Jetzt starten und 14 Tage kostenlos testen - keine Kreditkarte erforderlich! Kostenlos testen →

Auftragsverarbeitungsvertrag (AVV)

Stand: Dezember 2024 | Gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") wird geschlossen zwischen dem Kunden (nachfolgend "Auftraggeber" oder "Verantwortlicher") und Workanoo (nachfolgend "Auftragnehmer" oder "Auftragsverarbeiter").

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Workanoo-Software (SaaS). Die Verarbeitung umfasst:

  • Speicherung und Verwaltung von Kundendaten
  • Speicherung und Verwaltung von Projektdaten
  • Speicherung und Verwaltung von Mitarbeiterdaten
  • Erstellung und Speicherung von Dokumenten (Angebote, Rechnungen)
  • Terminverwaltung und Kalendereinträge
  • Zeiterfassung

1.2 Dauer

Die Verarbeitung beginnt mit der Registrierung und endet mit der vollständigen Löschung des Kundenkontos. Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 14 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen:

  • Bereitstellung der SaaS-Anwendung
  • Speicherung und Abruf von Geschäftsdaten
  • Erstellung von Dokumenten und Berichten
  • E-Mail-Benachrichtigungen im Auftrag des Kunden
  • Technischer Support

3. Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Stammdaten: Name, Firma, Anschrift, Kontaktdaten
  • Kommunikationsdaten: E-Mail-Adresse, Telefonnummer
  • Vertragsdaten: Angebote, Rechnungen, Projekte
  • Nutzungsdaten: Logins, Zeiterfassung, Kalendereinträge
  • Inhaltsdaten: Notizen, Dokumente, Fotos

4. Kategorien betroffener Personen

  • Kunden des Auftraggebers
  • Mitarbeiter des Auftraggebers
  • Lieferanten und Geschäftspartner des Auftraggebers
  • Ansprechpartner bei Projekten

5. Pflichten des Auftragnehmers

5.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Software stellt eine solche Weisung dar.

5.2 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass sich alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet haben.

5.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

  • Zutrittskontrolle: Rechenzentrum mit physischer Zugangskontrolle
  • Zugangskontrolle: Passwortschutz, Zwei-Faktor-Authentifizierung (optional)
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem
  • Weitergabekontrolle: SSL/TLS-Verschlüsselung
  • Eingabekontrolle: Protokollierung von Änderungen
  • Auftragskontrolle: Klare Vertragsgestaltung
  • Verfügbarkeitskontrolle: Regelmäßige Backups, Redundanz
  • Trennungskontrolle: Mandantentrennung (Multi-Tenancy)

5.4 Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

Dienstleister Zweck Standort
Strato AG Hosting, Serverinfrastruktur Deutschland
Strato AG E-Mail-Versand Deutschland
Stripe, Inc. (EU-US Data Privacy Framework) Zahlungsabwicklung USA

Der Auftraggeber stimmt dem Einsatz dieser Unterauftragsverarbeiter zu. Bei Änderungen wird der Auftraggeber informiert und hat ein Widerspruchsrecht.

5.5 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei:

  • Beantwortung von Anfragen betroffener Personen
  • Meldung von Datenschutzverletzungen
  • Datenschutz-Folgenabschätzungen

6. Rechte und Pflichten des Auftraggebers

  • Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich
  • Der Auftraggeber erteilt alle Weisungen schriftlich oder in Textform
  • Der Auftraggeber informiert den Auftragnehmer über besondere Datenschutzanforderungen
  • Der Auftraggeber hat das Recht, die Einhaltung dieses AVV zu überprüfen

7. Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich (innerhalb von 24 Stunden) über:

  • Verletzungen des Schutzes personenbezogener Daten
  • Verdacht auf Datenschutzverletzungen
  • Weisungen, die gegen Datenschutzrecht verstoßen

8. Löschung und Rückgabe von Daten

Nach Beendigung des Vertrags:

  • Werden alle personenbezogenen Daten innerhalb von 14 Tagen gelöscht
  • Kann der Auftraggeber vorher einen Datenexport anfordern
  • Werden Backups nach spätestens 90 Tagen gelöscht
  • Erfolgt eine schriftliche Bestätigung der Löschung auf Anfrage

9. Kontakt für Datenschutzanfragen

Matthias Geißler
Workanoo - Software für Handwerksbetriebe
Paul-Frankl-Weg 17
06120 Halle (Saale)
E-Mail: datenschutz@workanoo.de

10. Schlussbestimmungen

Dieser AVV tritt mit der Bestätigung bei der Registrierung in Kraft und gilt für die Dauer der Nutzung der Workanoo-Software. Änderungen bedürfen der Textform. Es gilt deutsches Recht.

Mit der Registrierung und Bestätigung des AVV erklärt der Auftraggeber sein Einverständnis mit den vorstehenden Bestimmungen.