Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO • Stand: Juni 2026
Geltungsbereich des Vertrags
Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch SecPlaner im Auftrag des Kunden. Er wird mit Abschluss des Nutzungsvertrags automatisch Vertragsbestandteil und bedarf keiner separaten Unterschrift.
Inhaltsverzeichnis
Vertragsparteien
Auftragsverarbeiter:
Ankerpunkt IT
Denis Deja
Techowpromenade 67
13437 Berlin
E-Mail: info@ankerpunkt-it.de
Verantwortlicher:
Der Kunde, der die Software SecPlaner nutzt und für dessen Zwecke die Datenverarbeitung im Rahmen des Hauptvertrags erfolgt (nachfolgend „Verantwortlicher“).
§ 1 Gegenstand und Dauer
(1) Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.
(2) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der Software SecPlaner zur Personalplanung und -verwaltung, insbesondere:
- Speicherung und Verwaltung von Mitarbeiterstammdaten
- Verwaltung von Schichtplänen und Arbeitszeiten
- Erfassung von Abwesenheiten und Urlaubsanträgen
- Zeiterfassung (Ein-/Ausstempeln)
- Sicherheitsprüfung beim Stempeln (Passkeys, Gerätefreigaben)
- Automatische Planungsvorschläge und Planungsassistenz
- Versand von Benachrichtigungen
- Erstellung von Auswertungen und Berichten
(3) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags über die Nutzung von SecPlaner.
§ 2 Umfang und Art der Datenverarbeitung
(1) Art der personenbezogenen Daten:
- Stammdaten (Name, Vorname, Anschrift, Geburtsdatum)
- Kontaktdaten (E-Mail, Telefon)
- Beschäftigungsdaten (Qualifikationen, Verfügbarkeiten, Stundensätze)
- Zugangsdaten (E-Mail, gehashte Passwörter/PINs)
- Passkey-Metadaten (Credential-IDs, Signaturen, Gerätefreigabestatus)
- Planungsdaten (Schichten, Einsatzzeiten, Abwesenheiten)
- Auto-Planungsdaten (Präferenzen, Scores, Zuweisungen)
- Zeiterfassungsdaten (Stempelzeiten, optional GPS-Koordinaten)
- Sicherheitsmetadaten (Audit-Logs, Geräte-ID, IP, Browser, Log-Daten)
(2) Kategorien betroffener Personen:
- Mitarbeiter des Verantwortlichen
- Administratoren, Planer und Disponenten des Verantwortlichen
(3) Art und Zweck der Verarbeitung:
Die Erhebung, Speicherung, Abfrage, Verwendung, Übermittlung, Einschränkung und Löschung erfolgt ausschließlich zum Zweck der Bereitstellung der Personalplanungssoftware SecPlaner.
§ 3 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
- Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO)
- Geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (Art. 28 Abs. 3 lit. c DSGVO)
- Die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter einzuhalten (Art. 28 Abs. 3 lit. d DSGVO)
- Den Verantwortlichen bei der Erfüllung der Betroffenenrechte mit geeigneten Maßnahmen zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
- Den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32-36 DSGVO zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO)
- Nach Abschluss der Auftragsverarbeitung alle Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO)
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen Datenschutzvorschriften verstößt.
§ 4 Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt sicher:
- Dass eine geeignete Rechtsgrundlage für die Datenverarbeitung vorliegt
- Dass die betroffenen Personen ordnungsgemäß informiert werden
- Dass erforderliche Einwilligungen eingeholt werden, soweit notwendig
- Dass die Daten korrekt und aktuell gehalten werden
(2) Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen in Textform (E-Mail ist ausreichend).
(3) Der Verantwortliche benennt einen Ansprechpartner für datenschutzrelevante Anfragen.
§ 5 Technische und organisatorische Maßnahmen
(1) Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:
Vertraulichkeit
Zutritts- und Zugangskontrollen in zertifizierten EU-Rechenzentren; Mandantentrennung auf Datenbankebene; rollenbasiertes Berechtigungssystem.
Integrität & Verfügbarkeit
Verschlüsselte Datenübertragung via HTTPS/TLS; lückenlose Protokollierung aller Änderungen im Audit-Log; redundantes Setup und DDoS-Schutz.
Ausfallsicherheit
Regelmäßige, verschlüsselte Backups und dokumentierte Wiederherstellungsprozesse.
(2) Die detaillierte Beschreibung der technischen und organisatorischen Maßnahmen ist als Anlage TOMs Bestandteil dieses Vertrags.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.
| Unternehmen | Leistung | Standort |
|---|---|---|
| Netlify, Inc. | Leistung:Hosting, Edge-/Serverless-Funktionen, CDN und Blob-Storage | Standort:USA (DPF/SCC, EU-Regionen soweit konfiguriert) |
| PlanetScale, Inc. | Leistung:PostgreSQL-Datenbankbetrieb mit EU-Datenbankregion | Standort:USA, Datenbankregion EU (SCC/DPF soweit anwendbar) |
| Google Ireland Ltd. / Google LLC (Firebase Cloud Messaging) | Leistung:Native Push-Benachrichtigungen und FCM-Geräte-Token | Standort:EU/USA (DPF/SCC) |
| Apple Inc. (Apple Push Notification service) | Leistung:Zustellung von iOS-Push-Benachrichtigungen | Standort:USA (DPF/SCC soweit anwendbar) |
| Ably Realtime Ltd. | Leistung:Echtzeit-Updates und Pub/Sub-Kommunikation | Standort:Vereinigtes Koenigreich (Angemessenheitsbeschluss) |
| Functional Software, Inc. d/b/a Sentry | Leistung:Fehler- und Crash-Monitoring | Standort:USA (DPF/SCC) |
| Upstash, Inc. | Leistung:Redis-Infrastruktur fuer Rate-Limiting, Queues und Caching | Standort:USA/EU-Regionen je Konfiguration (SCC) |
| Resend / Plus Five Five, Inc. | Leistung:Transaktionale E-Mails | Standort:USA (DPF/SCC) |
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter. Der Verantwortliche kann innerhalb von 30 Tagen Einspruch erheben.
(3) Der Auftragsverarbeiter stellt sicher, dass den Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden.
§ 7 Rechte der betroffenen Personen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte nach Art. 12-22 DSGVO.
(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
(3) Die Software stellt Funktionen zur Verfügung, mit denen der Verantwortliche Auskunftsanfragen beantworten und Daten exportieren kann.
§ 8 Kontrollrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen zu überprüfen.
(2) Der Auftragsverarbeiter stellt auf Anfrage zur Verfügung:
- Nachweise über getroffene technische und organisatorische Maßnahmen
- Informationen zu Unterauftragsverarbeitern
- Aktuelle Zertifizierungen und Audit-Berichte
(3) Vor-Ort-Inspektionen sind nach vorheriger Abstimmung und unter Berücksichtigung der betrieblichen Erfordernisse möglich. Die Kosten trägt der Verantwortliche.
§ 9 Meldepflichten bei Datenpannen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung enthält mindestens:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
- Beschreibung der wahrscheinlichen Folgen und eingeleiteten Gegenmaßnahmen
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen.
§ 10 Beendigung und Datenrückgabe
(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Der Verantwortliche kann vor der Löschung die Herausgabe der Daten in einem gängigen Format verlangen. Die Software bietet hierfür eine Exportfunktion.
(3) Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Der Auftragsverarbeiter bestätigt die Löschung auf Verlangen schriftlich.
§ 11 Haftung
(1) Die Haftung richtet sich nach Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine Verarbeitung entstanden ist, die gegen die DSGVO verstößt.
(2) Ein Auftragsverarbeiter haftet nur, wenn er seinen speziell auferlegten Pflichten nicht nachgekommen ist oder Anweisungen des Verantwortlichen missachtet hat.
(3) Im Innenverhältnis gelten die Haftungsregelungen des Hauptvertrags (AGB).
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.
(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
PDF-Version & Individuelle Unterzeichnung
Für eine gedruckte oder unterzeichnete Version dieses AVV oder bei Fragen zu unserem Datenschutzkonzept wenden Sie sich bitte direkt an: info@ankerpunkt-it.de
Dokumenten-Navigation