Auftragsverarbeitungsvertrag (AVV)
Stand: April 2026 · Gemäß Art. 28 DSGVO
1. Parteien
Dieser Auftragsverarbeitungsvertrag (AVV) gilt zwischen:
Auftragsverarbeiter:
Wolfgang Heis (bookingwulf)
Vorgartenstraße 200/8, 1020 Wien, Österreich
E-Mail: office@wulius.at
Verantwortlicher:
Der jeweilige Kunde (Hotelbetreiber/Vermieter), der bookingwulf im Rahmen der Allgemeinen Geschäftsbedingungen nutzt.
Durch den Abschluss des Nutzungsvertrags mit bookingwulf erklärt sich der Verantwortliche mit den Bedingungen dieses AVV einverstanden.
2. Gegenstand und Dauer der Verarbeitung
Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Plattform bookingwulf, insbesondere die Erhebung, Speicherung und Weiterleitung von Buchungsanfragedaten (Gästedaten) im Auftrag des Verantwortlichen. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags.
3. Art und Zweck der Verarbeitung
Art der Verarbeitung:
- Erhebung von Gästedaten über das Buchungswidget
- Speicherung in der Datenbank des Auftragverarbeiters
- Übermittlung per E-Mail-Benachrichtigung an den Verantwortlichen
- Darstellung im Admin-Dashboard des Verantwortlichen
Zweck: Verwaltung von Buchungsanfragen im Auftrag des Verantwortlichen.
4. Art der personenbezogenen Daten
- Name (Vor- und Nachname) der anfragenden Gäste
- E-Mail-Adresse
- Telefonnummer (optional)
- Reisezeitraum (An- und Abreisedatum)
- Anzahl der Gäste (Erwachsene, Kinder)
- Gewählte Apartments und Zusatzleistungen
- Freitext-Nachrichten der Gäste
5. Kategorien betroffener Personen
Gäste und Interessenten, die über das Buchungswidget des Verantwortlichen eine Anfrage stellen.
6. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.
- Zur Vertraulichkeit der verarbeiteten Daten — alle mit der Verarbeitung befassten Personen sind zur Vertraulichkeit verpflichtet.
- Geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO umzusetzen (verschlüsselte Übertragung via HTTPS, Zugangsbeschränkungen, gehashte Passwörter, sichere Session-Verwaltung).
- Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung gegen geltendes Datenschutzrecht verstößt.
- Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) zu unterstützen.
- Den Verantwortlichen bei Datenschutzverletzungen gemäß Art. 33/34 DSGVO unverzüglich zu informieren.
- Nach Beendigung des Vertrags alle Daten zu löschen oder zurückzugeben, soweit nicht gesetzlich zur Aufbewahrung verpflichtet.
7. Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche durch Abschluss des Nutzungsvertrags zustimmt:
- Neon Inc. (USA) — Datenbankhosting, Serverstandort Frankfurt (EU). Standardvertragsklauseln (SCCs) vereinbart.
- Vercel Inc. (USA) — Application Hosting. Standardvertragsklauseln (SCCs) vereinbart.
- Resend Inc. (USA) — E-Mail-Versand von Buchungsbenachrichtigungen. Standardvertragsklauseln (SCCs) vereinbart.
- Sentry Inc. (USA) — Fehler-Monitoring (technische Daten, keine Gästedaten im Regelfall). Standardvertragsklauseln (SCCs) vereinbart.
Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen bei Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, Änderungen zu widersprechen.
8. Technische und organisatorische Maßnahmen (TOMs)
- Verschlüsselte Datenübertragung (HTTPS/TLS)
- Passwörter werden gehasht gespeichert (bcrypt)
- Authentifizierung über signierte, httpOnly-Session-Cookies
- Zugangsbeschränkung: Hotelbetreiber sehen ausschließlich ihre eigenen Daten
- Rollenbasierte Zugriffskontrolle (Hotel-Admin vs. Super-Admin)
- Öffentliche Buchungslinks sind HMAC-Token-gesichert
- Regelmäßige Datenbankbackups durch den Datenbankdienstleister
9. Weisungsrecht
Der Verantwortliche kann Weisungen zur Datenverarbeitung erteilen, insbesondere zur Löschung von Daten, per E-Mail an office@wulius.at. Der Auftragsverarbeiter bestätigt den Eingang und setzt Weisungen innerhalb angemessener Frist um.
10. Haftung
Die Haftung der Parteien richtet sich nach den Regelungen der DSGVO sowie den AGB von bookingwulf. Jede Partei haftet gegenüber betroffenen Personen für den ihr zuzurechnenden Schaden.
11. Kontakt
Bei Fragen zum AVV oder zur Ausübung des Weisungsrechts: office@wulius.at