Auftragsverarbeitungsvertrag (AVV)

(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Nutzers zur Erbringung des Dienstes „Auftragsbuch" (Import, Verknüpfung und Aufbereitung von Fahrt-/Schichtdaten, Erstellung digitaler Auftragsbücher).

(2) Die Dauer entspricht der Laufzeit des Nutzungsvertrages (AGB) und endet automatisch mit dessen Beendigung.

(1) Art: Erheben, Speichern, Verknüpfen (Matching), Auswerten, Erstellen von PDF-Dokumenten, Löschen.

(2) Zweck: Erstellung digitaler Auftragsbücher (§ 49 PBefG) sowie zugehöriger Auswertungen aus den vom Nutzer bereitgestellten Daten.

(3) Ort: EU (Hosting in Frankfurt am Main). Drittlandbezug nur über genehmigte Unterauftragsverarbeiter (§ 7).

Kategorien personenbezogener Daten:

• Fahrer-Kennungen / interne Fahrer-IDs, ggf. Namen (soweit in Rohdaten enthalten)
• Arbeits-/Schichtzeiten, Fahrtzeiten
• Fahrzeug-/Kennzeichendaten in Verbindung mit Fahrten
• Fahrt-/Auftragsdaten (Abhol-/Zielorte, Zeitstempel, TSE-/DSFinV-Daten)

Betroffene Personen: Fahrerinnen und Fahrer des Nutzers.

Im erzeugten Auftragsbuch-PDF werden keine Fahrernamen ausgewiesen (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).

(1) Der Anbieter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Nutzers, soweit nicht gesetzlich zu etwas anderem verpflichtet.

(2) Der Anbieter informiert den Nutzer unverzüglich, wenn er eine Weisung für rechtswidrig hält.

(1) Vertraulichkeit: Es werden nur zur Vertraulichkeit verpflichtete Personen eingesetzt (Art. 28, 29, 32 Abs. 4 DSGVO).

(2) Datensicherheit: Der Anbieter trifft die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 1.

(3) Unterstützung: Der Anbieter unterstützt den Nutzer im Rahmen des Möglichen bei der Erfüllung von Betroffenenrechten (Art. 12–23) sowie bei Pflichten nach Art. 32–36 DSGVO.

(4) Datenschutzverletzungen werden dem Nutzer unverzüglich nach Bekanntwerden gemeldet.

(5) Ansprechpartner beim Anbieter: [email protected].

Nach Abschluss der Verarbeitung löscht der Anbieter die personenbezogenen Daten oder gibt sie nach Wahl des Nutzers zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht (insbesondere § 147 AO; die Aufbewahrungspflicht trifft regelmäßig den Nutzer als Verantwortlichen).

(1) Der Nutzer genehmigt den Einsatz folgender Unterauftragsverarbeiter:

(2) Der Anbieter informiert den Nutzer über beabsichtigte Änderungen vorab; der Nutzer kann widersprechen (Art. 28 Abs. 2 DSGVO).

Der Anbieter stellt dem Nutzer die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO), z. B. durch Bereitstellung der Dokumentation der technischen und organisatorischen Maßnahmen.

(1) Für die Haftung gelten Art. 82 DSGVO sowie die Regelungen des Nutzungsvertrages.

(2) Bei Widerspruch zwischen diesem AVV und dem Nutzungsvertrag gehen in Bezug auf die Datenverarbeitung die Regelungen dieses AVV vor.

(3) Es gilt deutsches Recht.

• Vertraulichkeit: Zugriffskontrolle über authentifizierte Konten (Clerk); Mandantentrennung (Multi-Tenant); rollenbasierte Zugriffe.
• Integrität: Hash-Sicherung der Datensätze (SHA-256), Transportverschlüsselung (TLS).
• Verschlüsselung: TLS in Transit (HTTPS erzwungen); Verschlüsselung des Datenbank-Speichers im Ruhezustand durch Fly.io (AES-XTS).
• Verfügbarkeit: Hosting in der EU (Fly.io Frankfurt), automatische Volume-Snapshots.
• Datenminimierung: Keine Fahrernamen im PDF-Output.