Du nutzt eine Terminbuchungssoftware für dein Unternehmen? Dann brauchst du einen Auftragsverarbeitungsvertrag (AVV) – sonst riskierst du Bußgelder von bis zu 20 Millionen Euro oder 4% deines weltweiten Jahresumsatzes. Klingt drastisch? Ist es auch. Die DSGVO nimmt es ernst, wenn personenbezogene Daten verarbeitet werden.
Ein Auftragsverarbeitungsvertrag ist keine optionale Beilage, sondern gesetzliche Pflicht nach Artikel 28 DSGVO. Sobald du einen externen Dienstleister wie eine Terminbuchungssoftware nutzt, der personenbezogene Daten deiner Kunden verarbeitet (Namen, E-Mails, Telefonnummern), musst du mit diesem Anbieter einen AVV abschließen.
In diesem Guide erfährst du alles Wichtige über Auftragsverarbeitung bei Terminbuchung: Was ist ein AVV genau? Welche Inhalte sind Pflicht? Wie prüfst du deinen Anbieter? Und wie meetergo dir die Compliance einfach macht.
AVV vs. kein AVV: Die rechtlichen Konsequenzen
| Kriterium | Mit AVV (DSGVO-konform) | Ohne AVV (Rechtsverstoß) |
|---|---|---|
Rechtsstatus | ✅ Gesetzeskonform Art. 28 DSGVO | ❌ DSGVO-Verstoß |
KriteriumRechtsstatus Mit AVV (DSGVO-konform)✅ Gesetzeskonform Art. 28 DSGVO Ohne AVV (Rechtsverstoß)❌ DSGVO-Verstoß | ||
Bußgeldrisiko | ✅ Minimiert | ❌ Bis 20 Mio. € oder 4% Umsatz |
KriteriumBußgeldrisiko Mit AVV (DSGVO-konform)✅ Minimiert Ohne AVV (Rechtsverstoß)❌ Bis 20 Mio. € oder 4% Umsatz | ||
Verantwortung | ✅ Klar geregelt | ❌ Unklar, Haftungsrisiko |
KriteriumVerantwortung Mit AVV (DSGVO-konform)✅ Klar geregelt Ohne AVV (Rechtsverstoß)❌ Unklar, Haftungsrisiko | ||
Datenschutz | ✅ TOM dokumentiert | ❌ Keine Garantien |
KriteriumDatenschutz Mit AVV (DSGVO-konform)✅ TOM dokumentiert Ohne AVV (Rechtsverstoß)❌ Keine Garantien | ||
Prüfpflicht | ✅ Vertraglich geregelt | ❌ Nicht erfüllbar |
KriteriumPrüfpflicht Mit AVV (DSGVO-konform)✅ Vertraglich geregelt Ohne AVV (Rechtsverstoß)❌ Nicht erfüllbar | ||
Was ist Auftragsverarbeitung (AVV) nach DSGVO?
Ein Auftragsverarbeitungsvertrag (AVV), auch AV-Vertrag oder Data Processing Agreement (DPA) genannt, ist ein Vertrag zwischen zwei Parteien:
- Verantwortlicher (Controller): Das Unternehmen, das die Datenverarbeitung beauftragt – also du als Nutzer der Terminbuchungssoftware.
- Auftragsverarbeiter (Processor): Der Dienstleister, der Daten in deinem Auftrag verarbeitet – z.B. die Terminbuchungsplattform.
Rechtliche Grundlage: Artikel 28 DSGVO schreibt vor, dass die Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrags erfolgen muss, der Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen festlegt.
Beispiel: Terminbuchungssoftware
Du betreibst ein Beratungsunternehmen und nutzt ein Online-Terminbuchungssystem, damit deine Kunden selbst Termine buchen können. Die Software speichert dabei Namen, E-Mail-Adressen, Telefonnummern und Termindetails. Du entscheidest, welche Daten erhoben werden und zu welchem Zweck – du bist der Verantwortliche. Die Terminbuchungsplattform verarbeitet diese Daten nur nach deinen Anweisungen – sie ist der Auftragsverarbeiter.
⚠️ Wichtig: Auch wenn die Plattform die technische Verarbeitung übernimmt, bleibst DU für den Datenschutz verantwortlich. Der AVV regelt, dass der Auftragsverarbeiter nur nach deinen Weisungen handelt und angemessene Sicherheitsmaßnahmen ergreift.
Warum brauchst du einen AVV bei Terminbuchungssoftware?
Die Antwort ist einfach: Weil es Gesetz ist. Artikel 28 Abs. 3 DSGVO schreibt vor, dass die Auftragsverarbeitung "auf Grundlage eines Vertrags" erfolgen muss. Kein AVV = DSGVO-Verstoß.
Rechtliche Konsequenzen ohne AVV
- Bußgelder: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes (Art. 83 DSGVO) – es gilt der höhere Betrag.
- Abmahnungen: Konkurrenten oder Verbraucherschutzverbände können dich abmahnen und Unterlassung fordern.
- Haftungsrisiko: Bei Datenpannen haftest du persönlich, wenn kein AVV vorliegt und keine TOM dokumentiert sind.
- Vertrauensverlust: Kunden erwarten DSGVO-Konformität – ein Verstoß schadet deinem Ruf.
Welche Daten verarbeitet eine Terminbuchungssoftware?
Jede Terminbuchungsplattform verarbeitet personenbezogene Daten. Typischerweise:
- Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer
- Termindetails: Datum, Uhrzeit, Dauer, Terminart
- Technische Daten: IP-Adressen, Browser-Informationen, Cookies
- Besondere Kategorien (bei Gesundheitsberufen): Gesundheitsdaten, die nach Art. 9 DSGVO besonders geschützt sind
Sobald auch nur ein Name und eine E-Mail-Adresse gespeichert werden, greift die DSGVO – und damit die AVV-Pflicht.
Pflichtinhalte eines AVV nach DSGVO Artikel 28
Artikel 28 Abs. 3 DSGVO legt genau fest, welche Inhalte ein Auftragsverarbeitungsvertrag enthalten muss. Ein AVV ist nur gültig, wenn alle Pflichtbestandteile erfüllt sind:
1. Gegenstand und Dauer der Verarbeitung
Der AVV muss klar benennen, was genau verarbeitet wird (z.B. "Verwaltung von Kundenterminen") und wie lange der Vertrag läuft (z.B. "solange das Nutzerkonto aktiv ist").
2. Art und Zweck der Verarbeitung
Welche Vorgänge finden statt? Bei Terminbuchung typischerweise: Erhebung, Speicherung, Verarbeitung, Übermittlung, Löschung von Terminanfragen. Der Zweck ist die Terminverwaltung und -koordination.
3. Art der personenbezogenen Daten
Welche konkreten Datenarten? Z.B.: Name, Vorname, E-Mail-Adresse, Telefonnummer, Termindetails, ggf. Unternehmen/Position, bei Ärzten auch Gesundheitsdaten.
4. Kategorien betroffener Personen
Um wen geht es? Bei Terminbuchung meist: (potenzielle) Kunden, Geschäftspartner, Patienten, Mandanten – je nach Geschäftsmodell.
5. Weisungsbefugnis des Verantwortlichen
Der AVV muss klarstellen, dass der Auftragsverarbeiter die Daten nur nach deinen dokumentierten Weisungen verarbeitet. Du gibst die Anweisungen, der Auftragsverarbeiter führt sie aus.
6. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich zu:
- Umsetzung technischer und organisatorischer Maßnahmen (TOM)
- Vertraulichkeitsverpflichtung aller Mitarbeiter
- Unterstützung bei Betroffenenrechten (Auskunft, Löschung, etc.)
- Meldung von Datenpannen
- Löschung oder Rückgabe der Daten nach Vertragsende
7. Technische und organisatorische Maßnahmen (TOM)
Der AVV muss die konkreten Sicherheitsmaßnahmen dokumentieren oder als Anlage beifügen. Typische TOM für Terminbuchungssoftware:
- Verschlüsselung der Datenübertragung (SSL/TLS)
- Verschlüsselung der Daten im Ruhezustand (Encryption at rest)
- Zugriffskontrolle und Berechtigungskonzepte
- Regelmäßige Backups und Wiederherstellungspläne
- Serverstandort innerhalb der EU/EWR
- ISO 27001, SOC 2, oder andere Zertifizierungen
8. Unterauftragsverarbeiter (Sub-Prozessoren)
Wenn die Terminbuchungsplattform weitere Dienstleister einbindet (z.B. Cloud-Hosting bei AWS, E-Mail-Versand über SendGrid), muss der AVV regeln:
- Liste aller Unterauftragsverarbeiter
- Dein Widerspruchsrecht bei Änderungen
- Verpflichtung, mit Unterauftragnehmern ebenfalls AVVs zu schließen
9. Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter muss dich bei der Erfüllung von Betroffenenrechten unterstützen (Auskunft, Berichtigung, Löschung, Datenportabilität). Moderne Terminbuchungssoftware sollte dir Tools dafür bieten, z.B. Export-Funktionen oder One-Click-Löschung.
Unterschied: Verantwortlicher vs. Auftragsverarbeiter
Diese Unterscheidung ist zentral für die DSGVO und den AVV:
Verantwortlicher vs. Auftragsverarbeiter: Rollen nach DSGVO
| Verantwortlicher (du) | Auftragsverarbeiter (Software) | |
|---|---|---|
Definition | Entscheidet über Zweck und Mittel der Verarbeitung | Verarbeitet Daten nur nach Weisung des Verantwortlichen |
Definition Verantwortlicher (du)Entscheidet über Zweck und Mittel der Verarbeitung Auftragsverarbeiter (Software)Verarbeitet Daten nur nach Weisung des Verantwortlichen | ||
Verantwortung | Trägt volle Verantwortung für Datenschutz | Haftet nur bei Verstoß gegen Weisungen oder DSGVO |
Verantwortung Verantwortlicher (du)Trägt volle Verantwortung für Datenschutz Auftragsverarbeiter (Software)Haftet nur bei Verstoß gegen Weisungen oder DSGVO | ||
Beispiel | Arztpraxis, Beratungsfirma, Anwaltskanzlei | Terminbuchungsplattform, CRM-System, E-Mail-Provider |
Beispiel Verantwortlicher (du)Arztpraxis, Beratungsfirma, Anwaltskanzlei Auftragsverarbeiter (Software)Terminbuchungsplattform, CRM-System, E-Mail-Provider | ||
Pflichten | Datenschutzerklärung, Rechtsgrundlage, Betroffenenrechte | Umsetzung TOM, Vertraulichkeit, Unterstützung |
Pflichten Verantwortlicher (du)Datenschutzerklärung, Rechtsgrundlage, Betroffenenrechte Auftragsverarbeiter (Software)Umsetzung TOM, Vertraulichkeit, Unterstützung | ||
Kontrolle | Muss Auftragsverarbeiter kontrollieren und prüfen | Muss Prüfrechte gewähren und nachweisen |
Kontrolle Verantwortlicher (du)Muss Auftragsverarbeiter kontrollieren und prüfen Auftragsverarbeiter (Software)Muss Prüfrechte gewähren und nachweisen | ||
⚠️ Wichtiger Grundsatz: Auch wenn du die technische Verarbeitung an einen Dienstleister auslagerst, bleibst DU als Verantwortlicher in der Pflicht. Der AVV stellt sicher, dass der Dienstleister DSGVO-konform handelt – aber die Verantwortung kannst du nicht auslagern.
Technische und organisatorische Maßnahmen (TOM) bei Terminbuchung
Die TOM (auch "TOMs" genannt) sind das Herzstück der Datensicherheit. Artikel 32 DSGVO verlangt "geeignete technische und organisatorische Maßnahmen", um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Wichtige TOM für Terminbuchungssoftware
1. Verschlüsselung
- Transport: SSL/TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen
- Speicherung: Verschlüsselung der Datenbank (Encryption at rest)
2. Zugriffskontrolle
- Rollenbasierte Zugriffsrechte (nur autorisierte Mitarbeiter)
- Zwei-Faktor-Authentifizierung (2FA)
- Protokollierung von Zugriffen (Audit Logs)
3. Verfügbarkeit und Belastbarkeit
- Regelmäßige automatisierte Backups
- Disaster Recovery Plan (Wiederherstellungspläne)
- Redundante Systeme und Failover-Mechanismen
4. Serverstandort und Drittlandtransfer
- Server in der EU/EWR (z.B. Frankfurt, Amsterdam)
- Keine Datentransfers in Drittländer (USA, China) ohne angemessene Garantien
5. Zertifizierungen und Nachweise
- ISO 27001 (Informationssicherheit)
- SOC 2 Type II (Security, Availability, Confidentiality)
- Regelmäßige Penetrationstests und Security Audits
💡 Praxis-Tipp: Fordere die TOM-Dokumentation von deinem Terminbuchungsanbieter an. Seriöse Anbieter stellen diese sofort zur Verfügung – oft als Anlage zum AVV oder im Help Center. Wenn ein Anbieter keine TOM vorweisen kann, ist das ein rotes Warnsignal.
meetergo: So stellen wir AVV-Compliance sicher
Bei meetergo nehmen wir Datenschutz ernst. Als deutsche Terminbuchungsplattform mit Sitz in Deutschland und Servern in Frankfurt bieten wir dir maximale DSGVO-Sicherheit:
✅ AVV automatisch beim Sign-up verfügbar
Du musst nicht lange suchen oder nachfragen: Der Auftragsverarbeitungsvertrag steht dir direkt nach der Registrierung im Dashboard zum Download bereit. Rechtskonform, aktuell, sofort einsetzbar.
✅ Server in Frankfurt, Deutschland
Alle Daten werden ausschließlich auf Servern in Frankfurt am Main gespeichert. Keine Server in den USA, kein Datentransfer in Drittländer, keine Zugriffsmöglichkeit für US-Behörden. 100% EU-Hosting.
✅ ISO 27001 und SOC 2 zertifiziert
Unsere TOM werden regelmäßig durch unabhängige Auditoren geprüft. ISO 27001 und SOC 2 Type II bestätigen, dass wir die höchsten Standards für Informationssicherheit erfüllen.
✅ Transparente Unterauftragsverarbeiter-Liste
Im AVV listen wir alle Subunternehmer auf (z.B. Hosting-Provider, E-Mail-Versand). Alle Subunternehmer sind EU-basiert und DSGVO-konform – mit eigenem AVV abgesichert.
✅ Verschlüsselung Ende-zu-Ende
Alle Datenübertragungen sind SSL/TLS-verschlüsselt. Unsere Videokonferenz-Lösung meetergo connect bietet sogar Ende-zu-Ende-Verschlüsselung – auch wir können deine Meetings nicht mitlesen.
✅ Unterstützung bei Betroffenenrechten
Datenexport, Löschung, Berichtigung – alles direkt im Dashboard möglich. Wenn ein Kunde Auskunft oder Löschung verlangt, kannst du das mit einem Klick erledigen.
🎯 Das Ergebnis: Du bist ab dem ersten Tag DSGVO-konform. Kein Papierkram, keine Rückfragen beim Support, kein Risiko. Der AVV ist da, die Server sind in Deutschland, die TOM sind dokumentiert – du kannst dich auf dein Geschäft konzentrieren.
Checkliste: So prüfst du deinen Terminbuchungsanbieter auf AVV-Compliance
AVV-Compliance Checkliste für Terminbuchungssoftware
Häufige Fehler bei der Auftragsverarbeitung vermeiden
❌ Fehler 1: Kein AVV abgeschlossen
Der häufigste Fehler: Du nutzt die Software, aber hast den AVV nie unterschrieben oder heruntergeladen. Das ist ein klarer DSGVO-Verstoß nach Art. 28. Aufsichtsbehörden können das prüfen und Bußgelder verhängen.
✅ Lösung: Schließe den AVV sofort ab. Bei meetergo ist er im Dashboard verfügbar – einmal runterladen, abspeichern, fertig.
❌ Fehler 2: US-Anbieter ohne angemessene Garantien
Viele beliebte Terminbuchungstools (Calendly, Acuity Scheduling) sind US-Unternehmen mit Servern in den USA. Nach dem Schrems-II-Urteil reicht der bloße Abschluss von Standardvertragsklauseln (SCC) nicht mehr aus – zusätzliche Garantien sind nötig. US-Anbieter unterliegen dem CLOUD Act, was den Datenzugriff durch US-Behörden ermöglicht.
✅ Lösung: Setze auf europäische Anbieter mit Servern in der EU. meetergo (Deutschland), Doodle (Schweiz), SimplyBook.me (EU) sind sichere Alternativen.
❌ Fehler 3: TOM nicht dokumentiert oder nicht geprüft
Der AVV allein reicht nicht. Du musst auch prüfen, ob der Anbieter angemessene TOM umsetzt. Wenn du keine TOM-Dokumentation hast, kannst du im Ernstfall nicht nachweisen, dass der Auftragsverarbeiter sicher arbeitet.
✅ Lösung: Fordere die TOM-Dokumentation aktiv an und lege sie zu deinen Datenschutzunterlagen. Prüfe stichprobenartig, ob die TOM plausibel sind.
❌ Fehler 4: Keine Kontrolle des Auftragsverarbeiters
Als Verantwortlicher bist du verpflichtet, die Einhaltung der DSGVO durch deinen Auftragsverarbeiter zu überwachen (Art. 28 Abs. 3 lit. h DSGVO). Einfach "blind vertrauen" reicht nicht.
✅ Lösung: Prüfe jährlich: Sind die Zertifizierungen noch gültig? Gab es Datenpannen? Hat sich die Unterauftragsverarbeiter-Liste geändert? Dokumentiere deine Prüfung.
❌ Fehler 5: Veralteter oder unvollständiger AVV
Manche Anbieter arbeiten noch mit veralteten Verträgen aus der Vor-DSGVO-Zeit oder lassen Pflichtinhalte weg (z.B. Unterauftragsverarbeiter-Regelung fehlt).
✅ Lösung: Prüfe den AVV anhand der 9 Pflichtinhalte aus Art. 28 Abs. 3 DSGVO (siehe Abschnitt oben). Wenn etwas fehlt, fordere eine Ergänzung oder wechsle den Anbieter.
Häufig gestellte Fragen (FAQ)
Brauche ich für jede Software einen separaten AVV?
Ja, grundsätzlich brauchst du mit jedem Dienstleister, der personenbezogene Daten in deinem Auftrag verarbeitet, einen separaten AVV. Das gilt für Terminbuchungssoftware, Newsletter-Tools, Hosting-Provider, CRM-Systeme, Analysetools, etc. Manche Anbieter bieten einen Muster-AVV an, den du einfach akzeptieren musst – das ist rechtlich ausreichend.
Wer muss den AVV unterschreiben?
Der AVV ist ein Vertrag zwischen Verantwortlichem (dir) und Auftragsverarbeiter (der Software-Anbieter). Bei Online-Diensten reicht oft die digitale Zustimmung (Checkbox beim Sign-up oder in den Einstellungen). Bei größeren Unternehmen werden AVVs manchmal auch als PDF ausgetauscht und bilateral unterschrieben. Entscheidend ist, dass beide Parteien dem AVV zustimmen – die Form (digital oder Papier) ist flexibel.
Was passiert, wenn ich keinen AVV habe?
Ohne AVV verstößt du gegen Artikel 28 DSGVO. Die möglichen Konsequenzen: Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes (es gilt der höhere Betrag), Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände, Haftung bei Datenpannen, und Vertrauensverlust bei Kunden. Datenschutzbehörden können bei Prüfungen den AVV anfordern – wenn du ihn nicht vorlegen kannst, drohen Sanktionen.
Muss der AVV schriftlich sein?
Ja, Artikel 28 Abs. 9 DSGVO verlangt, dass der AVV schriftlich abgefasst wird – "schriftlich" umfasst aber auch elektronische Formate. Ein PDF, das du digital akzeptierst oder herunterlädst, ist völlig ausreichend. Wichtig ist, dass der Vertrag dokumentiert und nachweisbar ist. Bei meetergo kannst du den AVV jederzeit als PDF downloaden und archivieren.
Kann ich einen Standard-AVV verwenden oder brauche ich individuelle Anpassungen?
Für Standard-Software (wie Terminbuchungstools) reicht in der Regel der vom Anbieter bereitgestellte Muster-AVV. Dieser deckt alle Pflichtinhalte nach Art. 28 DSGVO ab und ist rechtssicher. Individuelle Anpassungen sind meist nicht nötig. Anders sieht es aus, wenn du besondere Anforderungen hast (z.B. Gesundheitsdaten nach § 203 StGB) – dann solltest du prüfen, ob der Standard-AVV ausreicht, oder rechtliche Beratung einholen.
Wie oft muss ich den AVV aktualisieren?
Der AVV selbst muss nicht regelmäßig aktualisiert werden – solange sich die Verarbeitungstätigkeit oder die rechtlichen Rahmenbedingungen nicht ändern. Allerdings solltest du prüfen, ob der Anbieter Änderungen vornimmt (z.B. neue Unterauftragsverarbeiter, Serverstandort-Wechsel). Seriöse Anbieter informieren dich über solche Änderungen und geben dir die Möglichkeit, zu widersprechen. Auch die TOM solltest du jährlich überprüfen (z.B. im Rahmen deiner jährlichen DSGVO-Compliance-Prüfung).
Fazit: AVV ist Pflicht – aber kein Hexenwerk
Ein Auftragsverarbeitungsvertrag ist keine bürokratische Hürde, sondern ein wichtiges Instrument, um Verantwortlichkeiten klar zu regeln und deine Kunden zu schützen. Wenn du eine Terminbuchungssoftware nutzt, ist der AVV gesetzliche Pflicht nach Artikel 28 DSGVO – ohne AVV riskierst du empfindliche Bußgelder.
Die gute Nachricht: Bei seriösen Anbietern ist die AVV-Compliance einfach. Der AVV steht bereit, die TOM sind dokumentiert, der Serverstandort ist klar benannt. Du musst nur prüfen, dass alles stimmt – und kannst dann beruhigt loslegen.
Mit meetergo bekommst du DSGVO-Compliance ohne Kompromisse: AVV ab Tag 1 verfügbar, Server in Frankfurt, ISO 27001 & SOC 2 zertifiziert, transparente Unterauftragsverarbeiter, und vollständige Unterstützung bei Betroffenenrechten. So kannst du dich auf das konzentrieren, was wirklich zählt: deine Kunden und dein Business.
Bereit für DSGVO-konforme Terminbuchung? Teste meetergo kostenlos und erhalte deinen AVV automatisch beim Sign-up. Made in Germany, Server in Frankfurt, 100% DSGVO-konform.
