Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:

• dem Kunden (Verantwortlicher im Sinne der DSGVO, nachfolgend „Auftraggeber"), und
• dem Anbieter von Tourenplan.app (Auftragsverarbeiter im Sinne der DSGVO, nachfolgend „Auftragnehmer").

Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) und tritt mit der Registrierung des Kunden in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform Tourenplan.app.
2. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (AGB). Nach Vertragsende gelten die Löschfristen gemäß § 10 dieses AVV.

§ 2 Art und Zweck der Verarbeitung

1. Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung der Tourenplanungssoftware, insbesondere:
   • Speicherung und Verwaltung von Klienten-/Gästedaten
   • Tourenplanung und -optimierung
   • Fahrer- und Fahrzeugzuordnung
   • Benutzerverwaltung und Zugangskontrolle
   • Kommunikation (E-Mail-Benachrichtigungen)
2. Eine Verarbeitung zu anderen Zwecken findet nicht statt.

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Kategorie	Datenarten
Stammdaten der Benutzer	E-Mail-Adresse, Name/Nickname, Rolle
Klienten-/Gästedaten	Vor- und Nachname, Adresse, Telefonnummer, Pflegegrad, Abhol-/Bringzeiten, Abwesenheitszeiten, Tourenhinweise
Fahrerdaten	Name, E-Mail, GPS-Standort (soweit aktiviert), Tourenzuordnung
Fahrzeugdaten	Kennzeichen, Bezeichnung, GPS-Standort
Nutzungsdaten	Anmeldezeitpunkte, IP-Adressen (Audit-Log), Sitzungsdaten

§ 4 Kategorien betroffener Personen

• Mitarbeiter des Auftraggebers (Benutzer der Plattform)
• Klienten/Gäste/Pflegebedürftige (Personen, die in den Touren erfasst werden)
• Fahrer und Koordinatoren

§ 5 Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist nach Unionsrecht oder dem Recht des Mitgliedstaats dazu verpflichtet.
2. Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
3. Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe § 7).
4. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 28 Abs. 3 lit. e DSGVO).
5. Der Auftragnehmer unterstützt den Auftraggeber bei Datenschutz-Folgenabschätzungen (Art. 28 Abs. 3 lit. f DSGVO).
6. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 6 Unterauftragsverarbeiter

1. Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO).
2. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf Unterauftragsverarbeiter und gibt dem Auftraggeber die Möglichkeit, innerhalb von 14 Tagen Einspruch einzulegen.
3. Aktuelle Unterauftragsverarbeiter:

   Dienstleister	Zweck	Standort
   Hetzner Online GmbH	Server-Hosting, Datenspeicherung	Deutschland (Nürnberg/Falkenstein)
   Brevo (Sendinblue GmbH)	Transaktions-E-Mails (SMTP)	Deutschland / EU
   Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland (EU)

4. Der Auftragnehmer stellt sicher, dass jedem Unterauftragsverarbeiter die gleichen Datenschutzpflichten auferlegt werden wie in diesem AVV.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit

• Vollständige TLS/SSL-Verschlüsselung aller Datenübertragungen (HTTPS, HSTS)
• Datenbankisolierung: Jeder Kunde erhält eine eigene, physisch getrennte Datenbank
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert
• Zugriff auf Serverdaten nur über SSH mit Key-Authentifizierung
• CSRF-Schutz für alle schreibenden Operationen

Integrität

• Audit-Logging aller sicherheitsrelevanten Aktionen (Login, Datenänderungen, Passwortänderungen)
• Rate-Limiting zum Schutz vor Brute-Force-Angriffen
• Eingabevalidierung und Prepared Statements gegen SQL-Injection
• Content-Security-Header (X-Frame-Options, X-Content-Type-Options, XSS-Protection)

Verfügbarkeit

• Regelmäßige automatische Datenbank-Backups
• Überwachung der Serverinfrastruktur (Monitoring)
• Offline-Modus in der App zur Verhinderung von Datenverlust bei Netzwerkausfällen

Belastbarkeit

• Rate-Limiting auf Webserver-Ebene (max. 30 Req/s pro IP)
• PHP-FPM Prozessmanagement für stabile Performance
• Firewall-Konfiguration (UFW) auf Serverebene

§ 8 Meldung von Datenschutzverletzungen

1. Der Auftragnehmer informiert den Auftraggeber unverzüglich (idealerweise innerhalb von 24 Stunden) über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
2. Die Meldung enthält mindestens:
   • Art der Verletzung
   • Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
   • Wahrscheinliche Folgen
   • Ergriffene und vorgeschlagene Maßnahmen

§ 9 Rechte der betroffenen Personen

1. Werden Betroffenenrechte (Art. 15–22 DSGVO) gegenüber dem Auftragnehmer geltend gemacht, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
2. Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Mitteln bei der Erfüllung der Betroffenenrechte. Hierfür stellt die Plattform eine Datenexport-Funktion bereit.

§ 10 Löschung und Rückgabe von Daten

1. Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche personenbezogenen Daten nach einer Karenzzeit von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
2. Der Auftraggeber kann innerhalb der Karenzzeit einen vollständigen Datenexport über die Plattform oder per Anfrage an support@tourenplan.app anfordern.
3. Die Löschung wird dokumentiert und auf Anfrage bestätigt.

§ 11 Kontrollrechte

1. Der Auftraggeber hat das Recht, die Einhaltung der in diesem AVV getroffenen Vereinbarungen zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).
2. Kontrollen können in Form von Auskünften, Einsichtnahmen in Dokumentationen oder (nach vorheriger Abstimmung) Vor-Ort-Prüfungen erfolgen.
3. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung.

§ 12 Schlussbestimmungen

1. Dieser AVV unterliegt deutschem Recht.
2. Änderungen bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.
3. Sollten einzelne Bestimmungen unwirksam sein, bleibt der AVV im Übrigen wirksam.
4. Im Falle von Widersprüchen zwischen diesem AVV und den AGB gehen die Bestimmungen dieses AVV bezüglich datenschutzrechtlicher Fragen vor.