Alooa Logo Alooa.app Zurück
Datenschutz Impressum

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO für die Plattform Alooa.app

Auftragsverarbeitungsvertrag (AVV)

Stand: Mai 2026

§ 1 Vertragsparteien und Gegenstand

Verantwortlicher: Der registrierte Gastgeber (Kunde) der Plattform Alooa.app.

Auftragsverarbeiter: Markus Jakob, Arnoldystr. 60, 52156 Monschau, E-Mail: [email protected]

Dieser Auftragsverarbeitungsvertrag („AVV“) ergänzt die Allgemeinen Geschäftsbedingungen (AGB) sowie die Datenschutzerklärung von Alooa.app.

§ 2 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung der Plattform Alooa.app zur digitalen Gästeverwaltung, Erstellung von Dokumentenvorlagen, Durchführung von Online-Check-ins, Unterstützung bei der Berechnung kommunaler Übernachtungsabgaben, Versand automatisierter E-Mails sowie vorübergehender Archivierung von Dokumenten.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages zwischen den Parteien.

§ 3 Art der personenbezogenen Daten und betroffene Personen

Datenkategorie Verarbeitete Daten
Stammdaten Gast Vorname, Nachname
Adressdaten Straße, PLZ, Ort, Land/Staatsangehörigkeit
Buchungsdaten Anreise, Abreise, Erwachsene/Kinder, Unterkunft, Einheit
Übernachtungsabgabe Dienstreise, Befreiungsgründe, Anzahl befreiter Personen
Elektronisch erfasste Unterschrift Vom Gast elektronisch eingegebene Unterschrift auf Selbstauskünften
Kontaktdaten E-Mail-Adresse (sofern hinterlegt)
Meldescheindaten Ausweisart, Ausweisnummer, ausstellende Behörde (nur nicht-deutsche Gäste)
Technische Daten IP-Adresse, Zeitstempel, Browser-Typ

Betroffene Personen sind Gäste des Verantwortlichen sowie deren Begleitpersonen.

Eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist grundsätzlich nicht vorgesehen und durch den Verantwortlichen nach Möglichkeit zu vermeiden.

§ 4 Weisungsbindung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Weisungen erfolgen per E-Mail an [email protected].

(3) Sofern der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, informiert er den Verantwortlichen unverzüglich.

§ 5 Vertraulichkeit

(1) Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung personenbezogener Daten befassten Personen auf Vertraulichkeit.

(2) Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung dieses Vertrages fort.

§ 6 Technische und organisatorische Maßnahmen (TOM)

Vertraulichkeit

  1. Zutrittskontrolle: Hosting in zertifizierten Rechenzentren der IONOS SE in Deutschland
  2. Zugangskontrolle: Zugriff auf Server und Administrationssysteme ausschließlich über abgesicherte Authentifizierungsverfahren, SSH-Keys und Firewall-Regeln
  3. Zugriffskontrolle: Logische Mandantentrennung auf Anwendungsebene mittels Tenant-ID und Zugriffskontrollen

Integrität

  1. Weitergabekontrolle: Datenübertragung ausschließlich verschlüsselt über HTTPS/TLS; E-Mail-Kommunikation über TLS-fähige Provider
  2. Eingabekontrolle: Protokollierung relevanter Check-in- und Verarbeitungsvorgänge

Verfügbarkeit und Belastbarkeit

  1. Regelmäßige automatische Datensicherungen
  2. Dokumentierte Restore-Prozeduren
  3. Technische Maßnahmen zur Wiederherstellung der Verfügbarkeit personenbezogener Daten

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

§ 7 Unterauftragsverarbeiter

Unternehmen Leistung Standort Vertragliche Absicherung
IONOS SE Hosting, Server, Datenbank, Storage Deutschland AVV
Sinch Email (Mailgun) E-Mail-Versand EU-Region konfiguriert AVV / SCCs soweit erforderlich

(1) Der Verantwortliche stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen oder neue Unterauftragsverarbeiter.

(3) Der Verantwortliche kann innerhalb von 14 Tagen nach Mitteilung aus wichtigem datenschutzrechtlichem Grund widersprechen.

Zahlungsdaten werden über Stripe verarbeitet. Stripe handelt insoweit als eigenständig datenschutzrechtlich Verantwortlicher.

Soweit erforderlich erfolgen Datenübermittlungen in Drittländer auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.

§ 8 Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten gemäß Art. 12 bis 23 DSGVO.

(2) Direkt beim Auftragsverarbeiter eingehende Anfragen betroffener Personen werden unverzüglich an den Verantwortlichen weitergeleitet.

§ 9 Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

(2) Die Meldung enthält, soweit möglich:

  1. Art der Datenschutzverletzung
  2. betroffene Datenkategorien
  3. mögliche Folgen
  4. bereits ergriffene oder vorgeschlagene Gegenmaßnahmen

Datenschutzvorfälle können an [email protected] gemeldet werden.

§ 10 Löschung und Rückgabe von Daten

Löschfristen:

  1. Meldeschein-Vordrucke: 6 Wochen nach Erstellung
  2. Rechnungen und Selbstauskünfte: 18 Monate nach Erstellung
  3. Gästedaten: 18 Monate nach Abreisedatum
  4. Daten nach Vertragsende: maximal 30 Tage, sofern keine sofortige Löschung durch den Verantwortlichen ausgelöst wird

Vor der Löschung von Daten wird der Verantwortliche innerhalb der Plattform auf bestehende Export- und Downloadmöglichkeiten hingewiesen.

Der Verantwortliche kann verfügbare Dokumente und Daten eigenständig herunterladen oder sich – soweit technisch vorgesehen – per E-Mail zusenden lassen.

Der Verantwortliche ist selbst dafür verantwortlich zu prüfen, welche Daten, Dokumente oder steuerlich relevanten Unterlagen vor der Löschung gesichert oder archiviert werden müssen.

Der Auftragsverarbeiter übernimmt keine Verantwortung für nicht exportierte oder nicht gesicherte Daten nach Abschluss der Löschung.

Gesetzliche Aufbewahrungspflichten, insbesondere nach Melderecht oder Steuerrecht, sind durch den Verantwortlichen eigenständig einzuhalten.

Der Verantwortliche kann personenbezogene Daten und das Nutzerkonto jederzeit selbstständig über die Plattform löschen.

Nach Auslösung der Löschung wird der Zugriff auf das Nutzerkonto unmittelbar deaktiviert. Ein Login ist anschließend nicht mehr möglich.

Die Daten werden für den Verantwortlichen und betroffene Personen unmittelbar unzugänglich gemacht und aus den aktiven Systemen entfernt.

Die Plattform zeigt dem Verantwortlichen den Fortschritt der Löschung transparent an.

Technische Versionierung: Aus Sicherheitsgründen und zum Schutz vor versehentlichen Datenmanipulationen durch Software- oder Bedienfehler können Schreib- und Löschvorgänge im Object-Storage-Backend technisch versioniert werden.

Die endgültige Entfernung aus technischen Sicherungs- und Versionierungssystemen kann bis zu 30 Tage dauern. Während dieses Zeitraums sind die Daten jedoch nicht mehr produktiv nutzbar oder zugänglich.

§ 11 Kontrollrechte

(1) Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV sowie der gesetzlichen Datenschutzanforderungen zu kontrollieren.

(2) Kontrollen sind mit angemessener Vorankündigung von mindestens 14 Tagen durchzuführen.

(3) Kontrollen dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.

(4) Sofern kein konkreter Anlass besteht, sollen Vor-Ort-Kontrollen nicht häufiger als einmal jährlich erfolgen.

(5) Die Kosten der Kontrolle trägt der Verantwortliche.

§ 12 Drittlandtransfers

(1) Die Datenverarbeitung erfolgt grundsätzlich innerhalb Deutschlands oder der Europäischen Union.

(2) Soweit Drittlandübermittlungen erforderlich sind, erfolgen diese ausschließlich unter Einhaltung der gesetzlichen Anforderungen der Art. 44 ff. DSGVO.

(3) Sofern erforderlich, werden Standardvertragsklauseln (SCCs) oder vergleichbare geeignete Garantien verwendet.

§ 13 Haftung

Die Haftung richtet sich nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für die von ihr zu vertretenden Datenschutzverstöße.

§ 14 Laufzeit

(1) Dieser AVV gilt für die Dauer des Hauptvertrages.

(2) Verpflichtungen zur Löschung, Vertraulichkeit und datenschutzrechtlichen Haftung wirken über das Vertragsende hinaus fort.

§ 15 Schlussbestimmungen

(1) Dieser AVV hat Vorrang vor entgegenstehenden Regelungen der AGB, soweit datenschutzrechtliche Fragen betroffen sind.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(3) Es gilt deutsches Recht.

Stand: Mai 2026 (Version 1.0)