Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO für die Plattform Alooa.app
§ 1 Vertragsparteien und Gegenstand
Verantwortlicher: Der registrierte Gastgeber (Kunde) der Plattform Alooa.app.
Auftragsverarbeiter: Markus Jakob, Arnoldystr. 60, 52156 Monschau, E-Mail: alooa-datenschutz@jakobnet.de
Dieser AVV ergänzt die AGB und die Nutzungsbedingungen.
§ 2 Gegenstand und Dauer
Gegenstand: Bereitstellung von Alooa.app (Check-in, Übernachtungsabgabe, Dokumentenvordrucke, E-Mail-Versand, vorübergehende Archivierung). Dauer: Laufzeit des Hauptvertrages.
§ 3 Art der personenbezogenen Daten
| Datenkategorie | Daten |
|---|---|
| Stammdaten Gast | Vorname, Nachname |
| Adressdaten | Straße, PLZ, Ort, Land/Staatsangehörigkeit |
| Buchungsdaten | Anreise, Abreise, Erwachsene/Kinder, Property, Unit |
| Übernachtungsabgabe | Dienstreise, Befreiungsgründe, Anzahl befreiter Personen |
| Digitale Unterschrift | Signatur-Bild (nur auf Selbstauskunft, nicht auf Meldeschein) |
| Kontaktdaten | E-Mail-Adresse (sofern hinterlegt) |
| Meldescheindaten | Ausweisart, -nummer, Behörde (nur nicht-deutsche Gäste) |
| Technische Daten | IP-Adresse, Zeitstempel, Browser-Typ |
Betroffene Personen: Gäste des Verantwortlichen und Begleitpersonen.
§ 4 Weisungsbindung
Verarbeitung nur auf dokumentierte Weisung. Weisungen per E-Mail an alooa-datenschutz@jakobnet.de.
§ 5 Vertraulichkeit
Alle befassten Personen zur Vertraulichkeit verpflichtet. Besteht auch nach Vertragsende fort.
§ 6 Technische und organisatorische Maßnahmen (TOM)
Vertraulichkeit
- Zutrittskontrolle: IONOS SE, zertifizierte Rechenzentren in Deutschland
- Zugangskontrolle: SSH-Key, Firewall
- Zugriffskontrolle: Multi-Tenant, Mandantentrennung durch Tenant-ID
Integrität
- Weitergabekontrolle: HTTPS/TLS, Mailgun EU mit TLS
- Eingabekontrolle: Protokollierung aller Check-in-Vorgänge
Verfügbarkeit
- Regelmäßige automatische Backups
- Dokumentierte Restore-Prozeduren
§ 7 Unterauftragsverarbeiter
| Unternehmen | Leistung | Standort | AVV |
|---|---|---|---|
| IONOS SE | Hosting, Server, Datenbank | Deutschland | Ja |
| Sinch Email (Mailgun) | E-Mail-Versand | EU | Ja |
| Stripe, Inc. | Zahlungsabwicklung | EU/USA (SCCs) | Ja (DPA) |
Widerspruch gegen neue Unterauftragsverarbeiter innerhalb von 14 Tagen möglich.
§ 8 Betroffenenrechte
Unterstützung bei Art. 12-23 DSGVO. Direktanfragen werden weitergeleitet.
§ 9 Datenpannen
Meldung innerhalb 24 Stunden: Art der Verletzung, betroffene Personen, Folgen, Maßnahmen.
§ 10 Löschung und Rückgabe von Daten
Löschfristen:
- Meldeschein-Vordrucke: 6 Wochen nach Erstellung
- Rechnungen und Selbstauskünfte: 18 Monate nach Erstellung
- Gästedaten: 18 Monate nach Abreisedatum
- Alle Daten nach Vertragsende: 30 Tage
Dokumente werden vor Löschung per E-Mail übermittelt und im Dashboard bereitgestellt. Der Verantwortliche archiviert eigenverantwortlich. Gesetzliche Aufbewahrungsfristen (Meldeschein: 12 Monate nach Abreise, steuerrechtlich: bis 10 Jahre) sind vom Verantwortlichen einzuhalten.
Datenexport (CSV/JSON) innerhalb 30 Tagen nach Vertragsende auf Anfrage.
§ 11 Kontrollrechte
Inspektionen mit 14 Tagen Vorankündigung. Kosten trägt der Verantwortliche.
§ 12 Drittlandtransfers
Grundsätzlich Deutschland/EU. Für Stripe/USA: Standardvertragsklauseln (SCCs).
§ 13 Haftung
Nach Art. 82 DSGVO. Im Innenverhältnis: jede Partei für ihre Pflichtverletzung.
§ 14 Laufzeit
Gilt für die Dauer des Hauptvertrages. Löschung, Vertraulichkeit und Haftung wirken fort.
§ 15 Schlussbestimmungen
Vorrang dieses AVV in datenschutzrechtlichen Fragen. Schriftformerfordernis. Deutsches Recht.
Stand: April 2026