Version 1.0, Stand: 01.04.2026

zwischen

dem Kunden (Verantwortlicher)

und

Florian Libuda
handelnd unter der Bezeichnung
Libotics Digital Solutions
Tiefstr. 87
26388 Wilhelmshaven
Deutschland

– nachfolgend „Auftragsverarbeiter“ –

wird folgender Vertrag geschlossen.

1. Gegenstand der Verarbeitung

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der SaaS-Plattform „Libotics“.

Die Plattform dient insbesondere der Bereitstellung folgender Funktionen:

- KI-gestützte Kundenkommunikation

- automatisierte Verarbeitung von Bewertungen

- CRM- und Kontaktverwaltung

- Reservierungsmanagement

- Erstellung und Hosting von Websites

Die Dauer der Verarbeitung entspricht der Laufzeit des zwischen den Parteien bestehenden Hauptvertrages.

2. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Bereitstellung der vereinbarten Softwarefunktionen.

Hierzu gehören insbesondere:

- Speicherung und Verwaltung von Kundendaten

- Verarbeitung von Reservierungsdaten

- automatisierte Kommunikation mit Endkunden

- Bereitstellung von CRM-Funktionen

- Hosting und Betrieb von Kundenwebsites

3. Art der personenbezogenen Daten

Es können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

- Stamm- und Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)

- Reservierungsdaten

- Kommunikationsinhalte

- Nutzungsdaten und Logdaten

- Unternehmensdaten des Verantwortlichen

4. Kategorien betroffener Personen

Von der Verarbeitung betroffen sind insbesondere:

- Kunden und Gäste des Verantwortlichen

- Interessenten

- Mitarbeiter des Verantwortlichen

5. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Weisungen können insbesondere erfolgen:

- per E-Mail

- über Systemfunktionen der Plattform

- über Support-Anfragen.

Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er den Verantwortlichen unverzüglich.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

- personenbezogene Daten ausschließlich im Rahmen dieses Vertrages zu verarbeiten

- die Vertraulichkeit gemäß Art. 28 DSGVO sicherzustellen

- alle zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten

- geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen

- den Verantwortlichen bei Betroffenenanfragen zu unterstützen

- Datenschutzverletzungen unverzüglich zu melden

- alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung dieses Vertrages nachzuweisen.

7. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorgaben zu überprüfen.

Der Nachweis kann insbesondere erfolgen durch:

- Zertifizierungen

- Auditberichte

- Selbstauskünfte

- Dokumentation der technischen und organisatorischen Maßnahmen.

Vor-Ort-Kontrollen sind nur bei berechtigtem Anlass und nach angemessener Vorankündigung zulässig.

8. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

HighLevel Inc. (USA)
Bereitstellung der Plattformtechnologie und Hosting

IONOS SE (Deutschland)
Domainservices und technische Infrastruktur

Stripe Payments Europe Ltd. (Irland)
Zahlungsabwicklung

Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern Verträge gemäß Art. 28 DSGVO geschlossen werden.

Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.

Die Information erfolgt in Textform, beispielsweise per E-Mail oder über die Website des Auftragsverarbeiters.

Der Verantwortliche kann innerhalb von 14 Tagen nach Zugang der Information aus wichtigem datenschutzrechtlichem Grund widersprechen.

Erfolgt innerhalb dieser Frist kein Widerspruch, gilt der Einsatz des neuen Unterauftragsverarbeiters als genehmigt.

9. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union erfolgt ausschließlich unter Einhaltung der Art. 44 ff. DSGVO.

Hierzu können insbesondere folgende Garantien eingesetzt werden:

- EU-Standardvertragsklauseln

- Angemessenheitsbeschlüsse der EU-Kommission

- EU-US Data Privacy Framework.

10. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz personenbezogener Daten.

Die jeweils aktuellen Maßnahmen sind diesem Vertrag als Anlage beigefügt.

Der Auftragsverarbeiter ist berechtigt, diese Maßnahmen an den technischen Fortschritt anzupassen, sofern das Sicherheitsniveau nicht unterschritten wird.

11. Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrages löscht oder übergibt der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Die Löschung ist dem Verantwortlichen auf Anfrage nachzuweisen.

Der Verantwortliche ist verpflichtet, vor Vertragsende eine Sicherung seiner Daten vorzunehmen.

12. Haftung

Für Schäden aufgrund von Datenschutzverstößen gelten die gesetzlichen Regelungen der DSGVO sowie die Haftungsregelungen des Hauptvertrages.

13. Vertragsabschluss

Dieser Auftragsverarbeitungsvertrag wird automatisch Bestandteil des Vertrages zwischen den Parteien, sobald der Verantwortliche im Rahmen des Bestellprozesses den Allgemeinen Geschäftsbedingungen zustimmt und die Geltung dieses Vertrages bestätigt.

Der Vertrag wird elektronisch geschlossen.

Eine gesonderte Unterzeichnung durch die Parteien ist nicht erforderlich.

Anlage 1 – Technische und organisatorische Maßnahmen (TOM)

1. Vertraulichkeit

Zutrittskontrolle

- Zugang zu Büroräumen nur für berechtigte Personen

- Einsatz von Zugangsbeschränkungen oder Schließsystemen

Zugangskontrolle

- Personalisierte Benutzerkonten

- sichere Passwortanforderungen

- Zwei-Faktor-Authentifizierung für Administrationszugänge

Zugriffskontrolle

- rollenbasiertes Berechtigungssystem

- Zugriff nach dem Need-to-know-Prinzip

- Protokollierung von Zugriffen

Trennungskontrolle

- logische Mandantentrennung innerhalb der Plattform

- getrennte Verarbeitung von Kundendaten

2. Integrität

Weitergabekontrolle

- verschlüsselte Datenübertragung (SSL/TLS)

- abgesicherte API-Zugriffe

- Protokollierung von Datenexporten

Eingabekontrolle

- Nachvollziehbarkeit von Änderungen an Daten

- Protokollierung administrativer Aktionen

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

- Hosting in zertifizierten Rechenzentren

- Monitoring der Systemverfügbarkeit

- Schutz vor DDoS-Angriffen

Wiederherstellbarkeit

- regelmäßige Backups

- dokumentierte Recovery-Prozesse

4. Verfahren zur regelmäßigen Überprüfung

- regelmäßige Sicherheitsupdates

- Patch-Management

- Schwachstellenanalysen

- regelmäßige Überprüfung der technischen Maßnahmen

5. Auftragskontrolle

- Auswahl von Dienstleistern nach DSGVO-Konformität

- Abschluss von AV-Verträgen mit Subunternehmern

- dokumentierte Weisungsprozesse

6. Datenschutz durch Technikgestaltung

- datensparsame Systemkonfiguration

- Zugriffsbeschränkungen standardmäßig aktiviert

- implementierte Löschkonzepte

7. Pseudonymisierung

Pseudonymisierung wird innerhalb der HighLevel-Plattform nicht eingesetzt, da:

- Funktionalität der SaaS-Plattform: Namen, E-Mail-Adressen etc. erforderlich für personalisierte Kommunikation, CRM, Reservierungen

- Technische Umsetzung in Standard-SaaS nicht praktikabel (keine native Funktion)

- Alternative Schutzmaßnahmen: TLS-Verschlüsselung, Zugriffssteuerung, AVV

- Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) macht Pseudonymisierung unverhältnismäßig

Anlage 2: Genehmigte Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 und 4 DSGVO

Libotics Digital Solutions - Tiefstr. 87 - 26388 Wilhelmshaven - Stand: April 2026

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

HighLevel Inc.
Sitz: 400 North Saint Paul St., Suite 920, Dallas, TX 75201, USA
Verarbeitete Datenkategorien: Accountdaten (Name, E-Mail, Passwort), Kommunikationsdaten (Nachrichten, Chats), Reservierungsdaten, Nutzungsdaten (Login, Klicks, Seitenaufrufe)
Verarbeitungszweck: Plattformtechnologie, Hosting, CRM-System, Automatisierungen, Chatbots/KI
Drittland-Garantien: Art. 46 Abs. 2 lit. c DSGVO (EU-US Data Privacy Framework + EU-Standardvertragsklauseln im AVV)

IONOS SE
Sitz: Elgendorfer Straße 57, 56410 Montabaur, Deutschland
Verarbeitete Datenkategorien: Technische Logs (IP-Adresse, Browser, Timestamps), Domain-Konfigurationsdaten, Reservierungssystem-Daten
Verarbeitungszweck: Domainregistrierung/-verwaltung, technische Infrastruktur, Reservierungsplattform
Drittland-Garantien: Keine Drittlandübermittlung

Stripe Payments Europe Ltd.
Sitz: 1 Grand Canal Street Lower, Dublin 2, Irland
Verarbeitete Datenkategorien: Zahlungsdaten (Kartendaten*, IBAN, Rechnungsadresse), Transaktionsdaten (Betrag, Datum, Status)
Verarbeitungszweck: Zahlungsabwicklung, Abrechnung, Rechnungsstellung
Drittland-Garantien: Keine Drittlandübermittlung (ggf. US-Eltern: DPF im Stripe-DPA geregelt)