Auftragsverarbeitungsvertrag
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
CalDAVconnect – Kalender-Synchronisationsdienst
Auftragnehmer (Dienstleister)
| Unternehmen | Mediakreativ UG (haftungsbeschränkt) |
| Geschäftsführer | Christian Schindler |
| Anschrift | Herrengasse 2, 06542 Allstedt, Deutschland |
| Registergericht | Amtsgericht Stendal, HRB 31481 |
| USt-IdNr. | DE 322458269 |
| hello@caldavconnect.de | |
| Website | caldavconnect.de |
Der Auftraggeber (Verantwortlicher) ist der registrierte Nutzer des Dienstes. Die Vertragsbeziehung ergibt sich aus der Registrierung und der Annahme der Allgemeinen Geschäftsbedingungen.
Auf Anfrage stellt der Auftragnehmer ein individuell unterzeichnetes Exemplar dieses Vertrags zur Verfügung.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer betreibt den Kalender-Synchronisationsdienst CalDAVconnect (nachfolgend „Dienst"). Der Dienst ermöglicht die bidirektionale Synchronisation von CalDAV-Kalendern (z. B. Nextcloud, SOGo, Radicale, Baikal, Synology, Infomaniak, mailbox.org, Posteo, Fastmail) mit Cloud-Kalenderplattformen (Google Kalender, Microsoft 365).
(2) Im Rahmen der Erbringung des Dienstes verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers gemäß Art. 28 DSGVO.
(3) Dieser Vertrag gilt ab dem Zeitpunkt der Annahme (Registrierung / Nutzungsbeginn) und läuft auf unbestimmte Zeit. Er endet automatisch mit Beendigung des Hauptvertrags (Überlassungsvertrag / Nutzungsvereinbarung) zwischen den Parteien.
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erfüllung des Hauptvertrags, insbesondere:
- Abruf von Kalendereinträgen vom CalDAV-Server des Auftraggebers
- Übertragung von Kalendereinträgen an Google Kalender und/oder Microsoft 365
- Empfang von Kalenderänderungen von Google Kalender/Microsoft 365 via Webhook
- Verschlüsselte Zwischenspeicherung von Sync-Metadaten und Kalenderdaten (Shadow-Data) zur Gewährleistung der bidirektionalen Synchronisation
(2) Eine Verarbeitung für eigene Zwecke des Auftragnehmers findet nicht statt.
§ 3 Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:
| Datenkategorie | Verschlüsselung |
|---|---|
| Kalendereinträge (Titel, Beschreibung, Datum, Uhrzeit, Ort, Teilnehmer-E-Mail-Adressen) | AES-256-GCM |
| Zugangsdaten zum CalDAV-Server (Benutzername, URL; Passwort verschlüsselt gespeichert) | AES-256-GCM |
| OAuth-Token für Google Kalender und Microsoft 365 | AES-256-GCM |
| Sync-Metadaten (Sync-Token, Delta-Links, CTag-Werte, Zeitstempel) | — |
| Technische Protokolldaten (IP-Adressen, Zeitstempel, Fehlermeldungen) | — |
| E-Mail-Adresse und Name des Nutzers | — |
Besondere Kategorien (Art. 9 DSGVO)
Sofern der Auftraggeber Kalender mit Gesundheitsdaten synchronisiert (z. B. Arztpraxis mit Patientennamen in Termintiteln), gelten diese als besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Der Auftraggeber ist in diesem Fall dafür verantwortlich, dass eine geeignete Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO vorliegt.
§ 4 Kategorien betroffener Personen
Von der Verarbeitung betroffen sind:
- Nutzer des Dienstes (Auftraggeber selbst sowie ggf. Mitarbeiter)
- Dritte Personen, deren Daten in Kalendereinträgen enthalten sind (z. B. Teilnehmer von Terminen, Patienten, Kunden)
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragnehmer unterstützt den Auftraggeber soweit möglich bei der Erfüllung von Anfragen betroffener Personen hinsichtlich ihrer Rechte gemäß Kapitel III DSGVO.
(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung).
(5) Der Auftragnehmer löscht nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten oder gibt sie zurück, sofern nicht eine Verpflichtung zur Speicherung nach EU-Recht oder dem Recht eines Mitgliedstaats besteht.
(6) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer hat geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen, insbesondere:
Vertraulichkeit
| Verschlüsselung at rest | AES-256-GCM für alle Credentials, OAuth-Tokens und Kalenderinhalte (BSI TR-02102-1 konform) |
| Schlüsselmanagement | Envelope Encryption: Data Encryption Key (DEK) wird durch Key Encryption Key (KEK) geschützt, der auf physisch getrenntem Server im Private Network liegt |
| Transport-Verschlüsselung | TLS 1.3 (Browser ↔ Server), TLS 1.2+ (API-Kommunikation) |
| Zugriffskontrolle | Nur autorisierte Personen haben Zugang zu Produktionssystemen; Key Server mit eigenen SSH-Keys, IP-Whitelist und Bearer-Token-Authentifizierung |
| Cloud-Firewall | IP-basierte Zugriffsbeschränkung auf Netzwerkebene (Hetzner Cloud Firewall); SSH-Zugriff auf autorisierte IP-Adressen beschränkt |
| VPN-Zugang | Administratorzugang zu Produktionssystemen ausschließlich über verschlüsseltes VPN (Tailscale, WireGuard-basiert) |
| OAuth 2.0 | Anbindung von Google Kalender und Microsoft 365 über OAuth (keine Passwort-Speicherung für Cloud-Konten) |
Integrität
| Authenticated Encryption | GCM Auth-Tag erkennt Manipulation verschlüsselter Daten |
| Sync-Protokollierung | Protokollierung aller Sync-Vorgänge mit Zeitstempel |
| Konflikt-Erkennung | Erkennung und Behandlung von Sync-Konflikten |
| CSRF-Schutz | Laravel CSRF-Token-Validierung |
| SQL Injection Prevention | Eloquent ORM mit Prepared Statements |
| XSS-Schutz | Blade-Templates mit automatischem Output-Escaping |
Verfügbarkeit und Belastbarkeit
| Hosting | Hetzner Online GmbH, Rechenzentrum Nürnberg, Deutschland |
| Backups | Tägliche PostgreSQL-Backups (Hetzner Object Storage, 14 Tage Retention, EU) |
| Wiederherstellung | Backup-Restore getestet, Verschlüsselungsschlüssel separat gesichert |
| Rate-Limit-Resilience | Automatisches Backoff bei API-Throttling |
| Fehler-Isolation | Sync-Fehler einzelner Verbindungen beeinträchtigen keine anderen Verbindungen |
| Monitoring | Automatische Fehlerüberwachung aller Sync-Verbindungen, Alarmierung bei Systemausfällen |
| Echtzeit-Alerting | Push-Benachrichtigungen bei sicherheitsrelevanten Ereignissen (SSH-Logins, kritische Fehler, unautorisierte Zugriffe auf den Key Server); Alerts enthalten keine personenbezogenen Nutzerdaten |
Verfahren zur Überprüfung
| Regelmäßige Überprüfung | Regelmäßige Überprüfung der Sicherheitsmaßnahmen |
| Request-Logging | Protokollierung aller Zugriffe auf den Key Server (12 Wochen Retention) |
| E-Mail-Sicherheit | DNSSEC, SPF, DKIM, DMARC und MTA-STS für alle Geschäfts-E-Mails |
§ 7 Unterauftragsverhältnisse (Sub-Auftragsverarbeiter)
(1) Der Auftragnehmer setzt derzeit folgende Unterauftragsverarbeiter ein:
| Dienstleister | Sitz | Zweck |
|---|---|---|
| Hetzner Online GmbH | Nürnberg, Deutschland | Serverhosting und Infrastruktur |
| Lettermint | Niederlande (EU) | Transaktionaler E-Mail-Versand |
| Plausible Analytics | EU | Datenschutzfreundliche Webanalyse |
| ntfy.sh (Philipp C. Heckel) | Deutschland / EU | System-Monitoring und Echtzeit-Benachrichtigungen (keine personenbezogenen Nutzerdaten) |
| Google LLC | USA (SCCs) | Google Kalender API |
| Microsoft Corporation | USA (SCCs) | Microsoft Graph API |
(2) Änderungen der Unterauftragsverhältnisse teilt der Auftragnehmer dem Auftraggeber mindestens 30 Tage im Voraus mit. Der Auftraggeber kann gegenüber Unterauftragsverarbeitern Einwände erheben.
(3) Hinsichtlich der Drittländerübermittlung an Google LLC und Microsoft Corporation werden die von der EU-Kommission genehmigten Standardvertragsklauseln (SCCs) als geeignete Garantien gemäß Art. 46 Abs. 2 lit. c DSGVO verwendet.
§ 8 Rechte der betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Bearbeitung von Anfragen betroffener Personen auf Ausübung ihrer Rechte gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch).
(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
§ 9 Meldung von Datenpannen
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung seiner Pflichten gemäß Art. 33 und 34 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten).
(2) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens aber innerhalb von 72 Stunden nach Bekanntwerden. Die Meldung erfolgt per E-Mail an die vom Auftraggeber hinterlegte E-Mail-Adresse.
§ 10 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber ist berechtigt, die Einhaltung der Bestimmungen dieses Vertrags beim Auftragnehmer in angemessenem Umfang zu überprüfen oder durch Dritte überprüfen zu lassen.
(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und ermöglicht Inspektionen, soweit diese verhältnismäßig sind und mit angemessenem Vorlauf (mindestens 5 Werktage) angekündigt werden.
(3) Alternativ kann der Auftragnehmer aktuelle Zertifizierungen oder Prüfberichte anerkannter Stellen vorlegen, soweit diese zur Verfügung stehen.
§ 11 Weisungsrecht des Auftraggebers
(1) Der Auftraggeber ist hinsichtlich der Verarbeitung personenbezogener Daten weisungsbefugt.
(2) Weisungen erfolgen in der Regel durch die Konfiguration im Nutzerkonto (z. B. Auswahl der zu synchronisierenden Kalender, Sync-Richtung). Darüber hinausgehende Weisungen sind schriftlich (per E-Mail) zu erteilen.
(3) Hält der Auftragnehmer eine Weisung für datenschutzrechtswidrig, ist er berechtigt, die Ausführung bis zur Klärung auszusetzen und den Auftraggeber zu informieren.
§ 12 Löschung und Rückgabe von Daten
(1) Mit Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Die Löschung umfasst insbesondere:
- CalDAV-Zugangsdaten (verschlüsselt)
- OAuth Access- und Refresh-Tokens (verschlüsselt)
- Shadow-Data aller Kalendereinträge (verschlüsselt)
- Event-Mappings und Sync-Logs
- Nutzerdaten (Name, E-Mail, Passwort-Hash)
(3) Externe Webhooks (Google, Microsoft) werden vor der Löschung aktiv gestoppt.
(4) Die Löschung erfolgt spätestens 30 Tage nach Vertragsbeendigung. Datenbanksicherungen werden im Rahmen der regulären Backup-Rotation nach maximal 14 Tagen überschrieben.
(5) Auf Anfrage bestätigt der Auftragnehmer die Löschung schriftlich.
§ 13 Haftung
(1) Für Schäden, die durch eine Verletzung dieses Vertrags oder der DSGVO entstehen, haften die Parteien nach den gesetzlichen Bestimmungen, insbesondere gemäß Art. 82 DSGVO.
(2) Der Auftraggeber stellt den Auftragnehmer von Ansprüchen Dritter frei, die auf einer Verarbeitung beruhen, die der Auftraggeber angewiesen hat und die gegen geltendes Recht verstoßen.
§ 14 Schlussbestimmungen
(1) Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
(2) Erfüllungsort und ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist Allstedt, soweit gesetzlich zulässig.
(3) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform (E-Mail genügt).
(4) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.
(5) Im Falle von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags hinsichtlich der Datenverarbeitung vor.
Hinweis: Dieser AVV ersetzt nicht eine Rechtsberatung. Bei Unsicherheiten empfiehlt sich die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts.
Stand: April 2026 – Version 1.1