Zum Inhalt springen

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") gilt ergänzend zu den Nutzungsbedingungen, sobald Sie als gewerblicher Nutzer („Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO) personenbezogene Daten Dritter – insbesondere Ihrer Mitarbeiterinnen und Mitarbeiter – in den Dienst eingeben oder über den Dienst verarbeiten lassen. Der Anbieter (siehe Impressum) handelt insoweit als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Eine von beiden Parteien unterzeichnete Fassung erhalten Sie auf Anfrage über unser Kontaktformular.

§ 1 Gegenstand und Dauer

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung des Online-Schichtplaners (Erstellen, Speichern, Prüfen, Exportieren und Teilen von Dienstplänen sowie der zugehörige E-Mail-Versand).
(2) Die Verarbeitung erfolgt für die Dauer der Nutzung des Dienstes durch den Verantwortlichen und endet mit Löschung der Daten bzw. des Nutzerkontos.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Zweck: Personaleinsatz- und Schichtplanung.
(2) Art der Verarbeitung: Erheben, Speichern, Verändern, Auslesen, Verwenden, Übermitteln (an vom Verantwortlichen bestimmte Empfänger, z. B. über Freigabe- oder Mitarbeiter-Links) und Löschen.
(3) Kategorien betroffener Personen: Mitarbeiterinnen und Mitarbeiter des Verantwortlichen (ggf. auch Bewerber/Aushilfen).
(4) Kategorien personenbezogener Daten: Name, optionale Kontaktdaten (E-Mail), Funktion/Rolle, Qualifikationen, Abteilung, Verfügbarkeiten und Abwesenheiten, Schicht- und Arbeitszeitdaten. Der Verantwortliche gibt grundsätzlich keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ein.

§ 3 Weisungsbindung

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Die Konfiguration des Dienstes durch den Verantwortlichen gilt als Weisung. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet die mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO), soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, insbesondere:

  • Verschlüsselung der Übertragung (TLS/HTTPS).
  • Zugriffskontrolle: Daten sind dem jeweiligen Nutzerkonto zugeordnet; der Zugriff ist über Firebase Authentication und serverseitige Sicherheitsregeln auf den jeweiligen Kontoinhaber beschränkt.
  • Hosting und Verarbeitung über Google Cloud / Firebase in EU-Rechenzentren (Cloud Functions: Frankfurt, europe-west3).
  • Pseudonymisierungs- und Datensparsamkeitsoptionen (z. B. Anonymisierung von Mitarbeiternamen, Passwortschutz und Ablaufdatum bei Freigabe-Links).
  • Belastbarkeit, Datensicherung und Wiederherstellbarkeit über die Infrastruktur des Unterauftragsverarbeiters Google.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

  • Google Ireland Limited / Google LLC – Hosting, Authentifizierung, Datenbank (Firestore) und Functions.
  • Resend, Inc. (USA) – Versand von E-Mails.

(2) Mit diesen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Soweit Daten in Drittländer (insbesondere die USA) übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework und/oder der EU-Standardvertragsklauseln (Art. 46 DSGVO).
(3) Über beabsichtigte Änderungen informiert der Auftragsverarbeiter mit angemessener Frist; der Verantwortliche kann begründet widersprechen.

§ 7 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO. Der Verantwortliche kann die ihn betreffenden Daten jederzeit selbst einsehen, berichtigen, exportieren und löschen.

§ 8 Meldung von Verletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden (Art. 33 Abs. 2 DSGVO).

§ 9 Löschung und Rückgabe

Nach Abschluss der Verarbeitung – spätestens mit Löschung des Nutzerkontos – werden die personenbezogenen Daten gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann seine Daten zuvor über die Exportfunktionen sichern.

§ 10 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen auf Anfrage zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

§ 11 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Bei Widersprüchen zwischen diesem AVV und den Nutzungsbedingungen geht dieser AVV in datenschutzrechtlichen Fragen vor.

Stand: Juni 2026