Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen des Dienstes "CleaningSchedule".

Auftraggeber (Verantwortlicher): Der registrierte Administrator der Organisation (nachfolgend "Auftraggeber")

Auftragsverarbeiter:
[ANPASSEN: Firmenname]
[ANPASSEN: Adresse]
E-Mail: [ANPASSEN: E-Mail-Adresse]

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

Die Verarbeitung umfasst folgende Tätigkeiten im Rahmen der Reinigungsverwaltungs-Plattform:

• Speicherung und Verwaltung von Benutzerprofilen
• Verwaltung von Reinigungsaufträgen und deren Status
• Speicherung von Fotos (Reinigungsnachweise, Schadensmeldungen)
• Synchronisierung von Buchungsdaten mit Drittanbietern
• Versand von Push-Benachrichtigungen
• Erstellung von Audit-Logs

• Name, E-Mail-Adresse
• Organisationszugehörigkeit und Rolle
• Arbeitszeiten und Auftragshistorie
• Hochgeladene Fotos
• Buchungsdaten (Gästenamen, Check-in/Check-out-Daten)
• Geräteinformationen (für Push-Benachrichtigungen)

• Administratoren (Auftraggeber)
• Reinigungskräfte (Teammitglieder)
• Gäste (indirekt über Buchungsdaten)

Der Auftragsverarbeiter verpflichtet sich:

• Daten nur gemäß den Weisungen des Auftraggebers zu verarbeiten
• Die Vertraulichkeit der Daten zu gewährleisten (alle Mitarbeiter sind zur Vertraulichkeit verpflichtet)
• Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen (siehe Abschnitt 6)
• Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
• Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren
• Nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben

Folgende Maßnahmen sind implementiert:

• Verschlüsselung: TLS/HTTPS für alle Datenübertragungen, verschlüsselte Speicherung sensibler Daten (z.B. API-Schlüssel via Cloud KMS)
• Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), mehrstufige Authentifizierung, HttpOnly Session-Cookies
• Datenisolierung: Mandantenfähige Architektur mit vollständiger Datentrennung pro Organisation
• Firestore Security Rules: Serverseitige Zugriffskontrolle auf Datenbankebene
• Protokollierung: Audit-Logs für sicherheitsrelevante Aktionen
• Datensicherung: Automatische Backups durch Google Firebase
• Speicherort: EU-Region (europe-west1)

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

Änderungen bei Unterauftragsverarbeitern werden dem Auftraggeber mitgeteilt. Der Auftraggeber kann innerhalb von 30 Tagen widersprechen.

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15-22 DSGVO). Die Plattform bietet folgende Self-Service-Funktionen:

• Datenexport (Art. 20): Über die Einstellungen in der App
• Kontolöschung (Art. 17): Über die Einstellungen in der App

Nach Beendigung des Auftrags werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Der Auftraggeber kann vor der Löschung einen vollständigen Datenexport durchführen.

Der Auftraggeber hat das Recht, die Einhaltung der in diesem AVV festgelegten Maßnahmen zu überprüfen. Dies kann durch Selbstauskünfte, Zertifikate oder (nach vorheriger Absprache) Vor-Ort-Kontrollen erfolgen.