Auftragsverarbeitungsvertrag (AVV)

Musterinhalt gemäß Art. 28 DSGVO für die Verarbeitung personenbezogener Daten durch Sortex Inh. Julius Sorgner im Auftrag der Kundenunternehmen.

Vorbemerkung

Diese Seite enthält den Musterinhalt unseres Auftragsverarbeitungsvertrags für Kundenunternehmen, die ShiftGuard einsetzen. Der verbindliche AVV wird bei Vertragsschluss gesondert in Textform vereinbart. Auf Anfrage stellen wir den AVV als unterzeichenbares PDF zur Verfügung — senden Sie uns dazu eine E-Mail an support@sortexai.com.

§ 1 Vertragsparteien

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde (das ShiftGuard einsetzende Unternehmen).

Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist Sortex Inh. Julius Sorgner, Hochstraße 8, 35510 Butzbach („Auftragsverarbeiter“).

§ 2 Gegenstand und Dauer des Auftrags

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von ShiftGuard als Schichtbestätigungs- und Eskalationstool.

(2) Die Dauer des Auftrags entspricht der Laufzeit des zwischen den Parteien bestehenden Hauptvertrags (Nutzungsvertrag für ShiftGuard).

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Ordnen, Anzeigen, Übermitteln (per E-Mail oder Sprachanruf an vom Kunden hinterlegte Kontaktdaten) und Löschen personenbezogener Daten. Zweck ist ausschließlich die Durchführung des Schichtbestätigungs- und Eskalationsprozesses im Auftrag des Kunden.

§ 4 Art der personenbezogenen Daten und Kategorien betroffener Personen

Kategorien betroffener Personen: Mitarbeiterinnen und Mitarbeiter des Kunden (sowie deren Vorgesetzte, soweit als Eskalations-Empfänger hinterlegt).

Kategorien personenbezogener Daten:

  • Stammdaten (Vor- und Nachname)
  • Kontaktdaten (E-Mail-Adresse, Telefonnummer)
  • Schichtbezogene Daten (zugeordnete Schichten, Datum, Uhrzeit, Einsatzort)
  • Bestätigungs- und Statusdaten (Bestätigungs-Tokens, Antwortzeitpunkt, Antwortart, Eskalations-Logs)
  • Technische Nutzungsdaten im Rahmen der Sicherheitsüberwachung (gehashte IP, Zeitstempel)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • personenbezogene Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten, sofern er nicht durch das Recht der Union oder Mitgliedstaaten zu einer anderen Verarbeitung verpflichtet ist (Art. 28 Abs. 3 lit. a DSGVO);
  • sicherzustellen, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
  • die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (vgl. § 8 dieses Vertrags);
  • den Kunden bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO);
  • den Kunden unverzüglich zu informieren, wenn eine Weisung nach Einschätzung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO);
  • den Kunden bei der Beantwortung von Anträgen Betroffener auf Wahrnehmung ihrer Rechte nach Art. 12 bis 22 DSGVO zu unterstützen;
  • nach Abschluss der Erbringung der Verarbeitungsleistungen sämtliche personenbezogenen Daten nach Wahl des Kunden zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 28 Abs. 3 lit. g DSGVO).

§ 6 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter wird den Kunden unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnis, über jede Verletzung des Schutzes personenbezogener Daten informieren (Art. 33 Abs. 2 DSGVO). Die Meldung enthält, soweit bekannt:

  • eine Beschreibung der Art der Verletzung
  • die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze
  • die wahrscheinlichen Folgen der Verletzung
  • die ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung und Behebung

§ 7 Unterauftragsverarbeiter

(1) Der Kunde erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zum Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter (Art. 28 Abs. 2 Satz 2 DSGVO). Der Auftragsverarbeiter wird den Kunden über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) mit einer Vorlaufzeit von mindestens vier Wochen informieren; der Kunde kann einer Änderung innerhalb dieser Frist aus wichtigem datenschutz­rechtlichem Grund widersprechen.

(2) Eingesetzte Unterauftragsverarbeiter:

  • Supabase Inc., 970 Toa Payoh North, Singapur / Hosting-Region EU (Frankfurt) — Datenbank- und Authentifizierungs­dienste (PostgreSQL, Auth)
  • Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA / Hosting-Region EU (fra1, Frankfurt) — Hosting, Serverless Functions, Cron-Jobs, Edge-Middleware
  • Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — Transaktionaler E-Mail-Versand (Schichtbestätigungs-Links, Passwort-Resets)
  • Twilio Inc., 101 Spear Street #500, San Francisco, CA 94105, USA — Sprachanrufe für Eskalationen
  • Upstash Inc., 548 Market St, PMB 65211, San Francisco, CA 94104, USA / EU-Region — Rate-Limiting (Redis) mit gehashten IP-Adressen
  • Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — Zahlungs­abwicklung (Abonnement, Rechnungsstellung)
  • Functional Software, Inc. (Sentry), 45 Fremont Street 8th Floor, San Francisco, CA 94105, USA — Fehler- und Performance-Monitoring mit pseudonymisierten Nutzdaten

(3) Mit allen Unterauftragsverarbeitern bestehen Verträge, die die Einhaltung der Anforderungen des Art. 28 DSGVO sicherstellen. Drittland­übermittlungen erfolgen auf Basis von EU-Standard­vertrags­klauseln (Art. 46 Abs. 2 lit. c DSGVO) bzw. — soweit zutreffend — auf Basis des EU-US Data Privacy Framework.

§ 8 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO die folgenden technischen und organisatorischen Maßnahmen:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verschlüsselung im Transit (TLS 1.3) und im Ruhezustand (AES-256 auf Datenbank-Ebene durch Supabase)
  • Rollenbasierte Zugriffskontrolle mit Row Level Security auf PostgreSQL-Ebene
  • Multi-Tenant-Isolation: jede Kundenorganisation wird strikt überorg_id-Filter getrennt
  • Passwort-Hashing mittels bcrypt (Supabase Auth)
  • Kryptographisch zufällige Bestätigungs-Tokens (256 Bit) mit Ablaufzeit
  • Beschränkter administrativer Zugriff auf das Produktions-System; Zwei-Faktor-Authentisierung für Cloud-Konten

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Hash-Chain-gesicherte Audit-Logs (jede Änderung prüfbar gegen vorherigen Hash)
  • Webhook-Signatur-Prüfung (HMAC-SHA256) für externe Dienste (Stripe, Resend, Twilio)
  • CSRF-Schutz durch Same-Site-Cookies und Origin-Prüfung
  • Zeitstempel-geschützte Input-Validierung für alle sicherheitsrelevanten Eingaben

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Tägliche automatisierte Datenbank-Backups mit 7 Tagen Retention (Supabase Pro)
  • Redundantes Hosting in EU-Region (Frankfurt fra1)
  • Rate-Limiting gegen Missbrauch (Upstash Redis)
  • Automatisierte Fehler-Überwachung (Sentry) mit Alerting

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Automatisierte Security-Scans (Dependency-Audit, ESLint-Security) im CI/CD-Prozess
  • Regelmäßige Abhängigkeits-Updates gegen bekannte Sicherheitslücken (pnpm audit, Dependabot)
  • Internes Review neu eingeführter Datenverarbeitungen und Code-Änderungen

Pseudonymisierung und Löschung

  • IP-Adressen werden vor der Speicherung in Rate-Limit- und Audit-Systemen gehasht
  • Automatisierte Retention-basierte Löschung über täglich laufende Aufbewahrungs-Jobs
  • Personenbezogene Daten werden vor Übermittlung an Sentry pseudonymisiert (E-Mail-Adressen, Telefonnummern, Tokens redigiert)

§ 9 Kontrollrechte des Kunden

(1) Der Kunde hat das Recht, die Einhaltung der Pflichten aus diesem Vertrag beim Auftragsverarbeiter in angemessener Weise zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).

(2) Der Auftragsverarbeiter stellt dem Kunden auf Anfrage die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung, insbesondere eine aktuelle Fassung der TOMs und der Sub-Prozessor-Liste. Vor-Ort-Audits sind mit angemessener Vorlaufzeit anzukündigen und dürfen den laufenden Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen.

§ 10 Rückgabe und Löschung nach Vertragsende

Nach Ende des Hauptvertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern der Kunde nicht ausdrücklich eine Rückgabe verlangt und sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung umfasst auch bei Unterauftragsverarbeitern gespeicherte Kopien, soweit technisch möglich.

§ 11 Haftung

Für die Haftung gelten die Regelungen des Hauptvertrags (AGB, § 8) sowie die gesetzlichen Bestimmungen des Art. 82 DSGVO.

§ 12 Schlussbestimmungen

(1) Nebenabreden zu diesem Vertrag bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(3) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

Stand: April 2026 · Version 1.0

Zurück zur Startseite