Zuletzt aktualisiert: 3. Juli 2026
Dieser Vertrag zur Auftragsverarbeitung ("AVV") ist der nach Artikel 28 der Datenschutz-Grundverordnung (DS-GVO) erforderliche Vertrag. Er regelt die Verarbeitung personenbezogener Daten, die Zeity in Ihrem Auftrag durchführt, wenn Sie den Dienst nutzen, um personenbezogene Daten Ihrer eigenen Kundinnen und Kunden zu erheben und zu verwalten — wobei Sie als Verantwortlicher (Auftraggeber) und Zeity als Auftragsverarbeiter (Auftragnehmer) handeln. Dieser AVV ist Bestandteil unserer Geschäftsbedingungen und ergänzt sie; hier nicht definierte Begriffe haben die Bedeutung, die ihnen in den Geschäftsbedingungen zukommt.
Dieser AVV wird geschlossen zwischen: • Ihnen — dem Kontoinhaber, der sich bei Zeity registriert hat — als 'Verantwortlichem' (Auftraggeber), der über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten Ihrer Kundinnen und Kunden entscheidet; und • Moon Regents, dem Betreiber der Zeity-Plattform ("Zeity", "wir", "uns"), als 'Auftragsverarbeiter' (Auftragnehmer), der diese personenbezogenen Daten in Ihrem Auftrag und nach Ihren Weisungen verarbeitet. Ein Zeity-Konto kann mehrere Unternehmen betreiben. Sie sichern zu, dass Sie berechtigt sind, diesen AVV abzuschließen und durch ihn gebunden zu sein, und dass Sie dies im Namen jedes Unternehmens tun, das Sie unter Ihrem Konto anlegen. Jedes dieser Unternehmen ist Verantwortlicher für die personenbezogenen Daten seiner eigenen Kundinnen und Kunden, und Sie übernehmen die Pflichten des Verantwortlichen für sie alle. Dieser AVV ist Bestandteil der Geschäftsbedingungen und ergänzt sie. Bei Widersprüchen zwischen den Geschäftsbedingungen und diesem AVV in Bezug auf die Verarbeitung der personenbezogenen Daten Ihrer Kundinnen und Kunden geht dieser AVV vor.
Sie als Verantwortlicher sind für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten Ihrer Kundinnen und Kunden sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich, einschließlich der Beantwortung ihrer Anträge gemäß dem Abschnitt 'Unterstützung des Verantwortlichen' unten. Sie sichern zu, dass Ihre Weisungen an Zeity, einschließlich Ihrer Konfiguration und Nutzung des Dienstes, der DS-GVO und anderen anwendbaren Datenschutzvorschriften entsprechen und dass Sie über eine gültige Rechtsgrundlage für die Erhebung und die Verarbeitung der personenbezogenen Daten Ihrer Kundinnen und Kunden durch Zeity verfügen. Sie müssen Zeity unverzüglich über jeden Fehler oder jede Unregelmäßigkeit informieren, die Sie im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Zeity feststellen. Soweit Sie besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO erfassen — etwa gesundheitsbezogene Angaben in den Freitextnotizen einer Kundin/eines Kunden oder Angaben, die sich aus der Art einer Terminleistung ergeben (etwa Physiotherapie, Dermatologie, Zahnmedizin, Ästhetik oder psychotherapeutische Leistungen) —, sind Sie als Verantwortlicher dafür verantwortlich, eine gültige Rechtsgrundlage nach Art. 9 Abs. 2 DS-GVO für diese Verarbeitung zu ermitteln und zu prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DS-GVO erforderlich ist. Zeity stellt die im Abschnitt 'Technische und organisatorische Maßnahmen' unten beschriebenen Maßnahmen bereit, die dem Risiko der von Ihnen beauftragten Verarbeitung angemessen sind.
Gegenstand und Art: Zeity verarbeitet die personenbezogenen Daten Ihrer Kundinnen und Kunden, um den Buchungs- und Terminverwaltungsdienst bereitzustellen — einschließlich der Erstellung und Verwaltung von Buchungen, des Versands von Terminbestätigungen und Erinnerungen, der Speicherung von Kundendaten und Notizen sowie, sofern von Ihnen aktiviert, der Abwicklung von Vorauszahlungen. Zweck: Die Verarbeitung erfolgt ausschließlich zur Bereitstellung des Dienstes für Sie und nach Ihren Weisungen und nicht zu eigenen Zwecken von Zeity (etwa zu eigenen Auswertungen, zur Qualitätssicherung oder zur Produktoptimierung unter Verwendung der Daten Ihrer Kundinnen und Kunden). Dauer: Dieser AVV gilt so lange, wie Zeity personenbezogene Daten Ihrer Kundinnen und Kunden in Ihrem Auftrag verarbeitet, einschließlich in Backups, und dauert an, bis diese Daten gemäß dem Abschnitt 'Löschung oder Rückgabe' gelöscht oder zurückgegeben wurden. Vorrang: Soweit sich aus anderen Vereinbarungen zwischen Ihnen und Zeity anderweitige Abreden zum Schutz personenbezogener Daten ergeben, gilt dieser AVV vorrangig, es sei denn, die Parteien vereinbaren ausdrücklich etwas anderes.
Verarbeitete Kategorien personenbezogener Daten: • Personenstammdaten — Name der Kundin/des Kunden • Kommunikationsdaten — E-Mail-Adresse und, sofern angegeben, Telefonnummer • Kundenhistorie — Buchungs- und Terminhistorie sowie die Notizen, die Sie zu einer Kundin/einem Kunden erfassen • Vertragsabrechnungs- und Zahlungsdaten — sofern Sie Online-Zahlungen aktivieren, Transaktions- und Zahlungsstatus-Metadaten, die über unseren Zahlungsdienstleister (Stripe) verarbeitet werden; Zeity speichert keine vollständigen Kartendaten Kategorien betroffener Personen: • Ihre Kunden — sowie gegebenenfalls Interessenten —, die über Ihre Buchungsseite Termine buchen oder für die Termine gebucht werden. Besondere Kategorien personenbezogener Daten (Art. 9 DS-GVO) werden vom Dienst nicht gezielt abgefragt, können jedoch innerhalb der vorstehenden Kategorien inzidentell auftreten — etwa gesundheitsbezogene Angaben in Freitextnotizen einer Kundin/eines Kunden oder Angaben, die sich aus der Art einer Terminleistung ergeben. Zur Verantwortungsverteilung für solche Daten siehe 'Pflichten des Verantwortlichen' oben.
Zeity verarbeitet die personenbezogenen Daten Ihrer Kundinnen und Kunden ausschließlich auf Ihre dokumentierte Weisung im Sinne von Artikel 28 Abs. 3 lit. a DS-GVO, es sei denn, Zeity ist durch das Recht der Union oder der Mitgliedstaaten, dem Zeity unterliegt, zu einer anderen Verarbeitung verpflichtet; in diesem Fall teilt Zeity Ihnen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die anfänglichen Weisungen werden durch diesen AVV, die Geschäftsbedingungen sowie Ihre Konfiguration und Nutzung des Dienstes festgelegt. Mündliche Weisungen bestätigen Sie unverzüglich mindestens in Textform. Zeity informiert Sie unverzüglich, wenn eine Weisung nach Auffassung von Zeity gegen die DS-GVO oder andere anwendbare Datenschutzvorschriften verstößt, und ist berechtigt, die Durchführung dieser Weisung auszusetzen, bis Sie sie bestätigen oder ändern. Übermittlungen personenbezogener Daten in ein Drittland erfolgen nur auf Ihre dokumentierte Weisung oder soweit gesetzlich vorgeschrieben. Eine rechtliche Verpflichtung eines Drittlands allein legitimiert eine solche Übermittlung nicht (Artikel 48 DS-GVO). Siehe den Abschnitt 'Internationale Datenübermittlungen'.
Zeity gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben (Artikel 28 Abs. 3 lit. b, 29 und 32 Abs. 4 DS-GVO) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht wurden. Diese Personen verarbeiten die personenbezogenen Daten nur auf Ihre Weisung, es sei denn, sie sind gesetzlich zu einer anderen Verarbeitung verpflichtet. Diese Verpflichtung besteht auch nach Beendigung ihrer Tätigkeit fort.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und des Risikos für die Rechte und Freiheiten betroffener Personen trifft Zeity alle erforderlichen technischen und organisatorischen Maßnahmen nach Artikel 32 DS-GVO, soweit einschlägig insbesondere: • Pseudonymisierung und Verschlüsselung personenbezogener Daten (Verschlüsselung bei der Übertragung über HTTPS/TLS und Verschlüsselung gespeicherter Daten) • Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Wiederherstellbarkeit, Backups) • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen • Identifizierung und Authentifizierung von Nutzern sowie Zugriffskontrollen, die den Zugriff auf personenbezogene Daten auf befugte Personen nach dem Grundsatz der Erforderlichkeit beschränken • Maßnahmen zum Schutz personenbezogener Daten bei der Übertragung • Maßnahmen zum Schutz personenbezogener Daten bei ihrer Speicherung • physische Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden • Ereignisprotokollierung (zum Beispiel bei der Authentifizierung sowie bei Dateneingabe, -veränderung oder -löschung) Diese Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung; Zeity darf alternative, adäquate Maßnahmen umsetzen, sofern das vereinbarte Sicherheitsniveau nicht unterschritten wird, und setzt Sie über wesentliche Änderungen unverzüglich in Kenntnis.
Sie erteilen Zeity die allgemeine schriftliche Genehmigung, zur Erbringung des Dienstes Unterauftragsverarbeiter (weitere Auftragsverarbeiter) einzusetzen. Zeity setzt derzeit die folgenden Unterauftragsverarbeiter ein: • Supabase, Inc. — Datenbank und Hosting Ihrer Kunden- und Termindaten — Auftragsverarbeiter — gehostet in der EU (Stockholm); gelegentliche Support-Zugriffe sind durch den AVV von Supabase und die EU-Standardvertragsklauseln abgedeckt. • Resend (Plus Five Five, Inc.) — transaktionale E-Mails und Buchungs-E-Mails an Ihre Kundinnen und Kunden — Auftragsverarbeiter — Vereinigte Staaten; EU-US-Datenschutzrahmen (Data Privacy Framework, vorrangig) mit den EU-Standardvertragsklauseln, Modul 2 (Verantwortlicher-zu-Auftragsverarbeiter), hilfsweise als Garantie (Rückfalloption). • Stripe Payments Europe, Ltd. (Irland), zusammen mit Stripe, LLC (Vereinigte Staaten) — Zahlungsabwicklung — Stripe handelt als Auftragsverarbeiter für die von Ihnen beauftragte Zahlungsabwicklung und darüber hinaus als unabhängiger Verantwortlicher für eigene Zwecke der Geldwäscheprävention, der Bekämpfung von Finanzkriminalität und der Betrugsprävention — Übermittlung in die Vereinigten Staaten auf Grundlage des EU-US-Datenschutzrahmens (vorrangig), mit den EU-Standardvertragsklauseln, Module 1 und 2, hilfsweise als Garantie (Rückfalloption), zusammen mit ergänzenden Maßnahmen (Verschlüsselung bei der Übertragung und im Ruhezustand). • Vercel, Inc. (Vereinigte Staaten) — Anwendungshosting und Auslieferung von Inhalten — Auftragsverarbeiter für Ihre Daten (und Verantwortlicher für eigene aggregierte Dienst- und Nutzungsdaten) — die Rechenverarbeitung erfolgt in der EU (Frankfurt), mit verbleibender Verarbeitung in den Vereinigten Staaten (globales Edge-Netzwerk, Sicherungskopien) auf Grundlage des EU-US-Datenschutzrahmens (vorrangig), mit den EU-Standardvertragsklauseln, Modul 2, hilfsweise als Garantie (Rückfalloption). • Better Stack (Better Stack s.r.o., Tschechische Republik) — Produktionsprotokollierung (mit Maskierung personenbezogener Daten) — Auftragsverarbeiter — gehostet in der EU (Nürnberg); keine Drittlandübermittlung. Zeity erlegt jedem Unterauftragsverarbeiter vertraglich und nach Maßgabe des Artikels 28 Abs. 2–4 DS-GVO Datenschutzpflichten auf, die denen dieses AVV entsprechen, und bleibt Ihnen gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters uneingeschränkt verantwortlich. Zeity kontrolliert die Einhaltung der technischen und organisatorischen Maßnahmen bei jedem Unterauftragsverarbeiter vor Beginn der Verarbeitung und danach regelmäßig und stellt Ihnen die Kontrollergebnisse auf Anfrage zur Verfügung. Zeity stellt sicher, dass Sie Ihre Rechte aus diesem AVV — insbesondere Ihre Kontrollrechte — auch unmittelbar gegenüber den Unterauftragsverarbeitern wahrnehmen können. Zeity zeigt Ihnen jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters mindestens 30 Tage im Voraus in Textform an und gibt Ihnen die Möglichkeit, vor der Übergabe der Daten Ihrer Kundinnen und Kunden Einspruch zu erheben. Erheben Sie vor der Übergabe der Daten aus berechtigten Datenschutzgründen Einspruch, können Sie den betroffenen Teil des Dienstes kündigen. Eine weitere Unterbeauftragung durch einen Unterauftragsverarbeiter bedarf der vorherigen Zustimmung von Zeity; sämtliche Datenschutzpflichten dieses AVV werden entlang der Vertragskette auferlegt. Sie können die aktuelle Liste der Unterauftragsverarbeiter jederzeit anfordern.
Zeity meldet Ihnen unverzüglich, nachdem Zeity von einer Verletzung des Schutzes personenbezogener Daten Ihrer Kundinnen und Kunden Kenntnis erlangt hat, damit Sie Ihren eigenen Pflichten nach den Artikeln 33 und 34 DS-GVO nachkommen können. Die Meldung enthält, soweit verfügbar, die Art der Verletzung, ihre wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zu ihrer Behebung. Zeity fertigt über den Vorgang eine Dokumentation an und stellt Ihnen diese für weitere Maßnahmen zur Verfügung.
Unter Berücksichtigung der Art der Verarbeitung und der Zeity zur Verfügung stehenden Informationen unterstützt Zeity Sie nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung Ihrer Pflicht, Anträge betroffener Personen auf Wahrnehmung ihrer Rechte nach Kapitel III DS-GVO (etwa Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit) zu beantworten. Zeity beantwortet solche Anträge nicht selbst, sondern leitet sie unverzüglich an Sie weiter und handelt in Bezug auf die Daten nur auf Ihre dokumentierte Weisung. Zeity unterstützt Sie außerdem bei der Einhaltung Ihrer Pflichten nach den Artikeln 32 bis 36 DS-GVO — Sicherheit der Verarbeitung, Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen, Datenschutz-Folgenabschätzung und vorherige Konsultation. Auf Anfrage arbeitet Zeity mit der Aufsichtsbehörde zusammen (Artikel 31 DS-GVO) und informiert Sie unverzüglich über Kontrollhandlungen oder Maßnahmen einer Aufsichtsbehörde, soweit sie sich auf diese Verarbeitung beziehen.
Nach Beendigung der Verarbeitung löscht oder übergibt Zeity nach Ihrer Wahl alle personenbezogenen Daten Ihrer Kundinnen und Kunden und löscht vorhandene Kopien, sofern nicht das Recht der Union oder der Mitgliedstaaten eine weitere Speicherung vorschreibt. Kopien oder Duplikate werden ohne Ihr Wissen nicht erstellt; hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind (etwa nach deutschem Steuerrecht). Die Rückgabe wird über den Datenexport unterstützt (der Ihre Daten in einem strukturierten, maschinenlesbaren Format bereitstellt); die Löschung wird über den Datenlöschungsvorgang unterstützt. Ein Protokoll der Löschung wird auf Anforderung vorgelegt. Zeity darf Dokumentation aufbewahren, die dem Nachweis einer ordnungsgemäßen Verarbeitung dient.
Sie haben das Recht, im Benehmen mit Zeity Überprüfungen — einschließlich Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind — durchzuführen oder durch von Ihnen beauftragte Prüfer durchführen zu lassen, während der üblichen Geschäftszeiten und ohne den Betrieb von Zeity unverhältnismäßig zu beeinträchtigen. Zeity stellt Ihnen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung des Artikels 28 DS-GVO und dieses AVV erforderlich sind, und weist insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nach. Der Nachweis der technischen und organisatorischen Maßnahmen kann auch durch die Einhaltung genehmigter Verhaltensregeln (Artikel 40 DS-GVO), eine Zertifizierung nach einem genehmigten Zertifizierungsverfahren (Artikel 42 DS-GVO) oder aktuelle Testate oder Berichte unabhängiger Instanzen (zum Beispiel Wirtschaftsprüfer, interne Revision oder Datenschutzauditoren) erfolgen. Ein solcher Nachweis lässt Ihre übrigen Kontrollrechte unberührt. Sie können die aktuelle Liste der Unterauftragsverarbeiter jederzeit anfordern.
Einige Unterauftragsverarbeiter verarbeiten personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR). Soweit die Verarbeitung innerhalb des EWR stattfindet — unsere Datenbank (Stockholm), die Protokollierung (Nürnberg) und die Anwendungsverarbeitung (Frankfurt) — findet im regulären Verarbeitungsablauf keine Drittlandübermittlung statt; gleichwohl kann bei im EWR gehosteten Unterauftragsverarbeitern gelegentlich ein anlassbezogener Support-Zugriff von außerhalb des EWR erfolgen, der durch die EU-Standardvertragsklauseln abgedeckt ist. Soweit personenbezogene Daten in die Vereinigten Staaten übermittelt werden (Resend; Stripe; sowie das globale Edge-Netzwerk und die Sicherungskopien von Vercel), stützt sich die Übermittlung vorrangig auf die Zertifizierung des Empfängers nach dem EU-US-Datenschutzrahmen (Data Privacy Framework, ein Angemessenheitsbeschluss der EU), wobei die EU-Standardvertragsklauseln hilfsweise als Garantie (Rückfalloption) einbezogen werden, zusammen mit ergänzenden technischen Maßnahmen wie Verschlüsselung. Da der Angemessenheitsbeschluss zum EU-US-Datenschutzrahmen derzeit Gegenstand einer gerichtlichen Anfechtung ist, werden die EU-Standardvertragsklauseln hilfsweise als Garantie (Rückfalloption) beibehalten; für diese Übermittlungen in die Vereinigten Staaten ist die irische Datenschutzbehörde (Irish Data Protection Commission) die zuständige Aufsichtsbehörde, und die SCC-Bestandteile der Verträge mit Stripe, Vercel und Resend unterliegen irischem Recht. Beispielsweise unterliegt der Auftragsverarbeitungsvertrag von Vercel insgesamt dem Recht des US-Bundesstaats Kalifornien; nur der darin einbezogene SCC-Bestandteil unterliegt irischem Recht. Eine Übermittlung erfolgt nur auf Ihre dokumentierte Weisung oder soweit gesetzlich vorgeschrieben; eine rechtliche Verpflichtung eines Drittlands allein legitimiert eine Übermittlung nicht (Artikel 48 DS-GVO). Zeity führt eine Transfer-Folgenabschätzung, die diese Übermittlungen abdeckt.
Jede Partei haftet für die Einhaltung der Pflichten, die ihr nach der DS-GVO und diesem AVV obliegen. Im Verhältnis zwischen den Parteien richtet sich die Haftung nach den Geschäftsbedingungen, einschließlich der dort festgelegten Haftungsbeschränkungen. Nichts in diesem AVV oder den Geschäftsbedingungen beschränkt oder schließt die Haftung einer Partei gegenüber betroffenen Personen nach Artikel 82 DS-GVO oder eine sonstige Haftung aus, die nach anwendbarem Recht nicht beschränkt oder ausgeschlossen werden kann.
Zeity kann diesen AVV von Zeit zu Zeit aktualisieren, etwa um einen Unterauftragsverarbeiter aufzunehmen, neue Funktionen abzubilden oder rechtliche Anforderungen zu erfüllen. Jede Fassung trägt ein Datum 'Zuletzt aktualisiert' und wird dokumentiert, sodass die jeweils geltende Fassung festgestellt werden kann. Würde eine Änderung den Schutz der personenbezogenen Daten Ihrer Kundinnen und Kunden wesentlich verringern, holen wir Ihre Zustimmung zu dieser Änderung ein und stützen uns nicht allein auf eine Mitteilung. Andere Änderungen treten zu dem angegebenen Datum in Kraft; Ihre fortgesetzte Nutzung des Dienstes nach diesem Datum gilt als Annahme.
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland, unbeschadet zwingender datenschutzrechtlicher Vorschriften, die unabhängig von der Rechtswahl gelten. Dieser AVV wird in deutscher, englischer und türkischer Sprache bereitgestellt. Die deutsche Fassung ist maßgeblich; Fassungen in anderen Sprachen dienen ausschließlich als Übersetzung zur Erleichterung und begründen keine eigenständigen Rechte oder Pflichten. Bei Widersprüchen zwischen den Sprachfassungen geht die deutsche Fassung vor.
Bei Fragen zu diesem Vertrag zur Auftragsverarbeitung oder zu Datenschutzangelegenheiten im Zusammenhang mit der Verarbeitung durch Zeity in Ihrem Auftrag wenden Sie sich an: Moon Regents Antoniusplatz 1 47805 Krefeld Deutschland E-Mail: info@zeity.me Telefon: +49 163 8635043 Wir beantworten alle Anfragen innerhalb von 30 Tagen.