🎉 Beta-Aktion: 30 % Rabatt für die ersten 20 Kunden – lebenslang. Promo-Code im Stripe-Checkout: KINI-BETA30-WZAOP29Y

Auftragsverarbeitungsvertrag (AVV)

Stand: Juni 2026 · gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Kunden bei der Nutzung der SaaS-Plattform „WebApp von KiNi Solutions". Er ergänzt die AGB und ist Bestandteil des Vertragsverhältnisses.

1. Parteien

Verantwortlicher (Auftraggeber): der Kunde der WebApp-Plattform. Der Kunde benennt im SaaS-Vertrag seine vertretungsberechtigte verantwortliche Stelle mit Anschrift.
Auftragsverarbeiter: KiNi Solutions, Stefan Eschbach, Lehmattweg 3, 79664 Wehr, info@kini.solutions.

Datenschutz-Ansprechpartner bei KiNi: Stefan Eschbach, info@kini.solutions. KiNi Solutions ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet gemäß Art. 37 DSGVO und § 38 BDSG (Einzelunternehmen, keine umfangreiche regelmäßige und systematische Überwachung Betroffener als Kerntätigkeit, keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO).

2. Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist der Betrieb der Mitarbeiter-Plattform für den Auftraggeber. Die Verarbeitung umfasst Speicherung, Anzeige, Sortierung, Filterung, Export und Löschung personenbezogener Daten der Beschäftigten und externen Kontakte des Auftraggebers.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des SaaS-Vertrags zuzüglich einer 30-tägigen Soft-Delete-Phase nach Vertragsende sowie der gesetzlichen Aufbewahrungsfristen für buchhaltungsrelevante Daten (10 Jahre nach § 257 HGB). In der 30-tägigen Soft-Delete-Phase besteht für den Auftraggeber Export- und Lese-Zugriff auf seine Daten. Der Auftragsverarbeiter greift in dieser Phase auf personenbezogene Daten nur auf ausdrückliche Weisung des Auftraggebers zu (z. B. zur Unterstützung beim Export oder bei einer Support-Anfrage). Nach Ablauf der 30 Tage werden die Daten automatisch gelöscht; ausgenommen sind ausschließlich die nach § 257 HGB aufzubewahrenden buchhaltungsrelevanten Datensätze, die gesondert archiviert und nach Ablauf der gesetzlichen Frist ebenfalls gelöscht werden.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der Bereitstellung der vereinbarten Plattform-Module gemäß SaaS-Vertrag, insbesondere:

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, kein Profiling, kein KI-gestütztes Scoring und keine automatisierte Verhaltens- oder Leistungsanalyse statt. Filter- und Sortierfunktionen dienen ausschließlich der Anzeige und werden vom angemeldeten Benutzer selbst ausgelöst.

3a. Klarstellung zur Verwendung von KI / Machine-Learning

Der Auftragsverarbeiter erklärt, dass die Plattform keine KI- oder Machine-Learning-Module enthält und dass folgende Verarbeitungen ausgeschlossen sind:

Sollte der Auftragsverarbeiter zukünftig KI-Module einführen, erfolgt zuvor eine schriftliche Information mit Modellarchitektur, Sub-Auftragsverarbeitern, Speicher- und Löschkonzept sowie ggf. Zustimmungserfordernis des Auftraggebers und Änderung dieses Vertrags.

4. Kategorien betroffener Personen

5. Kategorien personenbezogener Daten

ModulDatenkategorien
Account / LoginE-Mail, Name, Rolle, Funktion, Standortzuweisung, Passwort-Hash (Argon2), Session-Token, Recovery-Code
Kalender / TermineTitel, Beschreibung, Start-/Endzeit, Teilnehmerliste, Sitzungszimmer-Bezug, Datei-Anhänge, Audience-Zuordnung (User/Team/Standort)
SitzungenVerknüpfter Termin, Protokoll-Text, Inputs/Outputs, Anhänge, Folgesitzungs-Kette
WeiterbildungenTyp-Bezeichnung, Auffrischungs-Intervall, Pflicht-Zuweisungen (User/Team/Standort), Teilnahme-Historie pro Mitarbeiter, optional verknĂĽpfter Termin
DokumenteDokumententitel, Beschreibung, Datei-Anhang, Pyramiden-Ebene, Frist, Audience-Zuordnung (User/Team/Standort), Workflow-Typ (Information/Kenntnisnahme/Unterschrift); pro Empfänger: Status, Zeitstempel der Rückmeldung, IP-Adresse des Klick-Zeitpunkts, bei Unterschrift der vom Empfänger eingegebene Name, bei Ablehnung die Begründung. Die digitale Unterschrift ersetzt eine handschriftliche Signatur für interne Bestätigungsvorgänge (z. B. Kenntnisnahme einer Brandschutzordnung).
AufträgeAuftragstitel, Beschreibung, Standort, Zuweisung an internes Team oder externen Dienstleister, Anhänge
Snacks & GetränkeBestellte Mengen, Bestand, Inventur, Käufer (Mitarbeiter-Bezug), Lieferanten-Stammdaten
FahrtenbuchKennzeichen, Tachostand (manuell), Start-Ort + Ziel-Ort (Freitext-Eingabe durch Fahrer), Fahrer (Mitarbeiter-Bezug), Datum, digitale Unterschrift. Keine GPS-Daten — bewusster Verzicht auf Geokoordinaten und Karten-Darstellung zur Vermeidung von Profilbildung und Leistungsbeurteilung.
Bike-to-Work / TippspielTageseinträge, Spielergebnisse, Punktestände, Mitarbeiter-Bezug
ChatNachrichten zwischen Mitarbeitern; optionale Datei-Anhänge (Bilder JPG/PNG/WebP/GIF/SVG, PDF, Word, Excel, PowerPoint, OpenOffice, CSV/TXT, bis 15 MB) mit Original-Dateinamen. Chat-Nachrichten und Anhänge werden nach 30 Tagen automatisch gelöscht (täglicher Cleanup-Job).
Push-Versand (Web-Push)Push-Subscription-Endpoint des Empfänger-Browsers/Geräts, p256dh- und auth-Schlüssel der Browser-Subscription, der Inhalt (Titel, Vorschau-Text, Ziel-URL) jeder ausgelösten Benachrichtigung. Auslöser sind neue „Aktuelles"-Beiträge, neue Termine/Veranstaltungen, neue Chat-Nachrichten sowie Termin-Reminder vor zugesagten Terminen, Sitzungen und Weiterbildungs-Anmeldungen (Vorlaufzeit zwischen 30 min und 2 Tagen, default 24 h, vom Empfänger im Profil einstellbar). Bei installierter PWA (Home-Bildschirm) setzt die App über die Web-App-Badging-API zusätzlich einen Zähler am App-Icon mit der Gesamt-Anzahl ungesehener Hinweise; übertragen wird dabei lediglich die Anzahl (eine Zahl), keine weiteren Inhalte.
Fahrzeug-ReservierungMitarbeiter-ID, Fahrzeug-ID, Start-/Endzeit, optionaler Zweck-Freitext, Status (aktiv / storniert).
Weiterbildungs-Feedback (anonym)Antworten auf ein Feedback-Formular (Sterne-Rating, Freitext, Auswahl). Speicherung ohne User-Bezug; nur ein nicht-rĂĽckfĂĽhrbarer SHA-256-Hash aus User-ID und Training-ID schĂĽtzt vor Doppel-Abgabe.
Extern/Gast-KontenPro Konto fĂĽnf optionale Modul-Freischaltungen (Kalender / Mailliste / Telefonliste / Chat / Postfach) sowie ggf. Sichtbarkeits-Whitelist auf Standorte, Teams oder einzelne Mitarbeiter.
In-App-PostfachNachrichten-Kategorie, Titel, Body-Text, optionaler Link, Erstell-/Lese-Zeitstempel. System-generierte Inhalte: Anmelde-Bestätigungen, Reminder, Online-Meeting-Links, KVP/Beschwerde-Rückmeldungen, Beauftragten-Nachrichten (Eingang/Ausgang), Bestell-Bestätigungen bei Anbieter-Sammelbestellungen mit Artikel-Liste + Liefertag; read-only. Postfach-Nachrichten werden nach 30 Tagen automatisch gelöscht (täglicher Cleanup-Job).
Beschwerde- und KVP-EinreichungenPro Einreichung: Kind (kvp/beschwerde), Titel + 4 strukturierte Freitexte (was/wo/wie/Beschreibung), Anonymitäts-Modus (named/pseudonym/full), Einreichender (bei named/pseudonym intern als User-ID gespeichert für Reply-Routing; bei pseudonym sieht die Verwaltung nur ein systemgeneriertes Pseudonym „Anonym #ID"; bei full ist die Sender-ID NULL und systemseitig nicht rückführbar), Status (inkl. Soft-Delete-Status „Gelöscht"), Belohnungs-Text, Verlauf der Verwaltungs-Antworten.
Beauftragte (Stellen)Pro Stelle: Titel, Beschreibung, Vorstellungstext, Kontaktangaben (E-Mail/Telefon), zugewiesene Person (interner User-Bezug ODER Verweis in die unternehmensinterne Kontaktliste; exklusiv), Audience-Zuordnung (User/Team/Standort), Pflicht-Pyramiden-Ebene fĂĽr Dokumente, Erlaubnis-Flag fĂĽr anonyme Nachrichten.
Nachrichten an BeauftragtePro Nachricht: Empfänger-Stelle, Betreff, Body-Text, Anonymitäts-Modus (named/pseudonym/full mit identischer Semantik zur KVP/Beschwerde), Sender-ID nur bei named/pseudonym, Thread-Antworten beider Seiten (bei full nicht möglich). Mail-Versand an die Kontakt-Mail der Stelle (sofern hinterlegt). Postfach-Push bei Eingang.
Beauftragten-DokumenteDatei-Upload pro Stelle: Titel, Datei-Inhalt, MIME-Typ, Pflicht-Einsortierung in die Pyramiden-Ebene (Strategie / Richtlinien / Prozesse / Arbeitsanweisungen / Vorlagen), Hochlade-User, Zeitstempel.
Anbieter-Sammelbestellung (Vendor-Orders)Pro Bestellung: Anbieter-Bezug, Bestellender Mitarbeiter, Artikel + Menge, Stückpreis-Snapshot, Abrechnungsart (privat/Einrichtung), Erfüllungsart (Abholung/Lieferung), Liefer-Standort (bei Lieferung oder Einrichtungsabrechnung), Liefer-Datum, Notiz, Status (offen/erfüllt/storniert). Bei Sammelbestellung mehrere Datensätze in einer Transaktion (all-or-nothing gegen Tageskontingente).
Verwaltungs-KompetenzenPro „Verwaltung"-User Liste der Bereiche, die er pflegen darf (steuert nur Menü-Sichtbarkeit + Routen-Zugriff). Aktuell 19 Bereiche: u. a. Beauftragte, Beschwerde, Weiterbildung, Mitarbeiter, Standorte, …
Mandanten-IdentitätFirmenname, Logo, Farben, Adresse, Tarif

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

6a. Pflichten des Auftraggebers

Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und für die Rechtmäßigkeit der Verarbeitung verantwortlich. Er verpflichtet sich,

7. Sub-Auftragsverarbeiter

Der Auftraggeber stimmt mit Vertragsschluss der Einschaltung folgender Sub-Auftragsverarbeiter zu:

Sub-VerarbeiterSitz / AnschriftLeistung
Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, DeutschlandServer-Hosting, Storage, Netzwerk
Wildbit, LLC (Postmark)225 Chestnut Street, Philadelphia, PA 19106, USA – Drittland; Garantien durch Standardvertragsklauseln (SCC, Durchführungsbeschluss (EU) 2021/914, Modul 2 „Controller-to-Processor"); zusätzlich Zertifizierung nach EU-US Data Privacy Framework (DPF)Versand transaktionaler E-Mails (Einladung, Welcome, Bestellung, Dienstleister-Anfrage)
Stripe Payments Europe Limited1 Grand Canal Street Lower, Grand Canal Dock, Dublin, IrlandZahlungsabwicklung (Karte, SEPA), Subscription-Management
Apple Inc. (Apple Push Notification Service)One Apple Park Way, Cupertino, CA 95014, USA – Drittland; SCC Modul 2; DPF-zertifiziertPush-Auslieferung an Safari/iOS-Geräte (E2E-verschlüsselt nach RFC 8291)
Google LLC (Firebase Cloud Messaging)1600 Amphitheatre Parkway, Mountain View, CA 94043, USA – Drittland; SCC Modul 2; DPF-zertifiziertPush-Auslieferung an Chrome/Android-Geräte (TLS-gesichert; Klartext liegt in der Google-Cloud zwischenzeitlich vor, daher Inhalt minimiert)
Mozilla Corporation (autopush)149 New Montgomery Street, San Francisco, CA 94105, USA – Drittland; SCC Modul 2Push-Auslieferung an Firefox-Geräte (E2E-verschlüsselt nach RFC 8291)

Die Auswahl des Push-Dienstes wird automatisch vom Browser/Betriebssystem des Empfänger-Geräts vorgegeben. Übertragen werden Push-Endpoint, kryptografische Browser-Schlüssel sowie der verschlüsselte Inhalt einer Benachrichtigung (Titel + Vorschau-Text + Ziel-URL); Apple und Mozilla erfahren keinen Klartext.

Der Auftragsverarbeiter informiert den Auftraggeber mindestens 30 Tage im Voraus über beabsichtigte Änderungen oder die Einschaltung neuer Sub-Auftragsverarbeiter. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen ab Information aus sachlichem Grund widersprechen. Im Falle eines Widerspruchs werden sich die Parteien um eine einvernehmliche Lösung bemühen; kommt diese nicht zustande, besteht beiden Parteien ein außerordentliches Kündigungsrecht.

Der Auftragsverarbeiter schlieĂźt mit jedem Sub-Auftragsverarbeiter einen schriftlichen Vertrag, der diesem dieselben oder mindestens gleichwertige Datenschutzpflichten auferlegt wie in der vorliegenden AVV vereinbart. Bei Drittlandstransfers werden geeignete Garantien (insbesondere Standardvertragsklauseln nach DurchfĂĽhrungsbeschluss (EU) 2021/914) verwendet.

8. Technische und organisatorische MaĂźnahmen (TOM)

BereichMaĂźnahme
VertraulichkeitMandanten-Trennung pro Postgres-Container und pro (Sub-)Domain. SSH-SchlĂĽsselbasierter Server-Zugang. Argon2-Passwort-Hashing. Session-Cookies HttpOnly + Secure.
IntegritätHTTPS / TLS 1.3 für sämtliche Verbindungen (auch für optional aufgeschaltete Custom-Domains via Let's-Encrypt-Zertifikate), Stripe-Webhook-Signaturprüfung, signierte Session-Cookies.
VerfügbarkeitTägliche Postgres-Datenbank-Backups, Wiederherstellungstest mindestens vierteljährlich. Server-Monitoring (CPU, RAM, Disk).
PseudonymisierungWo fachlich möglich (z. B. Bike-to-Work-Statistiken auf Standortebene aggregiert).
EingabenAudit-Felder (created_at, updated_at, created_by_id) auf relevanten Modellen. Fahrtenbuch- und Anbieter-Bestellungen sind nach Abschluss schreibgeschĂĽtzt.
AuftragskontrolleKlare Weisungsstruktur ĂĽber E-Mail an info@kini.solutions oder ĂĽber das Superadmin-Dashboard.
TrennungPro Mandant ein eigener Docker-Compose-Stack (App + DB + Volume), keine geteilte Infrastruktur zwischen Mandanten.
BelastbarkeitRessourcen-Limits pro Container; Service-Worker / PWA-Caching auf Client-Seite, sodass Lese-Operationen offline möglich bleiben.

Der Auftragsverarbeiter überprüft die TOM mindestens einmal jährlich sowie anlassbezogen (insbesondere bei wesentlichen Änderungen der Risikolage, des Standes der Technik oder der eingesetzten Komponenten) und passt sie an. Der Auftraggeber wird über wesentliche Änderungen informiert.

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:

(2) Die Meldung kann zunächst formlos per E-Mail an die im SaaS-Vertrag benannten weisungsbefugten Personen erfolgen und wird nachgereicht, sobald weitere Informationen vorliegen. Der Auftraggeber bleibt für die Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und an Betroffene (Art. 34 DSGVO) verantwortlich; der Auftragsverarbeiter unterstützt ihn hierbei gemäß §6.

10. Kontrollrechte und Nachweispflichten (Art. 28 Abs. 3 lit. h DSGVO)

(1) Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind. Dazu zählen insbesondere: aktuelle TOM, Verzeichnis der Sub-Auftragsverarbeiter mit Datenflüssen, Löschkonzept und Lösch-Protokolle, Backup- und Wiederanlauf-Konzept, Berechtigungskonzept und Audit-Logs, Datenschutz-Folgenabschätzungen, Pen-Test-Berichte und Zertifizierungen — letztere jeweils, soweit vorhanden.

(2) Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen einschließlich Inspektionen, die vom Auftraggeber oder einem von ihm beauftragten unabhängigen Prüfer durchgeführt werden. Vor-Ort-Audits sowie Remote-Audits (z. B. Video-Audit mit System-Walkthrough) sind nach vorheriger Abstimmung mit einer Vorlauffrist von mindestens 14 Kalendertagen und während der üblichen Geschäftszeiten möglich; sie dürfen den laufenden Geschäftsbetrieb nicht übermäßig stören. Bei akutem Anlass (z. B. nach einer Datenschutzverletzung) verkürzt sich die Vorlauffrist auf 3 Werktage.

(3) Der Auftragsverarbeiter trägt die für die Audit-Unterstützung anfallenden eigenen Aufwendungen pauschal mit bis zu einem Personentag je Kalenderjahr; darüber hinausgehender Aufwand ist nach Aufwand zu vergüten. Bei einem Audit mit konkretem Anlass nach einer vom Auftragsverarbeiter zu vertretenden Datenschutzverletzung trägt er sämtliche Aufwendungen.

(4) Soweit der Auftragsverarbeiter den Nachweis durch eine aktuelle Zertifizierung nach anerkanntem Verfahren (z. B. ISO 27001) oder einen Bericht eines unabhängigen Prüfers führt, ersetzt dieser eine Vor-Ort-Inspektion, sofern der Auftraggeber damit einverstanden ist.

11. Löschung und Rückgabe

(1) Die Daten werden nach Vertragsende unverzüglich logisch gesperrt (Read-Only-Zugang für den Auftraggeber zu Export-Zwecken; keine Schreib-Routen mehr aktiv) und spätestens nach 30 Tagen irreversibel gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Während der 30-tägigen Sperr-Phase besteht für den Auftraggeber Export-Zugriff über das Admin-Konto. Auf der Auftragsverarbeiter-Seite erfolgt in dieser Phase keine eigenständige Verarbeitung; Zugriff erfolgt ausschließlich auf ausdrückliche Weisung des Auftraggebers (z. B. zur Export-Unterstützung). Backups werden mit derselben Frist behandelt (Backup-Rotation 14 Tage; Backups, die Daten der gelöschten Instanz enthalten, werden mit Ablauf der Rotationsfrist mit-gelöscht).

(3) Nach Ablauf der 30 Tage werden sämtliche personenbezogenen Daten irreversibel gelöscht – mit Ausnahme der nach § 257 HGB aufzubewahrenden buchhaltungsrelevanten Datensätze (insbesondere Verzehr- und Einrichtungs-Abrechnungen sowie Fahrtenbuch-Eintragungen). Diese werden gesondert archiviert und nach Ablauf der gesetzlichen Frist ebenfalls gelöscht.

(4) Jede Löschung wird automatisiert protokolliert: Zeitstempel, Mandant-Identifikator, Anzahl gelöschter Datensätze pro Tabelle, SHA-256-Prüfsumme der löschenden Operation. Das Lösch-Protokoll wird sieben Jahre aufbewahrt und ist im internen Audit-Bereich des Auftragsverarbeiters einsehbar.

(5) Auf Verlangen erhält der Auftraggeber eine schriftliche Lösch-Bestätigung mit Verweis auf die jeweilige Protokoll-Zeile.

11a. Haftung

(1) Es gilt die Haftungsregelung des Art. 82 DSGVO. Auftraggeber und Auftragsverarbeiter haften gegenüber Betroffenen entsprechend ihrer jeweiligen Verantwortung. Im Innenverhältnis haftet jede Partei für Pflichtverletzungen, die sie selbst zu vertreten hat.

(2) Haftung fĂĽr Sub-Auftragsverarbeiter (Art. 28 Abs. 4 DSGVO): Kommt ein vom Auftragsverarbeiter eingesetzter Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenĂĽber dem Auftraggeber fĂĽr die Einhaltung der Pflichten des Sub-Auftragsverarbeiters wie fĂĽr eigenes Verschulden. Diese Haftung umfasst insbesondere Auswahl, vertragliche Verpflichtung, laufende Kontrolle und Beendigung der Sub-Verarbeitung.

(3) Der Auftragsverarbeiter wählt Sub-Auftragsverarbeiter mit Sorgfalt aus, schließt mit ihnen schriftliche Verträge mit mindestens gleichwertigen Pflichten wie aus dieser AVV ab (vgl. §7) und prüft deren Einhaltung regelmäßig. Verstöße werden dem Auftraggeber im Rahmen von §9 mitgeteilt.

(4) Weitergehende vertragliche Haftungsregelungen ergeben sich aus dem SaaS-Vertrag und den AGB.

12. Schlussbestimmungen

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts und der kollisionsrechtlichen Verweisungsnormen. Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist – soweit gesetzlich zulässig – der Sitz des Auftragsverarbeiters (Wehr, Baden-Württemberg). Pflichtangaben aus zwingenden Verbraucherschutz- oder Datenschutzvorschriften bleiben unberührt. Sollten einzelne Regelungen unwirksam sein, bleiben die übrigen davon unberührt. Änderungen dieses AVV bedürfen der Textform.