Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") wird geschlossen zwischen dem Kunden, der sich für das Portal "energydesk" registriert hat (nachfolgend "Auftraggeber" oder "Verantwortlicher"), und dem Anbieter:
E-Mail: info@energydesk.online
Der AVV ergänzt den zwischen den Parteien geschlossenen Nutzungsvertrag über das energydesk-Portal (nachfolgend "Hauptvertrag") und wird mit der Registrierung und Annahme durch den Auftraggeber wirksam.
Der Auftraggeber bestätigt mit Annahme dieses AVV, dass er sämtliche erforderlichen Rechte und Berechtigungen Dritter besitzt, um die im Portal verarbeiteten Daten einzubringen und durch den Auftragnehmer verarbeiten zu lassen — insbesondere Berechtigungen aus laufenden Verträgen mit Marken- oder Franchise-Gebern (z. B. Shell, Aral, Total) sowie mitbestimmungs- und arbeitsrechtliche Voraussetzungen für die Verarbeitung von Beschäftigtendaten (insb. erforderliche Betriebsvereinbarungen nach § 87 Abs. 1 Nr. 6 BetrVG bei Einführung der Zeiterfassungsfunktion).
1. Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand: Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag des Auftraggebers im Rahmen der Bereitstellung und des Betriebs des energydesk-Portals.
1.2 Dauer: Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Sie endet mit Beendigung des Hauptvertrags, vorbehaltlich der in Abschnitt 10 geregelten Lösch- und Rückgabepflichten.
2. Art und Zweck der Verarbeitung
Die Verarbeitung dient der Bereitstellung folgender Funktionen:
| Funktion | Art der Verarbeitung |
|---|---|
| Anwender- und Mitarbeiterverwaltung | Erfassen, Speichern, Anzeigen, Ändern, Löschen |
| Authentifizierung (Backoffice und Tablet) | Verifizieren von Anmeldedaten, Session-Verwaltung |
| Zeiterfassung und Schichtplanung | Erfassen, Speichern, Berechnen, Auswerten von Arbeitszeiten |
| Abwesenheitsmanagement | Erfassen und Verwalten von Urlaubs- und Krankmeldungs-Workflows |
| Aufgaben- und Checklisten-Management | Erfassen, Zuweisen, Dokumentieren, Anhängen von Fotos und Unterschriften |
| Dokumentenablage | Hochladen, Versionieren, Volltext-Indexieren, Bereitstellen |
| Belehrungen und Schulungen | Bereitstellen, Quittieren, Aufbewahren von Nachweisen |
| Audit- und Sicherheitsprotokollierung | Erfassen sicherheitsrelevanter Vorgänge in einem Append-only-Log |
| Push-Benachrichtigungen | Versenden zustellungsbezogener Benachrichtigungen an angemeldete Endgeräte |
3. Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
3.1 Anwender- und Kontodaten
- E-Mail-Adresse, Passwort-Hash (Argon2id), Status, Zeitstempel der Anmeldung und Verifizierung
- IP-Adresse, User-Agent und Zeitpunkt aktiver Sessions (Browser bzw. Tablet)
- Optional: Google-Konto-Identifikator bei Nutzung der OAuth-Anmeldung
3.2 Mitarbeiter-Stammdaten (Beschäftigtendaten)
- Vorname, Nachname
- PIN-Hash (Argon2id) für die Tablet-Anmeldung; keine Speicherung der PIN im Klartext
- Zugeordnete Station, Rolle, Aktiv-Status
- Konfiguration zur Pausen- und Urlaubsverwaltung (z. B. Pausenmodell, Jahresurlaubstage)
3.3 Zeit- und Schichtdaten
- Schichtbeginn und -ende (geplant und tatsächlich gestempelt)
- Pausenzeiten (gestempelt oder pauschal)
- Korrekturen mit Begründung sowie Original- und Korrekturwert (Audit-Spur)
3.4 Abwesenheitsdaten
- Abwesenheitsart (Urlaub oder krankheitsbedingte Abwesenheit), Zeitraum, Antragsstatus
- Eine Erfassung von Diagnose- oder sonstigen Gesundheitsdaten ist nicht vorgesehen und erfolgt nicht.
- Eine Erfassung von Krankschreibungs-Bescheinigungen (AU) als Anhang ist nicht vorgesehen.
3.5 Aufgaben-, Checklisten- und Belehrungsdaten
- Zuweisung an Mitarbeiter und/oder Stationen, Bearbeitungs- und Erledigungs-Zeitstempel
- Optional: Fotos zur Dokumentation von Sachen oder Räumen (keine Personenfotos)
- Optional: rein optische Unterschriften (SVG); keine biometrische Erfassung von Druck oder Geschwindigkeit
- Belehrungs-Quittierungen mit Mitarbeiter-Identifikation, PIN-Bestätigung und Zeitpunkt
3.6 Geräte- und Pairing-Daten
- Geräte-Token-Hash, Gerätebezeichnung, Browser-Fingerprint-Hash
- Bindungs- und Pairing-Zeitpunkte sowie zuletzt aktive Sitzungen
3.7 Dokumente und Kontakte
- Vom Auftraggeber hochgeladene Dokumente (PDF) mit Metadaten und Volltext-Index
- Kontaktdatensätze (Name, Organisation, Telefon, E-Mail, Notizen) im Verantwortungsbereich des Auftraggebers
3.8 Audit- und Telemetriedaten
- Append-only Audit-Log mit Akteur-Identifikator, Aktion, Zielobjekt, IP, User-Agent, Zeitstempel und Payload
- Aufrufprotokoll (Page-Views) mit IP, User-Agent, Pfad und Zeitstempel; verkürzte Aufbewahrung gegenüber Audit-Log
4. Kategorien betroffener Personen
- Beschäftigte des Auftraggebers (Backoffice-Anwender, Stationsleiter, Mitarbeiter an Tablets)
- Geschäftsführungs- und Verwaltungspersonen des Auftraggebers
- Geschäftliche Kontakte des Auftraggebers (z. B. Lieferanten, Behördenkontakte) — soweit vom Auftraggeber als Kontaktdaten in das Portal eingebracht
5. Pflichten des Auftragnehmers
5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen ergeben sich aus dem Hauptvertrag, diesem AVV und der bestimmungsgemäßen Nutzung des Portals. Der Auftragnehmer nutzt die Daten nicht für eigene Zwecke und nimmt keinen eigenständigen Zugriff auf die Daten, außer soweit dies zur technischen Bereitstellung, Wartung oder Fehleranalyse des Portals erforderlich ist.
5.2 Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Der Auftragnehmer trifft die in Anlage 1 (TOM) beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und passt diese fortlaufend an den Stand der Technik an.
5.4 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner technischen Möglichkeiten bei:
- der Erfüllung von Betroffenenrechten nach Art. 15–22 DSGVO,
- der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldepflichten),
- der Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten des Auftraggebers (Art. 30 DSGVO).
5.5 Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 2 DSGVO.
5.6 Der Auftragnehmer führt ein Verzeichnis der Kategorien aller Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt es dem Auftraggeber auf Anfrage zur Verfügung.
6. Subprozessoren (Unterauftragsverarbeiter)
6.1 Allgemeine Genehmigung. Der Auftraggeber erteilt dem Auftragnehmer mit Annahme dieses AVV die generelle Genehmigung gemäß Art. 28 Abs. 2 Satz 2 DSGVO, weitere Auftragsverarbeiter (Subprozessoren) einzusetzen, zu ergänzen oder zu wechseln.
6.2 Der Auftragnehmer setzt zum Zeitpunkt des Vertragsschlusses folgende Subprozessoren ein:
| Subprozessor | Sitz | Zweck |
|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Server-Hosting (VPS, PostgreSQL-Datenbank, Backups) |
| IONOS SE | Montabaur, Deutschland | Domain-Registrar, DNS-Verwaltung, Versand transaktionaler E-Mails (SMTP) |
| Google Ireland Limited / Google LLC | Dublin, Irland / Mountain View, USA | OAuth-Anmeldung ("Sign-in with Google") — nur soweit der Anwender diese Anmeldemethode wählt |
| Stripe Payments Europe, Limited / Stripe, Inc. | Dublin, Irland / San Francisco, USA | Zahlungsabwicklung kostenpflichtiger Tarife (Aktivierung mit Einführung der Subscription-Funktion) |
6.3 Information bei Änderungen. Der Auftragnehmer informiert den Auftraggeber per E-Mail oder über das Portal mindestens 14 Tage vor Wirksamkeit über jede beabsichtigte Hinzunahme oder Ersetzung von Subprozessoren.
6.4 Sonderkündigungsrecht statt Vetorecht. Soweit der Auftraggeber mit der Hinzunahme oder Ersetzung eines Subprozessors nicht einverstanden ist, steht ihm ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens der Änderung zu. Ein darüber hinausgehendes Vetorecht oder ein Recht zur Untersagung der Nutzung des betreffenden Subprozessors besteht nicht.
6.5 Vertragspflichten. Der Auftragnehmer stellt sicher, dass mit jedem Subprozessor ein Vertrag geschlossen wird, der diesem mindestens gleichwertige Datenschutzpflichten auferlegt wie dieser AVV. Mit der Hetzner Online GmbH besteht ein eigenständiger Auftragsverarbeitungsvertrag (Vertragsnummer K0401256926).
7. Übermittlung in Drittländer
7.1 Die Datenverarbeitung findet grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt. Sämtliche Hauptkomponenten (Server, Datenbank, Backup, Domain) werden in Deutschland betrieben.
7.2 Soweit Subprozessoren mit Sitz in den USA eingesetzt werden (insb. Google LLC für OAuth, Stripe Inc. für Zahlungsabwicklung), erfolgt die Datenübermittlung auf Grundlage des EU-US Data Privacy Framework (DPF) bzw. der Standardvertragsklauseln (SCC) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzender Schutzmaßnahmen, soweit erforderlich.
7.3 Bei jeder Aufnahme eines neuen Subprozessors mit Sitz außerhalb der EU/EWR werden die Anforderungen der Art. 44–49 DSGVO eingehalten und die Rechtsgrundlage für den Drittlandstransfer dokumentiert.
8. Kontrollrechte des Auftraggebers
8.1 Der Auftraggeber hat das Recht, die Einhaltung dieses AVV und der TOM zu überprüfen. Dies kann erfolgen durch:
- Einholung von Auskünften beim Auftragnehmer in Textform,
- Einsicht in das jeweils aktuelle TOM-Dokument,
- Anforderung verfügbarer Audit-Berichte oder Zertifizierungen der Subprozessoren (z. B. ISO 27001, BSI C5 von Hetzner).
8.2 Vor-Ort-Kontrollen erfolgen ausschließlich nach vorheriger Vereinbarung zu üblichen Geschäftszeiten und nicht häufiger als einmal pro Kalenderjahr, soweit nicht ein konkreter Anlass eine zusätzliche Prüfung erforderlich macht. Der Auftragnehmer kann angemessene Aufwandsentschädigungen verlangen.
8.3 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
9. Haftung
Die Haftung richtet sich nach Art. 82 DSGVO sowie den Haftungsregelungen des Hauptvertrags und der AGB. Insoweit Art. 82 DSGVO eine gesamtschuldnerische Haftung gegenüber Betroffenen vorsieht, ist im Innenverhältnis derjenige verantwortlich, in dessen Verantwortungsbereich die Pflichtverletzung erfolgt ist.
10. Löschung und Rückgabe von Daten
10.1 Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. HGB, AO) entgegenstehen.
10.2 Der Auftraggeber kann vor der Löschung einen Export seiner Daten in maschinenlesbarem Format (CSV, JSON, PDF) anfordern. Der Anspruch ist innerhalb von 30 Tagen nach Vertragsende geltend zu machen.
10.3 Der Auftragnehmer bestätigt die vollständige Löschung dem Auftraggeber auf Anforderung in Textform.
10.4 Der Auftragnehmer setzt zur regelmäßigen Löschung nicht mehr benötigter Daten (z. B. abgelaufene Page-Views, abgelaufene Sessions) automatisierte Lösch-Routinen ein.
11. Änderungen des AVV
11.1 Der Auftragnehmer behält sich vor, diesen AVV anzupassen, soweit dies aufgrund geänderter Rechtslagen, Rechtsprechung, behördlicher Anforderungen oder technischer Weiterentwicklung erforderlich ist.
11.2 Änderungen werden gemäß den Bestimmungen des Hauptvertrags (Ziffer 8) mitgeteilt. Im Falle eines Widerspruchs steht dem Auftraggeber ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens der Änderung zu.