Auftragsverarbeitungsvertrag (AVV)

gem. Art. 28 DSGVO | Stand: März 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen dem Kunden, der die Software „mise“ nutzt (nachfolgend „Auftraggeber“), und:

Ole Ullenboom
Leostraße 72A, 50823 Köln
E-Mail: hi@so-mise.com

(nachfolgend „Auftragsverarbeiter“ oder „mise“).

Er ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzerklärung (Datenschutzerklärung) und tritt mit Registrierung des Auftraggebers in Kraft.

§1 Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Software „mise“. Die Verarbeitung umfasst die Module:

  • Schichtplanung und Dienstplanerstellung
  • Zeiterfassung
  • Personalverwaltung (Mitarbeiterstammdaten)
  • Verfügbarkeits- und Urlaubsverwaltung
  • Checklisten
  • Ersatzsuche bei Krankmeldung
  • Personalkostenübersicht

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen Auftraggeber und Auftragsverarbeiter.

§2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung der vereinbarten Software-Funktionen, insbesondere:

  • Speicherung und Anzeige von Mitarbeiterdaten
  • Erstellung, Veröffentlichung und Verwaltung von Schichtplänen
  • Erfassung und Auswertung von Arbeitszeiten
  • Verwaltung von Verfügbarkeiten und Urlaubsanträgen
  • Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen)
  • Abrechnung über den Zahlungsdienstleister Stripe

Eine Verarbeitung zu anderen Zwecken findet nicht statt. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten dazu verpflichtet.

§3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Stammdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer
  • Beschäftigungsdaten: Beschäftigungsart, Qualifikationen, Bereiche/Rollen
  • Arbeitszeitdaten: Schichtpläne, Zeiterfassungen, Pausen, Überstunden
  • Vergütungsdaten: Stundenlohn, Personalkostenübersichten
  • Verfügbarkeitsdaten: Wunschschichten, Abwesenheiten, Urlaubsanträge
  • Geburtsdatum (soweit vom Auftraggeber erfasst)
  • Authentifizierungsdaten: E-Mail, Passwort (gehashed), Session-Token
  • Technische Daten: IP-Adresse, Browser-Typ, Zugriffszeitpunkt

§4 Kategorien betroffener Personen

  • Mitarbeiter und Aushilfen des Auftraggebers
  • Ansprechpartner und Administratoren des Auftraggebers

§5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO)
  • alle erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zu treffen (siehe §7)
  • den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
  • den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO)
  • nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben (siehe §9)
  • dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen

§6 Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Der Auftragsverarbeiter informiert den Auftraggeber über jede Änderung. Aktuell werden folgende Unterauftragsverarbeiter eingesetzt:

DienstleisterZweckServerstandort
Supabase Inc.Datenbank, Authentifizierung, StorageFrankfurt (AWS eu-central-1)
Netlify Inc.Hosting, Serverless FunctionsFrankfurt (EU)
Cloudflare Inc.DNS, CDN, DDoS-SchutzGlobal (EU-Routing)
Resend Inc.Transaktionaler E-Mail-VersandUSA (SCCs)
Stripe Payments Europe Ltd.ZahlungsabwicklungDublin, Irland (EU)

Mit allen Unterauftragsverarbeitern bestehen Verträge gem. Art. 28 DSGVO bzw. EU-Standardvertragsklauseln (SCCs) für Transfers in Drittländer.

§7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen gem. Art. 32 DSGVO:

Vertraulichkeit

  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Admin, Manager, Mitarbeiter)
  • Row-Level Security (RLS) auf Datenbankebene: Mandantentrennung
  • Passwörter werden ausschließlich gehashed gespeichert (bcrypt)
  • Authentifizierung über Supabase Auth mit JWT-Token

Integrität

  • Transportverschlüsselung: TLS 1.2+ für alle Verbindungen
  • Verschlüsselung at rest: AES-256 für die Datenbank (Supabase/AWS)
  • CSRF-Schutz für alle mutierenden API-Anfragen
  • Input-Validierung auf Client- und Serverseite

Verfügbarkeit und Belastbarkeit

  • Automatische Datenbank-Backups (täglich, Supabase)
  • CDN-basierte Auslieferung (Netlify, Cloudflare)
  • Monitoring und automatische Skalierung

Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
  • Abhängigkeiten werden regelmäßig auf Schwachstellen geprüft
  • Datenschutz durch Technikgestaltung (Privacy by Design)

Standort der Datenverarbeitung

Die primäre Datenverarbeitung (Datenbank, Authentifizierung) erfolgt in Frankfurt am Main (AWS eu-central-1). Alle Kerndaten verbleiben in der EU.

§8 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte gem. Art. 15–22 DSGVO, insbesondere:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)

Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird die Anfrage unverzüglich an den Auftraggeber weitergeleitet.

§9 Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen maschinenlesbaren Format (z.B. CSV, JSON) exportiert und dem Auftraggeber zur Verfügung gestellt.

§10 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieses AVV und der technischen und organisatorischen Maßnahmen zu überprüfen. Dies kann erfolgen durch:

  • Einholung von Auskünften und Nachweisen beim Auftragsverarbeiter
  • Prüfungen vor Ort nach vorheriger Ankündigung (mit angemessener Frist)
  • Beauftragung eines unabhängigen Prüfers (unter Geheimhaltungsverpflichtung)

Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung und duldet Überprüfungen.

§11 Schlussbestimmungen

  • Dieser AVV tritt mit Registrierung bei mise in Kraft und gilt für die Dauer der Nutzung der Software.
  • Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Der Auftragsverarbeiter wird wesentliche Änderungen mindestens 30 Tage im Voraus ankündigen.
  • Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  • Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Köln.

Kontakt

Bei Fragen zu diesem AVV wenden Sie sich bitte an:

Ole Ullenboom
E-Mail: hi@so-mise.com

Stand: März 2026