Auftragsverarbeitungsvertrag

(1) Dieser Vertrag regelt die Rechte und Pflichten des Auftragnehmers bei der Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers im Rahmen der Nutzung der Software „Vivo" (vivoteam.de).

(2) Der Vertrag gilt für die Dauer der Nutzung von Vivo. Er endet automatisch mit Beendigung des Nutzungsverhältnisses.

(1) Der Auftragnehmer verarbeitet folgende Kategorien personenbezogener Daten im Auftrag des Auftraggebers:

• Namen und E-Mail-Adressen von Mitarbeitern
• Arbeitszeiten und Anwesenheitsdaten
• Urlaubsanträge und Abwesenheiten
• Schichtplandaten
• Spracheinstellungen

(2) Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung der Software Vivo für die digitale Zeiterfassung, Urlaubsverwaltung und Teamkommunikation.

(3) Die Verarbeitung findet ausschließlich im Gebiet der Europäischen Union statt. Server befinden sich in Frankfurt am Main, Deutschland (Supabase / Fly.io).

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

(2) Der Auftraggeber erteilt Weisungen durch die Nutzung der Software sowie durch schriftliche Mitteilung an hallo@vivoteam.de.

(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen die DSGVO verstößt, informiert er den Auftraggeber unverzüglich.

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO getroffen:

Vertraulichkeit

• Verschlüsselte Übertragung via HTTPS/TLS
• Verschlüsselte Datenspeicherung
• Zugriffskontrollen und rollenbasierte Berechtigungen
• Passwortlose Authentifizierung via OTP und Magic Links

Integrität

• Regelmäßige Backups durch Supabase (täglich)
• Audit-Logs für kritische Datenzugriffe

Verfügbarkeit

• Hosting auf Fly.io mit automatischem Failover
• 99,9 % Verfügbarkeit angestrebt

Belastbarkeit

• Monitoring und Alerting
• Regelmäßige Sicherheitsupdates

(1) Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:

(2) Der Auftraggeber stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Abschluss dieses Vertrages zu.

(3) Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen bei Unterauftragsverarbeitern per E-Mail mindestens 30 Tage im Voraus.

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit).

(2) Anfragen von betroffenen Personen leitet der Auftragnehmer unverzüglich an den Auftraggeber weiter.

(1) Nach Beendigung des Vertrages löscht oder anonymisiert der Auftragnehmer alle Daten des Auftraggebers innerhalb von 90 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Zeiterfassungsdaten unterliegen einer gesetzlichen Aufbewahrungspflicht von 10 Jahren gemäß § 147 AO / § 257 HGB und werden entsprechend anonymisiert gespeichert.

(3) Auf Anfrage stellt der Auftragnehmer einen Datenexport bereit (hallo@vivoteam.de).

(1) Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften beim Auftragnehmer zu kontrollieren.

(2) Kontrollen können durch schriftliche Anfragen an hallo@vivoteam.de durchgeführt werden.

(1) Der Auftragnehmer meldet Datenschutzverletzungen dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.

(2) Die Meldung erfolgt per E-Mail an die vom Auftraggeber hinterlegte Adresse.

(1) Dieser Vertrag unterliegt deutschem Recht.

(2) Änderungen bedürfen der Schriftform.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.