Auftragsverarbeitungsvertrag (AVV)
Stand: März 2026 · KRV Transporte und Dienstleistungen e. K. · Dienstnavi
Hinweis zur Zustimmung
Mit der Akzeptanz der AGB bei der Registrierung stimmen Sie gleichzeitig diesem Auftragsverarbeitungsvertrag zu. Datum und Zeitstempel der Zustimmung werden gespeichert.
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch die KRV Transporte und Dienstleistungen e. K. (nachfolgend „Auftragsverarbeiter") im Auftrag des Kunden (nachfolgend „Verantwortlicher") im Rahmen der Nutzung der SaaS-Anwendung Dienstnavi.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten zum Zweck der Bereitstellung der Dienstnavi-Anwendung (digitale Schicht- und Dienstplanung, Mitarbeiterverwaltung).
(2) Die Verarbeitung beginnt mit der Registrierung und endet mit der Kündigung des Nutzungsvertrags.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- →Speicherung, Abruf und Anzeige von Mitarbeiterstammdaten
- →Verwaltung von Schichtplänen und Arbeitszeitdaten
- →Verarbeitung von Urlaubs- und Abwesenheitsanträgen
- →Verwaltung von Krankmeldungen
- →Authentifizierung und Zugriffskontrolle
- →Technischer Betrieb und Datensicherung
§ 3 Art der personenbezogenen Daten
Verarbeitete Datenkategorien
- Stammdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer (optional)
- Beschäftigungsdaten: Position, Abteilung, Rolle (Admin/Manager/Mitarbeiter)
- Arbeitszeitdaten: Schichten, Arbeitszeiten, Schichtvorlagen
- Abwesenheitsdaten: Urlaubsanträge, Krankmeldungen, sonstige Abwesenheiten
- Zugangsdaten: Passwort-Hash, Session-Token
Es werden keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet, sofern der Verantwortliche keine solchen Daten eingibt.
§ 4 Betroffene Personen
Betroffene Personen sind die Mitarbeiterinnen und Mitarbeiter sowie sonstigen Beschäftigten des Verantwortlichen, die in der Dienstnavi-Anwendung angelegt werden.
§ 5 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- ✓Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- ✓Zur Vertraulichkeit verpflichtete Personen einzusetzen
- ✓Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen
- ✓Den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen geltendes Recht verstößt
- ✓Bei der Erfüllung von Betroffenenrechten mitzuwirken
- ✓Alle Daten nach Beendigung zu löschen oder zurückzugeben
§ 6 Technische und organisatorische Maßnahmen (TOM)
Vertraulichkeit
- ✓HTTPS/TLS-Verschlüsselung
- ✓Passwörter als bcrypt-Hash
- ✓Rollenbasierte Zugriffskontrolle (RBAC)
- ✓Row Level Security (RLS)
Integrität
- ✓CSRF-Schutz via NextAuth.js
- ✓Eingabevalidierung server- und clientseitig
- ✓Keine organisationsübergreifenden Zugriffe
Verfügbarkeit
- ✓Hosting auf Vercel mit Failover
- ✓Supabase EU Paris mit automatischen Backups
Belastbarkeit
- ✓Regelmäßige Sicherheits-Reviews
- ✓Dependency-Updates & Patch-Management
§ 7 Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche mit Abschluss dieses AVV zustimmt:
Vercel Inc.
340 Pine Street, Suite 1501, San Francisco, CA 94104, USA
Zweck: Hosting, Deployment, CDN
Rechtsgrundlage: Standardvertragsklauseln (SCCs)
Supabase Inc.
Datenbankserver: EU-West, Paris, Frankreich
Zweck: Datenbankhosting
Rechtsgrundlage: Verarbeitung innerhalb der EU
Stripe, Inc.
510 Townsend Street, San Francisco, CA 94103, USA
Zweck: Zahlungsabwicklung (kostenpflichtige Tarife)
Rechtsgrundlage: Standardvertragsklauseln (SCCs)
Änderungen der Unterauftragsverarbeiter werden mit 30 Tagen Vorlauf per E-Mail angekündigt. Der Verantwortliche hat das Recht zu widersprechen.
§ 8 Datenlöschung nach Vertragsende
(1) Nach Kündigung werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(2) Es wird empfohlen, vor Kündigung einen Datenexport durchzuführen. Eine Wiederherstellung nach Ablauf der Frist ist nicht möglich.
(3) Auf Anfrage stellt der Auftragsverarbeiter eine Bestätigung der Datenlöschung aus.
§ 9 Meldepflichten bei Datenpannen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich – spätestens innerhalb von 48 Stunden – über Datenschutzverletzungen (Art. 33 DSGVO). Die Meldung enthält Art der Verletzung, betroffene Daten und ergriffene Maßnahmen.
§ 10 Weisungsrecht
Der Verantwortliche kann dem Auftragsverarbeiter jederzeit Weisungen erteilen. Weisungen sind per E-Mail an kontakt@krvtd.com zu richten. Bestätigung erfolgt innerhalb von 5 Werktagen.
§ 11 Pflichten des Verantwortlichen
- →Rechtmäßigkeit der Verarbeitung gegenüber Mitarbeitern sicherstellen
- →Mitarbeiter gemäß Art. 13/14 DSGVO informieren
- →Betroffenenrechte der Mitarbeiter koordinieren
- →Ausschließlich rechtmäßig erhobene Daten eintragen
§ 12 Schlussbestimmungen
(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.
(2) Änderungen bedürfen der Schriftform oder der elektronischen Zustimmung.
(3) Die Unwirksamkeit einzelner Bestimmungen berührt die Wirksamkeit der übrigen nicht.