Auftragsverarbeitungsvertrag (AVV)

1.1 Verantwortlicher (Kunde)

Der Verantwortliche ist der Kunde, der die Teamplaner-Plattform nutzt und dessen Daten gemäß den nachfolgenden Bestimmungen verarbeitet werden. Die konkreten Angaben zum Verantwortlichen ergeben sich aus dem jeweiligen Vertragsverhältnis.

1.2 Auftragsverarbeiter

market performance GmbH
Hansastraße 105
13088 Berlin
Deutschland

Handelsregister: Amtsgericht Berlin Charlottenburg, HRB 200542 B

E-Mail: kontakt@teamplaner.online

2.1 Gegenstand

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung und des Betriebs der Teamplaner-SaaS-Plattform für Schichtplanung und Zeiterfassung.

2.2 Dauer

Dieser AVV gilt für die gesamte Dauer der Nutzung der Teamplaner-Plattform durch den Verantwortlichen und endet automatisch mit Beendigung des Hauptvertrags. Nach Vertragsende werden alle personenbezogenen Daten gemäß Ziffer 7 gelöscht oder zurückgegeben.

3.1 Art der verarbeiteten Daten

Der Auftragsverarbeiter verarbeitet folgende Kategorien personenbezogener Daten:

• Stammdaten von Mitarbeitern (Name, Kontaktdaten)
• Qualifikationen und Fähigkeiten
• Arbeitszeiten und Schichtpläne
• Zeiterfassungsdaten (Arbeitsbeginn, -ende, Pausen)
• Abwesenheiten (Urlaub, Krankheit)
• Nutzerkonten und Anmeldedaten (E-Mail, gehashtes Passwort)
• Notizen und Kommentare

3.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:

• Bereitstellung und Betrieb der Teamplaner-Plattform
• Ermöglichung der Schichtplanung und Zeiterfassung
• Verwaltung von Nutzerkonten und Zugriffsrechten
• Technischer Support und Kundenservice
• Gewährleistung der Systemsicherheit und -stabilität

5.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen. Weisungen erfolgen zunächst durch diesen AVV und die zugrunde liegenden Vertragsbedingungen. Einzelweisungen können schriftlich (inkl. E-Mail) erteilt werden.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

5.2 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich, die Vertraulichkeit aller personenbezogenen Daten zu wahren. Alle Personen, die mit der Verarbeitung der Daten betraut sind, wurden auf das Datengeheimnis verpflichtet und sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).

5.3 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

• Der Beantwortung von Anträgen betroffener Personen (Art. 15-22 DSGVO)
• Der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung)

Die Unterstützung erfolgt durch geeignete technische und organisatorische Maßnahmen sowie durch Bereitstellung relevanter Informationen.

5.4 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorgaben durch den Auftragsverarbeiter zu kontrollieren. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung und ermöglicht Überprüfungen und Inspektionen durch den Verantwortlichen oder einen beauftragten Prüfer.

6.1 Verschlüsselung

• SSL/TLS-Verschlüsselung (mindestens TLS 1.2) für alle Datenübertragungen
• Passwörter werden ausschließlich in gehashter Form gespeichert
• Verschlüsselte Datenbankverbindungen

6.2 Zugriffskontrolle

• Authentifizierung mittels E-Mail und sicherem Passwort
• Rollenbasierte Zugriffskontrolle (RBAC)
• Regelmäßige Überprüfung und Aktualisierung von Zugriffsrechten
• Zwei-Faktor-Authentifizierung für administrative Zugänge

6.3 Verfügbarkeit und Belastbarkeit

• Tägliche automatisierte Backups der Datenbanken
• Redundante Infrastruktur durch Cloud-Hosting (Vercel, Neon)
• Monitoring und Alerting bei Systemausfällen

6.4 Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Sicherheitsupdates und Patches
• Logging und Monitoring sicherheitsrelevanter Ereignisse
• Regelmäßige Überprüfung der Sicherheitsmaßnahmen

6.5 Physische Sicherheit

Die Daten werden in professionellen Rechenzentren unserer Unterauftragnehmer (siehe Ziffer 8) gespeichert, die über umfassende physische Sicherheitsmaßnahmen verfügen (Zugangskontrollen, Videoüberwachung, Brandschutz, etc.).

8.1 Vercel Inc.

• Leistung: Hosting und Betrieb der Web-Applikation
• Standort: USA (mit EU-Standardvertragsklauseln)
• Website: vercel.com
• Datenschutz: vercel.com/legal/privacy-policy

8.2 Neon, Inc.

• Leistung: Datenbank-Hosting (PostgreSQL)
• Standort: Frankfurt am Main, Deutschland (EU)
• Website: neon.tech
• Datenschutz: neon.tech/privacy-policy

8.3 Resend

• Leistung: E-Mail-Versand (Transaktionsmails)
• Website: resend.com
• Datenschutz: resend.com/legal/privacy-policy

8.4 Änderungen bei Unterauftragnehmern

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Verantwortliche hat die Möglichkeit, gegen solche Änderungen Einspruch zu erheben. Die Information erfolgt per E-Mail an die beim Verantwortlichen hinterlegte Kontaktadresse mindestens 30 Tage vor der geplanten Änderung.