Vertrag zur Auftragsverarbeitung (AV-Vertrag)

Vorlage nach Art. 28 DSGVO. Diese Seite dient als Standard-Template — für die rechtssichere Anwendung sollte sie individuell ausgefüllt und ggf. anwaltlich geprüft werden.

Parteien

Zwischen
Verantwortlicher (Auftraggeber)
___________________________________ (Firma, Anschrift)

und
Auftragsverarbeiter (Anbieter):
Fatih Dursun
Fuhlsbüttler Straße 269, 22307 Hamburg
E-Mail: info@postplan.pro

§ 1 Gegenstand und Dauer

(1) Gegenstand des Auftrags ist die Bereitstellung und der Betrieb des Schichtplanungs-Tools „Postplan" als SaaS-Lösung für den Auftraggeber.
(2) Der Vertrag beginnt mit Vertragsschluss und läuft auf unbestimmte Zeit. Beide Parteien können ihn mit einer Frist von 3 Monaten zum Monatsende ordentlich kündigen.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet die in den Anhängen genannten Daten ausschließlich zum Zweck der Schichtplanung, Lohnabrechnungsvorbereitung, Dokumentation und Nachweisführung (insbesondere §34a GewO, BDSW-Tarifvertrag, Arbeitszeitgesetz).

§ 3 Art der Daten und Kreis der Betroffenen

(1) Kategorien personenbezogener Daten:
Stammdaten (Name, Anschrift, Geburtsdatum), Beschäftigungsdaten, Schichtdaten, Standortdaten (GPS-Check-in), Dokumente (Ausweise, §34a-Nachweise, Stundenzettel, Lohnabrechnungen), Push-Subscriptions.
(2) Betroffene: Beschäftigte des Auftraggebers.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

• die Daten ausschließlich gemäß dokumentierter Weisungen des Auftraggebers zu verarbeiten;
• die Vertraulichkeit aller mit den Daten in Berührung kommenden Personen sicherzustellen;
• geeignete technische und organisatorische Maßnahmen (TOM) zur Sicherheit der Verarbeitung nach Art. 32 DSGVO zu treffen (siehe Anhang);
• den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren;
• nach Wahl des Auftraggebers nach Beendigung des Vertrags alle Daten zu löschen oder zurückzugeben.

§ 5 Unterauftragsverarbeiter

• Hetzner Online GmbH (Hosting, Server in Deutschland)
• Anthropic (optional bei aktiver KI-Funktion — kein Klardaten-Transfer)
• Push-Provider der Browser-Hersteller bei aktivierten Push-Benachrichtigungen

Eine Erweiterung erfolgt nur nach vorheriger Information des Auftraggebers.

§ 6 Rechte der Betroffenen

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Anfragen nach Art. 15-22 DSGVO durch geeignete technische Maßnahmen (z. B. Export-Funktion, Lösch-Möglichkeit).

§ 7 Technische und organisatorische Maßnahmen (Auszug)

• Server in Deutschland (Hetzner), TLS-Verschlüsselung, signierte Session-Cookies
• Zugriffskontrolle per Benutzer-Login + rollenbasierte Berechtigung
• Tägliche Backups, Test-Wiederherstellungen quartalsweise
• Vollständiges Audit-Log aller Datenänderungen
• Automatisches Frühwarnsystem (Watchdog, Synthetic Monitor, Visual Regression)
• Trennung der Tenant-Daten pro Instanz

§ 8 Kontrollrechte

Der Auftraggeber ist berechtigt, sich nach Vorankündigung von der Einhaltung der vereinbarten Maßnahmen zu überzeugen — durch Selbstauskunft, Vorlage von Zertifikaten oder eine Vor-Ort-Prüfung.

§ 9 Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen (Art. 82 DSGVO).

§ 10 Schlussbestimmungen

Änderungen bedürfen der Schriftform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

_________________________      _________________________
Ort, Datum, Unterschrift      Ort, Datum, Unterschrift
Auftraggeber      Auftragsverarbeiter

Hinweis: Diese Vorlage ist generisch. Bei DSGVO-bewussten Geschäftskunden empfiehlt sich eine individuelle anwaltliche Anpassung der Klauseln (insbesondere Haftungsumfang, Subprozessoren-Liste, TOM-Detailtiefe).

← Zurück