gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
(1) Der Auftragsverarbeiter (Autotest Betrieb GmbH) verarbeitet im Auftrag des Verantwortlichen (Kunde) personenbezogene Daten zur Bereitstellung der SaaS-Software Autotest Betrieb GmbH.
(2) Die Verarbeitung beginnt mit der Registrierung des Kunden und endet mit Vertragsbeendigung und anschließender Löschung der Daten gemäß § 11 dieses AVV.
Die Verarbeitung erfolgt zum Zweck der Bereitstellung folgender Dienste:
| Datenkategorie | Beispiele | Betroffene Personen |
|---|---|---|
| Stammdaten Mitarbeiter | Name, Benutzername, Rolle, Letzter Login | Mitarbeiter des Kunden |
| Zeiterfassungsdaten | Arbeitsstunden, Einstempelzeiten, GPS-Koordinaten (optional) | Mitarbeiter des Kunden |
| Abwesenheitsdaten | Urlaubsanträge, Krankmeldungen, AU-Bescheinigung (Referenz) | Mitarbeiter des Kunden |
| Kundenstammdaten | Firmenname, Ansprechpartner, E-Mail, Telefon, Adresse | Kunden des Kunden |
| Projektdaten | Projektbeschreibungen, Kommentare, Fotos, Protokolle | Mitarbeiter und Kunden des Kunden |
| Vertragsdaten | Angebote, Rechnungen, Unterschriften | Kunden des Kunden |
| Kommunikationsdaten | Kommentare, Sprachnotizen (wenn genutzt) | Mitarbeiter und Kunden des Kunden |
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, eine rechtliche Verpflichtung schreibt etwas anderes vor.
(2) Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet sind.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen sowie bei der Erfüllung weiterer Pflichten nach Art. 32–36 DSGVO.
(4) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
(1) Der Verantwortliche ist berechtigt, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen.
(2) Weisungen erfolgen in Textform (E-Mail genügt). Mündliche Weisungen sind unverzüglich zu bestätigen.
(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Verantwortlichen unverzüglich. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis der Verantwortliche sie bestätigt oder ändert.
Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung befassten Mitarbeiter zur Vertraulichkeit und stellt sicher, dass diese die einschlägigen datenschutzrechtlichen Anforderungen kennen.
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Dazu gehören insbesondere:
| Maßnahme | Umsetzung |
|---|---|
| Zutrittskontrolle | Serverhosting bei Hetzner (ISO 27001 zertifiziertes Rechenzentrum, DE) |
| Zugangskontrolle | Passwort-Hashing (Werkzeug/PBKDF2), Passkey/WebAuthn-Option, Rate Limiting bei Login |
| Zugriffskontrolle | Rollenbasiertes Berechtigungssystem (GF/PL/HW/Kunde), individuelle Rechteverwaltung |
| Trennungsgebot | Mandantentrennung durch betrieb_id in allen Datenbankabfragen |
| Übertragungssicherheit | HTTPS/TLS-Verschlüsselung für alle Verbindungen (nach Konfiguration mit SSL) |
| Eingabekontrolle | Aktivitätsprotokolle, Benutzer-Login-Zeitstempel |
| Verfügbarkeit | Regelmäßige Backups der Datenbank, Hetzner-Infrastruktur mit Redundanz |
| CSRF-Schutz | CSRF-Token für alle zustandsändernden Formulare und API-Aufrufe |
Die TOMs werden regelmäßig überprüft und bei Bedarf angepasst. Eine jeweils aktuelle Übersicht kann beim Auftragsverarbeiter angefordert werden.
(1) Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:
| Unterauftragsverarbeiter | Zweck | Sitz |
|---|---|---|
| Hetzner Online GmbH | Serverhosting und Datenspeicherung | Deutschland (EU) |
| Stripe, Inc. | Zahlungsabwicklung (nur Abrechnungsdaten) | USA (Standardvertragsklauseln nach Art. 46 DSGVO) |
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern. Der Verantwortliche kann Änderungen innerhalb von 14 Tagen widersprechen. Im Falle eines berechtigten Widerspruchs sind die Parteien berechtigt, den Vertrag zu kündigen.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) nach Maßgabe von Art. 12–22 DSGVO.
(2) Wenden sich betroffene Personen direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden. Die Meldung enthält soweit möglich alle Informationen, die der Verantwortliche zur Erfüllung seiner Meldepflicht nach Art. 33 DSGVO benötigt.
(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(2) Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter vor Löschung einen Datenexport (Datenbankexport) bereit.
(3) Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.
Soweit der Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchführt, unterstützt ihn der Auftragsverarbeiter dabei im erforderlichen Umfang, insbesondere durch Bereitstellung von Informationen zu den eingesetzten TOMs.
(1) Dieser AVV ist Bestandteil des Nutzungsvertrags (AGB). Im Widerspruchsfall geht dieser AVV den AGB vor.
(2) Änderungen dieses AVV sind nur wirksam, wenn sie schriftlich vereinbart werden.
(3) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters.