Außendienstapp

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Präambel

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) wird zwischen dem Kunden der SaaS-Plattform „Außendienstapp“ (im Folgenden „Auftraggeber“ oder „Verantwortlicher“) und

Benedikt Bimmerle, Merowingerstraße 6, 40223 Düsseldorf
E-Mail: info@aussendienstapp.de
(im Folgenden „Auftragnehmer“ oder „Auftragsverarbeiter“)

geschlossen und ergänzt die Allgemeinen Geschäftsbedingungen (AGB) der Außendienstapp. Der AVV tritt mit Beginn der Nutzung des Dienstes in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „Außendienstapp“ zur Verwaltung von Außendienstaktivitäten. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (AGB).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Kundenstammdaten
  • Erstellung, Speicherung und Auswertung von Besuchsberichten
  • Speicherung von Fotos aus Besuchsberichten
  • Verarbeitung von GPS-Standortdaten
  • Verwaltung von Benutzerkonten und Authentifizierung
  • Versand transaktionaler E-Mails
  • Erstellung von Auswertungen und Dashboards
  • Verwaltung von Bestellungen und Produktdaten
  • Besuchsplanung und Routenoptimierung

§ 3 Art der personenbezogenen Daten

  • Stammdaten der Mitarbeiter des Auftraggebers (Name, E-Mail-Adresse, Rolle)
  • Kundenstammdaten (Firmenname, Adresse, Ansprechpartner, Kontaktdaten)
  • Besuchsdaten (Datum, Uhrzeit, Dauer, GPS-Position)
  • Inhalte von Besuchsberichten (Freitextfelder, Auswahlen)
  • Fotos und Bilddaten
  • Bestelldaten (Produkte, Mengen, Preise)
  • Zahlungsdaten (werden ausschließlich von Stripe verarbeitet, nicht vom Auftragnehmer gespeichert)
  • Technische Daten (IP-Adresse, Browsertyp, Zugriffsprotokolle)

§ 4 Kategorien betroffener Personen

  • Mitarbeiter des Auftraggebers (Manager, Außendienstmitarbeiter)
  • Kunden und Geschäftskontakte des Auftraggebers (Ansprechpartner in besuchten Unternehmen)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

  • personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers zu verarbeiten, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich (Art. 28 Abs. 3 lit. a DSGVO)
  • sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 8)
  • den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO zu unterstützen
  • den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen (Art. 15–22 DSGVO) zu unterstützen
  • nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern nicht eine Aufbewahrungspflicht besteht
  • dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen (Audits) durch den Auftraggeber oder einen von diesem beauftragten Prüfer zu ermöglichen. Audits sind mit einer Vorankündigungsfrist von mindestens vier Wochen anzumelden, auf maximal ein Audit pro Kalenderjahr begrenzt und während der üblichen Geschäftszeiten (Mo–Fr, 9–17 Uhr MEZ) durchzuführen. Die Kosten des Audits trägt der Auftraggeber, sofern kein Verstoß des Auftragnehmers festgestellt wird.

Hinweis zum Beschäftigtendatenschutz: Der Auftraggeber ist als Verantwortlicher verpflichtet, seine Beschäftigten (insbesondere Außendienstmitarbeiter) gemäß Art. 13/14 DSGVO i.V.m. § 26 BDSG über die Datenverarbeitung durch den Dienst zu informieren. Dies gilt insbesondere für die GPS-Standorterfassung bei Besuchsberichten. Sofern ein Betriebsrat besteht, ist der Auftraggeber für die Einholung erforderlicher Zustimmungen gemäß § 87 Abs. 1 Nr. 6 BetrVG verantwortlich. Bei Nutzung der GPS-Funktion empfehlen wir dem Auftraggeber die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO.

§ 6 Unterauftragnehmer (Sub-Processors)

Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter (Unterauftragnehmer). Zum Zeitpunkt des Vertragsschlusses setzt der Auftragnehmer folgende Unterauftragnehmer ein:

AnbieterSitzZweckTransfergrundlage
Vercel Inc.USA (Daten: EU Frankfurt)Hosting, CDN, WebanalyseEU-US DPF, SCCs
Supabase Inc.Singapur (Daten: EU Frankfurt)Datenbank, Auth, DateispeicherungAVV, Daten ausschließlich in EU
Stripe, Inc.USAZahlungsabwicklungEU-US DPF, PCI DSS L1
Resend Inc.USATransaktionale E-MailsEU-US DPF, SCCs
Functional Software Inc. (Sentry)USA (Daten: EU de.sentry.io)FehlerüberwachungEU-US DPF, SCCs
CARTO, Inc.USAKartenkachelnEU-US DPF

Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern per E-Mail mit einer Frist von mindestens 14 Tagen vor der geplanten Änderung. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen. Erfolgt kein Widerspruch, gilt die Zustimmung als erteilt.

Widerspricht der Auftraggeber, wird der Auftragnehmer die Änderung nicht vornehmen. Kann der Dienst ohne den neuen Unterauftragnehmer nicht in zumutbarer Weise erbracht werden, steht beiden Parteien ein Sonderkündigungsrecht zu.

Der Auftragnehmer stellt sicher, dass mit jedem Unterauftragnehmer ein Vertrag geschlossen wird, der mindestens die gleichen Datenschutzpflichten auferlegt wie dieser AVV.

§ 7 Datenübermittlung in Drittländer

Eine Verarbeitung personenbezogener Daten in einem Drittland (außerhalb des EWR) findet nur statt, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind. Aktuell stützt sich die Übermittlung auf:

  • Angemessenheitsbeschluss EU-US Data Privacy Framework (DPF) für US-Unterauftragnehmer
  • Angemessenheitsbeschluss für das Vereinigte Königreich
  • Ergänzende Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914

Hinweis zu Supabase Inc.: Der Firmensitz von Supabase liegt in Singapur. Alle personenbezogenen Kundendaten werden jedoch ausschließlich in der EU-Region (AWS eu-central-1, Frankfurt) gespeichert und verarbeitet. Ein Transfer personenbezogener Daten nach Singapur findet nicht statt. Für den Fall, dass Supabase-Mitarbeiter zu Support- oder Wartungszwecken aus Drittländern auf Systeme zugreifen, sind ergänzende Standardvertragsklauseln (SCCs) vereinbart.

Details zu den einzelnen Unterauftragnehmern und deren Transfergrundlagen finden sich in der Datenschutzerklärung (Abschnitte 17 und 19).

§ 8 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit
  • Zutrittskontrolle: Cloud-basierte Infrastruktur bei zertifizierten Anbietern (AWS eu-central-1) mit physischer Zugangssicherung
  • Zugangskontrolle: Authentifizierung über Supabase Auth mit bcrypt-Hashing (Cost Factor 10), Session-basierte Zugriffskontrolle
  • Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene, rollenbasiertes Berechtigungssystem (Manager/Field Rep), Multi-Tenant-Isolation über organization_id
  • Trennungskontrolle: Logische Mandantentrennung durch organization_id auf allen Tabellen, RLS-Policies erzwingen Datenisolation
Integrität
  • Weitergabekontrolle: SSL/TLS-Verschlüsselung für alle Datenübertragungen (HTTPS), verschlüsselte Datenbankverbindungen
  • Eingabekontrolle: Server-seitige Validierung aller Eingaben (Zod-Schema-Validierung), Audit-Logging für kritische Änderungen
Verfügbarkeit und Belastbarkeit
  • Verfügbarkeit: 99,5% Ziel-Verfügbarkeit, tägliche automatische Backups, redundante Cloud-Infrastruktur
  • Belastbarkeit: Auto-Scaling über Vercel und Supabase, Connection Pooling (Transaction Mode, 200 Clients)
  • Wiederherstellung: Point-in-time Recovery über Supabase, tägliche Backups mit Aufbewahrungsfrist
Verfahren zur regelmäßigen Überprüfung
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen
  • Fehlerüberwachung über Sentry (EU-Region)
  • Automatisierte E2E-Tests der Anwendungssicherheit

§ 9 Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und ungefähren Zahl der betroffenen Personen und Datensätze
  • Namen und Kontaktdaten des Ansprechpartners für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung

§ 10 Weisungsrecht

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen können per E-Mail an info@aussendienstapp.de erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Ausführung der entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.

§ 11 Laufzeit und Beendigung

Dieser AVV wird auf unbestimmte Zeit geschlossen und endet automatisch mit Beendigung des Hauptvertrages (AGB).

Nach Beendigung der Auftragsverarbeitung löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers gemäß den in den AGB (§ 14) und der Datenschutzerklärung (Abschnitt 14) festgelegten Fristen. Vor der Löschung hat der Auftraggeber die Möglichkeit, seine Daten im JSON-Format zu exportieren. Nach Abschluss der Löschung erhält der Auftraggeber eine Bestätigung per E-Mail, dass alle personenbezogenen Daten vollständig gelöscht wurden (Art. 28 Abs. 3 lit. g DSGVO).

§ 12 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Düsseldorf, sofern der Auftraggeber Kaufmann ist.

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Dieser AVV gilt ab dem Zeitpunkt der erstmaligen Nutzung des Dienstes durch den Auftraggeber und bedarf keiner separaten Unterschrift. Mit der Nutzung des Dienstes bestätigt der Auftraggeber die Kenntnisnahme und Geltung dieses AVV.

Stand: April 2026