DSGVO-Dokumentation
Letzte Aktualisierung: 24. März 2026 (v2.0)
Diese Seite enthält wesentliche Dokumente zum Schutz personenbezogener Daten im System Resovu gemäß der EU-Verordnung 2016/679 (DSGVO), gültig in der gesamten EU und im EWR, einschließlich der jeweiligen nationalen Datenschutzgesetze.
Resovu hält die nationalen Datenschutzvorschriften in allen Ländern ein, in denen es tätig ist: Gesetz Nr. 110/2019 Sb. (Tschechien), Gesetz Nr. 18/2018 Z.z. (Slowakei), Bundesdatenschutzgesetz — BDSG (Deutschland), Gesetz zum Schutz personenbezogener Daten (Polen), Gesetz über die informationelle Selbstbestimmung — DSGVO-Anpassung (Ungarn), Ley Orgánica de Protección de Datos — LOPDGDD (Spanien), Personopplysningsloven (Norwegen), Loi Informatique et Libertés (Frankreich).
1. Auftragsverarbeitungsvertrag (AVV)
1.1 Vertragsparteien
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV”) wird geschlossen zwischen dem Unternehmen, das das System Resovu nutzt (nachfolgend „Verantwortlicher”), und Lubomír Unar, ID 05000386 (nachfolgend „Auftragsverarbeiter”). Der AVV ist integraler Bestandteil der Nutzungsbedingungen von Resovu.
1.2 Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten der Kunden des Verantwortlichen zum Zweck der Bereitstellung des Buchungssystems. Die Verarbeitung erfolgt für die Dauer des Dienstleistungsvertrags. Kategorien betroffener Personen: Kunden des Verantwortlichen, die Buchungen vornehmen. Datenkategorien: Name, Nachname, E-Mail, Telefon, Buchungsdaten, optionale benutzerdefinierte Felder.
1.3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich: personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen zu verarbeiten; sicherzustellen, dass sich zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichten; alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen; die Bedingungen für die Einbeziehung von Unterauftragsverarbeitern einzuhalten; den Verantwortlichen bei der Erfüllung der Pflichten gemäß Art. 32 bis 36 DSGVO zu unterstützen; nach Beendigung des Vertrags alle personenbezogenen Daten zu löschen oder zurückzugeben; dem Verantwortlichen alle zum Nachweis der Pflichtenerfüllung erforderlichen Informationen bereitzustellen.
1.4 Weisungen des Verantwortlichen
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Weisung zur Verarbeitung personenbezogener Daten im für die Erbringung des Resovu-Dienstes erforderlichen Umfang. Der Verantwortliche kann weitere Weisungen über die Einstellungen in der Systemverwaltung erteilen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO verstößt.
1.5 Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Einbeziehung der im Abschnitt Liste der Unterauftragsverarbeiter aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb von 30 Tagen Einspruch gegen Änderungen erheben.
1.6 Sicherheitsmaßnahmen
Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen: AES-256-GCM-Verschlüsselung für sensible Felder; HTTPS/TLS für jegliche Datenübertragung; Mandantendatenisolierung mittels Row Level Security; rollenbasierte Zugriffskontrolle (RBAC); Hashing von IP-Adressen; automatische Löschung personenbezogener Daten nach Ablauf der Aufbewahrungsfrist; Sicherheitsheader (CSP, HSTS, X-Frame-Options); Ratenbegrenzung zum Schutz vor Missbrauch.
1.7 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden, spätestens innerhalb von 48 Stunden. Die Meldung enthält: eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Anzahl betroffener Personen, die wahrscheinlichen Folgen und die ergriffenen Maßnahmen.
1.8 Unterstützung bei der Ausübung von Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Pflicht, auf Anträge betroffener Personen zur Ausübung ihrer Rechte gemäß Kapitel III DSGVO zu reagieren. Das System ermöglicht: Export von Kundendaten (Art. 20), Anonymisierung/Löschung von Daten (Art. 17), Übersicht der verarbeiteten Daten (Art. 15).
1.9 Audit
Der Auftragsverarbeiter ermöglicht und unterstützt Audits und Kontrollen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer. Der Auftragsverarbeiter stellt dem Verantwortlichen alle zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten erforderlichen Informationen bereit. Ein Audit kann einmal jährlich mit einer Vorlaufzeit von 30 Tagen durchgeführt werden.
1.10 Verarbeitungsdauer und Löschung
Nach Beendigung der Dienstleistung löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern EU- oder mitgliedstaatliches Recht keine Aufbewahrung erfordert. Der Verantwortliche kann vor Beendigung alle Daten über die DSGVO-Exportfunktion in der Systemverwaltung exportieren.
2. Verzeichnis der Verarbeitungstätigkeiten (VVT)
Aufzeichnungen gemäß Art. 30 DSGVO über Verarbeitungstätigkeiten im System Resovu.
| Verarbeitungszweck | Rechtsgrundlage | Datenkategorien | Betroffenenkategorien | Aufbewahrungsfrist |
|---|---|---|---|---|
| Buchungsverwaltung | Art. 6(1)(b) — Vertragserfüllung | Name, E-Mail, Telefon, Buchungsdatum, Anmerkung | Kunden, die Buchungen vornehmen | Konfigurierbar (Standard 365 Tage) |
| Kommunikation (Bestätigungen, Erinnerungen) | Art. 6(1)(b) — Vertragserfüllung | Name, E-Mail, Telefon, Buchungsdetails | Kunden mit aktiver Buchung | Gemäß Aufbewahrungsfrist der Buchungen |
| Zahlungsabwicklung | Art. 6(1)(b) — Vertragserfüllung | Zahlungsdaten (verarbeitet von Stripe, nie in Resovu gespeichert) | Kunden, die Online-Zahlungen vornehmen | Gemäß Stripe-Bedingungen |
| Marketing (mit Einwilligung) | Art. 6(1)(a) — Einwilligung | Name, E-Mail | Kunden, die Marketing-Einwilligung erteilt haben | Bis zum Widerruf der Einwilligung |
| Sicherheit und Missbrauchsschutz | Art. 6(1)(f) — berechtigtes Interesse | IP-Adresse, User-Agent (voruebergehend fuer Rate Limiting) | Alle Systemnutzer | Gemäß Aufbewahrungsfrist des Audit-Logs |
| Buchhaltung und Rechnungsstellung | Art. 6(1)(c) — rechtliche Verpflichtung | Firmenname, Handelsregisternummer, USt-IdNr., E-Mail, Adresse | Systembetreiber (Mandanten) | 5 Jahre (Handelsrecht) |
3. Verfahren bei Verletzung des Schutzes personenbezogener Daten
3.1 Erkennung und Meldung
Resovu implementiert Überwachungssysteme zur Erkennung von Sicherheitsvorfällen. Jeder Mitarbeiter oder Partner ist verpflichtet, jeden Verdacht auf eine Datensicherheitsverletzung unverzüglich der Unternehmensleitung zu melden.
3.2 Schweregradbewertung
Nach Feststellung eines Vorfalls beurteilt die verantwortliche Person unverzüglich: den Umfang der betroffenen Daten, die Anzahl der betroffenen Personen, die wahrscheinlichen Auswirkungen auf die Rechte und Freiheiten der Betroffenen, ob die Daten verschlüsselt waren, ob die Auswirkungen gemindert werden können.
3.3 Meldung an die Aufsichtsbehörde
Wenn die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, meldet Resovu den Vorfall der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Feststellung. Die Meldung enthält: Beschreibung der Art der Verletzung, Kontaktdaten des DSB, Beschreibung der wahrscheinlichen Folgen, Beschreibung der ergriffenen Maßnahmen. Aufsichtsbehörden: ÚOOÚ — www.uoou.cz (Tschechien), ÚOOU SR — www.dataprotection.gov.sk (Slowakei), BfDI — www.bfdi.bund.de (Deutschland), UODO — www.uodo.gov.pl (Polen), NAIH — www.naih.hu (Ungarn), AEPD — www.aepd.es (Spanien), Datatilsynet — www.datatilsynet.no (Norwegen); CNIL — www.cnil.fr (Frankreich).
3.4 Benachrichtigung der Betroffenen
Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, informiert Resovu die betroffenen Personen unverzüglich. Die Benachrichtigung erfolgt in verständlicher Sprache und enthält Empfehlungen zur Minderung der Auswirkungen.
3.5 Dokumentation
Alle Sicherheitsvorfälle werden in einem internen Register erfasst, einschließlich: Datum der Feststellung, Beschreibung des Vorfalls, betroffene Daten und Personen, ergriffene Maßnahmen, Entscheidungen über Meldungen an Behörden und Betroffene, Untersuchungsergebnisse.
3.6 Kontakt für Vorfallmeldungen
Melden Sie Sicherheitsvorfälle an: security@resovu.com. Geben Sie im Betreff „Sicherheitsvorfall“ an. Stellen Sie möglichst viele Informationen über Art und Umfang des Vorfalls bereit.
4. Liste der Unterauftragsverarbeiter
| Anbieter | Dienst | Datenspeicherort | Garantien |
|---|---|---|---|
| Supabase (AWS) | Datenbank, Authentifizierung, Speicher | EU (Frankfurt, eu-central-1) | AVV, SOC 2 Type II |
| Stripe | Zahlungsabwicklung | EU (Irland) + US | AVV, SCC, PCI DSS Level 1 |
| Vercel | Hosting, Edge Network, Serverless | Globales CDN (Edge in EU) | AVV, SOC 2 Type II |
| Resend | Transaktions-E-Mails | US | AVV, SCC |
| Infobip | SMS-Erinnerungen | EU (Frankfurt) + global | DPA, SCC, ISO 27001 |
| Google Analytics 4, Google Tag Manager, Kalender-Synchronisation (optional) | US | AVV, SCC | |
| Sentry (Functional Software Inc.) | Fehlerüberwachung | US | DPA, SCC, SOC 2 |
| Upstash | Rate Limiting (Redis) | EU (Frankfurt) | DPA, SOC 2 |