Auftragsverarbeitungsvertrag (AVV)
Stand: Mai 2026 · gemäß Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Kunden bei der Nutzung der SaaS-Plattform „WebApp von KiNi Solutions". Er ergänzt die AGB und ist Bestandteil des Vertragsverhältnisses.
1. Parteien
Verantwortlicher (Auftraggeber): der Kunde der WebApp-Plattform.
Auftragsverarbeiter: KiNi Solutions, Stefan Eschbach, Lehmattweg 3, 79664 Wehr, info@kini.solutions.
2. Gegenstand und Dauer der Verarbeitung
(1) Gegenstand der Verarbeitung ist der Betrieb der Mitarbeiter-Plattform für den Auftraggeber. Die Verarbeitung umfasst Speicherung, Anzeige, Sortierung, Filterung, Export und Löschung personenbezogener Daten der Beschäftigten und externen Kontakte des Auftraggebers.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des SaaS-Vertrags zuzüglich der gesetzlichen Aufbewahrungsfristen für Buchhaltungsdaten (10 Jahre nach § 257 HGB) und einer 30-tägigen Soft-Delete-Phase nach Vertragsende.
3. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt zum Zweck der Bereitstellung der vereinbarten Plattform-Module gemäß SaaS-Vertrag, insbesondere:
- Benutzerverwaltung (Login, Rollen, Standortzuweisung)
- Termin- und Veranstaltungs-Verwaltung inkl. Einladungen
- Auftragsverwaltung (Vergabe an interne Teams oder externe Dienstleister)
- Bestandspflege und Bestellungen für Snacks/Getränke (Vertrauenskiosk)
- Sitzungszimmer-Buchung
- Fahrtenbuch (QR-Scan, GPS-Tracking, digitale Unterschrift)
- Bike-to-Work-Challenge, Tippspiel
- Interner Mitarbeiter-Chat
- E-Mail-Benachrichtigungen (Einladungen, Bestell-Mails, Anfragen an Dienstleister, Welcome-Mails)
4. Kategorien betroffener Personen
- Mitarbeiterinnen und Mitarbeiter des Auftraggebers (alle Rollen: Admin, Leitung, Mitarbeiter, ggf. weitere domainspezifische Rollen)
- Externe Anbieter / externe Dienstleister, die mit der Plattform in Kontakt stehen (z. B. Lieferanten, Handwerksfirmen)
- Eingeladene Gäste an Terminen
5. Kategorien personenbezogener Daten
| Modul | Datenkategorien |
|---|---|
| Account / Login | E-Mail, Name, Rolle, Funktion, Standortzuweisung, Passwort-Hash (Argon2), Session-Token, Recovery-Code |
| Kalender / Termine | Titel, Beschreibung, Start-/Endzeit, Teilnehmerliste, Sitzungszimmer-Bezug, Datei-Anhänge |
| Aufträge | Auftragstitel, Beschreibung, Standort, Zuweisung an internes Team oder externen Dienstleister, Anhänge |
| Snacks & Getränke | Bestellte Mengen, Bestand, Inventur, Käufer (Mitarbeiter-Bezug), Lieferanten-Stammdaten |
| Fahrtenbuch | Kennzeichen, GPS-Trackpoints, Tachostand, Fahrer (Mitarbeiter-Bezug), Datum, digitale Unterschrift |
| Bike-to-Work / Tippspiel | Tageseinträge, Spielergebnisse, Punktestände, Mitarbeiter-Bezug |
| Chat | Nachrichten zwischen Mitarbeitern, optional Bild-Anhänge (mit 30 Tage Auto-Cleanup) |
| Mandanten-Identität | Firmenname, Logo, Farben, Adresse, Tarif |
6. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich,
- personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten;
- die Vertraulichkeit der zur Verarbeitung eingesetzten Personen sicherzustellen;
- angemessene technische und organisatorische Maßnahmen (siehe Anhang TOM) zu treffen;
- den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt;
- den Auftraggeber bei der Wahrnehmung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) zu unterstützen;
- nach Beendigung des Vertrags die Daten – außerhalb gesetzlicher Aufbewahrungsfristen – zu löschen oder zurückzugeben.
7. Sub-Auftragsverarbeiter
Der Auftraggeber stimmt mit Vertragsschluss der Einschaltung folgender Sub-Auftragsverarbeiter zu:
| Sub-Verarbeiter | Sitz / Verarbeitungsort | Leistung |
|---|---|---|
| Hetzner Online GmbH | Falkenstein, Deutschland | Server-Hosting, Storage, Netzwerk |
| Wildbit, LLC (Postmark) | USA – Verarbeitung auf Basis Standardvertragsklauseln (SCC) | Versand transaktionaler E-Mails (Einladung, Welcome, Bestellung) |
| Stripe Payments Europe Limited | Dublin, Irland | Zahlungsabwicklung (Karte, SEPA), Subscription-Management |
Der Auftragsverarbeiter wird den Auftraggeber mindestens 30 Tage im Voraus über beabsichtigte Änderungen oder neue Sub-Verarbeiter informieren. Der Auftraggeber kann der Änderung aus wichtigem Grund widersprechen; in diesem Fall steht beiden Parteien ein außerordentliches Kündigungsrecht zu.
8. Technische und organisatorische Maßnahmen (TOM)
| Bereich | Maßnahme |
|---|---|
| Vertraulichkeit | Mandanten-Trennung pro Postgres-Container und pro Subdomain. SSH-Schlüsselbasierter Server-Zugang. Argon2-Passwort-Hashing. Session-Cookies HttpOnly + Secure. |
| Integrität | HTTPS / TLS 1.3 für sämtliche Verbindungen, Stripe-Webhook-Signaturprüfung, signierte Session-Cookies. |
| Verfügbarkeit | Tägliche Postgres-Datenbank-Backups, Wiederherstellungstest mindestens vierteljährlich. Server-Monitoring (CPU, RAM, Disk). |
| Pseudonymisierung | Wo fachlich möglich (z. B. Bike-to-Work-Statistiken auf Standortebene aggregiert). |
| Eingaben | Audit-Felder (created_at, updated_at, created_by_id) auf relevanten Modellen. Fahrtenbuch- und Brot-Bestellungen sind nach Abschluss schreibgeschützt. |
| Auftragskontrolle | Klare Weisungsstruktur über E-Mail an info@kini.solutions oder über das Superadmin-Dashboard. |
| Trennung | Pro Mandant ein eigener Docker-Compose-Stack (App + DB + Volume), keine geteilte Infrastruktur zwischen Mandanten. |
| Belastbarkeit | Ressourcen-Limits pro Container; Service-Worker / PWA-Caching auf Client-Seite, sodass Lese-Operationen offline möglich bleiben. |
9. Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich (spätestens innerhalb von 72 Stunden), nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung enthält Art und Umfang der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen und ergriffene Gegenmaßnahmen.
10. Kontrollrechte
Der Auftraggeber kann sich vom Auftragsverarbeiter Nachweise über die getroffenen TOM und ihre Wirksamkeit zukommen lassen. Vor-Ort-Audits sind nach vorheriger Abstimmung und während der üblichen Geschäftszeiten möglich.
11. Löschung und Rückgabe
Nach Vertragsende stellt der Auftragsverarbeiter dem Auftraggeber innerhalb von 30 Tagen nach schriftlicher Anforderung einen vollständigen Datenexport bereit (CSV-/JSON-Format) und löscht anschließend alle Daten – mit Ausnahme der nach § 257 HGB aufzubewahrenden Buchhaltungs-relevanten Datensätze (insbesondere Verzehr-/Einrichtungs-Abrechnungen und Fahrtenbuch).
12. Schlussbestimmungen
Es gilt deutsches Recht. Sollten einzelne Regelungen unwirksam sein, bleiben die übrigen davon unberührt. Änderungen dieses AVV bedürfen der Textform.