bestätigung der vollständigen Löschung.

9.3 DSFinV-K-Export und steuerliche Aufbewahrungspflichten

Bei Nutzung der Kassenfunktion stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage innerhalb von 30 Tagen nach Vertragsende einen vollständigen DSFinV-K-Export (Version 2.4) für den gesamten Nutzungszeitraum zur Verfügung. Dieser Export ermöglicht dem Verantwortlichen die Erfüllung seiner Aufbewahrungspflichten gemäß § 147 AO (10 Jahre, beginnend mit dem Schluss des Kalenderjahres, in dem die letzte Buchung erfolgte).

Der Verantwortliche ist selbst für die Aufbewahrung der exportierten Daten nach Vertragsende verantwortlich und muss sicherstellen, dass die Daten während der gesamten Aufbewahrungsfrist lesbar und auswertbar bleiben.

§ 10 Kontroll- und Prüfrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und ermöglicht Überprüfungen.

Prüfungen vor Ort sind nach vorheriger Abstimmung mit angemessener Frist (mindestens 14 Tage) möglich, soweit dies zur Überprüfung der Einhaltung der TOMs erforderlich ist und keine Geschäftsgeheimnisse oder Rechte Dritter verletzt werden. Der Auftragsverarbeiter kann auf Anfrage alternativ folgende Nachweise bereitstellen:

• Dokumentation der technischen und organisatorischen Maßnahmen
• Nachweis der Mitarbeiterverpflichtung zur Vertraulichkeit
• Aktuelle Liste der Unterauftragsverarbeiter
• Bestätigungen über die Einhaltung der Datenschutzanforderungen durch Unterauftragsverarbeiter

§ 11 Haftung

(1) Die Haftung richtet sich nach Art. 82 DSGVO sowie den Regelungen im Hauptvertrag (AGB). Für Schäden, die durch weisungswidrige Verarbeitung durch den Auftragsverarbeiter entstehen, haftet dieser allein.

(2) Der Verantwortliche haftet für Schäden, die aus rechtswidrigen oder fehlerhaften Weisungen resultieren, sowie für Schäden aus der Verletzung seiner eigenen Pflichten als Verantwortlicher.

(3) Im Innenverhältnis gilt: Jede Partei trägt die Kosten und Schäden, die durch eine von ihr zu vertretende Pflichtverletzung entstehen. Bei gemeinsam verursachten Schäden erfolgt eine Kostenteilung nach den jeweiligen Verursachungsanteilen.

(4) Haftungshöchstgrenze: Die Haftung des Auftragsverarbeiters für Datenschutzverletzungen ist – soweit gesetzlich zulässig – begrenzt auf den höheren der folgenden Beträge:

• das Zwölffache der monatlichen Vergütung aus dem Hauptvertrag, oder
• die Deckungssumme der IT-Haftpflichtversicherung des Auftragsverarbeiters für den konkreten Schadensfall.

(5) Versicherungsschutz: Der Auftragsverarbeiter unterhält eine IT-Haftpflichtversicherung (Berufshaftpflicht für IT-Dienstleister) mit einer Mindestdeckungssumme von 500.000 EUR, die auch Vermögensschäden aus Datenschutzverletzungen abdeckt.

§ 12 Schlussbestimmungen

(1) Änderungen dieses AVV bedürfen der Textform (§ 126b BGB).

(2) Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen zwischen den Parteien haben die Regelungen dieses AVV in Bezug auf den Datenschutz Vorrang.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

(4) Dieser AVV tritt mit dem Vertragsschluss gemäß § 2 der AGB in Kraft (Zugang der Freischaltungs-E-Mail und Ablauf der Widerspruchsfrist oder erste Nutzung der Software) und gilt für die Dauer des Vertragsverhältnisses sowie darüber hinaus für die Dauer etwaiger gesetzlicher Aufbewahrungspflichten.

(5) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Kontakt für Datenschutzanfragen