Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: Juni 2026

§ 1 Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch Unterweisungsapp (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Nutzung des Dienstes zur digitalen Sicherheitsunterweisung.

Die Laufzeit des AVV entspricht der Laufzeit des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen folgende Kategorien personenbezogener Daten:

  • Namen und E-Mail-Adressen von Mitarbeitern des Verantwortlichen
  • Digitale Unterschriften der Mitarbeiter
  • Zeitstempel der durchgeführten Unterweisungen
  • IP-Adressen der Mitarbeiter zum Zeitpunkt der Unterzeichnung

Zweck der Verarbeitung ist die Erstellung, Speicherung und Bereitstellung von rechtssicheren Unterweisungsnachweisen gemäß §12 ArbSchG.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Zur Vertraulichkeit verpflichtete Personen mit der Verarbeitung zu betrauen
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen
  • Die Bedingungen dieses Vertrages bei der Hinzuziehung weiterer Auftragsverarbeiter einzuhalten
  • Den Verantwortlichen bei der Erfüllung seiner Pflichten zu unterstützen
  • Nach Wahl des Verantwortlichen alle personenbezogenen Daten zu löschen oder zurückzugeben
  • Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen

§ 4 Technische und organisatorische Maßnahmen

Folgende Maßnahmen werden getroffen:

  • Verschlüsselte Übertragung aller Daten (HTTPS/TLS)
  • Verschlüsselte Datenspeicherung in der Datenbank
  • Zugriffskontrolle: Jeder Nutzer sieht nur Daten seines eigenen Unternehmens
  • Regelmäßige automatische Backups
  • Serverstandort in der Europäischen Union
  • Zwei-Faktor-Authentifizierung für Administratoren

§ 5 Unterauftragnehmer

Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein, denen gegenüber gleichwertige Datenschutzverpflichtungen bestehen:

  • Supabase Inc. — Datenbankhosting (EU-Server)
  • Vercel Inc. — Anwendungshosting (EU-Server)
  • Resend Inc. — E-Mail-Versand

Der Verantwortliche stimmt dem Einsatz dieser Unterauftragnehmer zu.

§ 6 Meldepflichten

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Die Meldung erfolgt per E-Mail an die im Kundenkonto hinterlegte Adresse.

§ 7 Löschung nach Vertragsende

Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Verantwortliche kann zuvor einen Datenexport anfordern.

Hinweis für Testkunden

Dieser AVV gilt für alle Nutzer des Dienstes. Durch die Anmeldung und Nutzung des Dienstes stimmen Sie diesem Vertrag zu. Für den Produktivbetrieb empfehlen wir eine individuelle anwaltliche Prüfung.