RechtlichesAVV
AVV

Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Du verarbeitest mit Cleandesk365 personenbezogene Daten deiner Kunden, Mitarbeiter und Lieferanten. Damit das DSGVO-konform läuft, brauchst du mit uns einen AVV — und genau den findest du hier.

Stand: 4. Mai 2026

Präambel

Zwischen dem Kunden (nachfolgend „Verantwortlicher") und der Cleandesk365 GmbH, Wasserturmstraße 16, 04668 Grimma (nachfolgend „Auftragsverarbeiter" oder „AV"), wird die folgende Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO geschlossen.

Dieser AVV wird mit Abschluss eines kostenpflichtigen Cleandesk365-Vertrags automatisch Vertragsbestandteil. Wird zusätzlich das KI-Paket gebucht, gilt ergänzend der Anthropic-Zusatz-AVV — siehe § 6.

§ 1 Gegenstand & Dauer

Gegenstand der Verarbeitung ist die Bereitstellung der Cleandesk365-Software (SaaS) zur Auftrags-, Zeit-, Material-, Rechnungs- und Belegverwaltung des Verantwortlichen sowie der hierzu gehörenden Support- und Betriebsleistungen.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zuzüglich der in § 8 geregelten Lösch- bzw. Rückgabefrist.

§ 2 Weisungsbefugnis

Der AV verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Hauptvertrag und dieser AVV stellen die Erstweisung dar; weitere Weisungen erfolgen über die Konfigurationsmöglichkeiten der Software, das Support-Ticketsystem oder in Textform (E-Mail genügt).

Hält der AV eine Weisung für rechtswidrig, hat er den Verantwortlichen unverzüglich zu informieren. Die Verarbeitung darf bis zur Bestätigung oder Änderung der Weisung ausgesetzt werden.

§ 3 Art, Zweck & Kategorien der Daten

Verarbeitet werden personenbezogene Daten der folgenden Kategorien betroffener Personen: Mitarbeiter des Verantwortlichen, dessen Endkunden, Lieferanten sowie sonstige im Auftragskontext erfasste Personen (z. B. Subunternehmer, Bewerber).

KategorieBeispieleBetroffene
StammdatenName, Anschrift, Position, USt-ID, IBANalle Kategorien
KontaktdatenE-Mail, Telefonalle Kategorien
BeschäftigtendatenStundensatz, Lohngruppe, MitarbeiterstatusMitarbeiter
Zeit- & LeistungsdatenArbeitsstunden, TätigkeitsbeschreibungenMitarbeiter, Subunternehmer
StandortdatenGPS-Stempel beim Auftrags-Start (mobile Zeiterfassung)Mitarbeiter
VertragsdatenAufträge, Angebote, Ausgangs- und Eingangsrechnungen, ZahlungsstatusKunden, Lieferanten
Material- & InventardatenGeräte-Zuordnung, MaterialverbrauchMitarbeiter
BilddatenAufmaße, Baustellen-Fotos, BelegscansMitarbeiter, ggf. Kunden
Login- & NutzungsdatenUser-ID, IP, Session-Informationen, Audit-LogMitarbeiter

Besondere Kategorien (Art. 9 DSGVO)

Im Modul Zeiterfassung wird ausschließlich die Dauer einer Krankschreibung als besondere Datenkategorie gemäß Art. 9 Abs. 1 DSGVO verarbeitet — und auch das nur, soweit der Verantwortliche dies für seine arbeits- und sozialversicherungsrechtlichen Pflichten benötigt (Rechtsgrundlage: Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG).

Sollte der Verantwortliche darüber hinausgehende besondere Kategorien in Freitextfeldern hinterlegen, geschieht dies eigenverantwortlich und ohne Wissen des AV.

§ 4 Technische & organisatorische Maßnahmen (TOM)

Der AV setzt die folgenden Maßnahmen entsprechend Art. 32 DSGVO um:

Vertraulichkeit

  • Zutrittskontrolle: Verarbeitung ausschließlich in zertifizierten Rechenzentren der Amazon Web Services in Frankfurt am Main (24/7-Zugangskontrolle, Vereinzelung, Videoüberwachung).
  • Zugangskontrolle: Verpflichtende Zwei-Faktor-Authentifizierung (2FA) für alle Mitarbeiter des AV mit Datenzugriff. Administrativer Zugriff ausschließlich über VPN. Passwörter werden gehasht gespeichert.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC). Produktiver Datenzugriff durch genau einen designierten Mitarbeiter; weitere Mitarbeiter ausschließlich nach Vier-Augen-Prinzip im Notfall.
  • Trennungskontrolle / Mandantentrennung: Jeder Tenant erhält eine eigenständige MySQL-Datenbank sowie einen dedizierten S3-Bucket. Eine Vermischung von Mandantendaten ist auf Infrastruktur-Ebene ausgeschlossen.
  • Verschlüsselung: AES-256 at rest (Datenbank, S3, Backups), TLS 1.2 oder höher in transit, Schlüsselverwaltung über AWS KMS.
  • Pseudonymisierung in Logs: Personenbezogene Daten in Application-Logs (Kibana) werden vor Ablage maskiert; produktive Klartextdaten werden in keiner Test- oder Staging-Umgebung verwendet.

Integrität & Verfügbarkeit

  • Eingabekontrolle / Audit-Trail: Alle Zugriffe auf Kundendaten durch Mitarbeiter des AV werden protokolliert; Aufbewahrung 30 Tage.
  • Weitergabekontrolle: Verschlüsselte Übertragung an die in § 6 genannten Subunternehmer; jeweils dokumentierte AVV.
  • Verfügbarkeit: Tägliche verschlüsselte Datenbank-Backups (Mitternacht UTC) in einen separaten S3-Bereich am Standort Frankfurt; Aufbewahrung 30 Tage rotierend. Wiederherstellungspunktziel (RPO) und Wiederherstellungszeitziel (RTO) jeweils 24 Stunden — als interne Zielmarken, nicht als vertragliche Verfügbarkeits-Zusage (siehe AGB § 6).

Verfahren zur regelmäßigen Überprüfung

  • Datenschutz-Beauftragter: Der AV hat einen externen Datenschutzbeauftragten benannt (siehe § 5).
  • Incident-Response: Dokumentierter Prozess; Meldung von Datenschutzverletzungen an den Verantwortlichen binnen 24 Stunden ab Kenntnis (siehe § 5).
  • Vertraulichkeitsverpflichtung: Alle Mitarbeiter des AV sind im Rahmen ihres Arbeitsverhältnisses zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO i. V. m. § 53 BDSG).
  • Schulung: Datenschutz-Schulungen werden in Abstimmung mit dem externen Datenschutzbeauftragten geplant und durchgeführt.
  • Anerkannte Zertifikate des Hosting-Partners: Der AV stützt sich auf die ISO-27001-, SOC-1-, SOC-2- und SOC-3-Zertifizierungen von Amazon Web Services für die Infrastruktur-Ebene; diese sind unter aws.amazon.com/de/compliance abrufbar.

§ 5 Pflichten des Auftragsverarbeiters

  • Verarbeitung der Kundendaten ausschließlich innerhalb der EU/des EWR (Hauptverarbeitung in Frankfurt am Main).
  • Führung eines Verarbeitungsverzeichnisses gemäß Art. 30 Abs. 2 DSGVO.
  • Benennung eines Datenschutzbeauftragten: Felix Schweinebraten, LL.M., Schweinebraten IT, Universitätsplatz 12, 34112 Kassel; info@schweinebraten.it.
  • Verpflichtung der eingesetzten Mitarbeiter auf das Datengeheimnis nach Art. 28 Abs. 3 lit. b DSGVO und § 53 BDSG.
  • Unterstützung des Verantwortlichen bei Datenschutz-Folgenabschätzungen, Auskunfts-, Lösch- oder Berichtigungsersuchen sowie bei Behördenanfragen — soweit dies dem AV mit angemessenem Aufwand möglich ist.
  • Meldung von Datenschutzverletzungen an den Verantwortlichen unverzüglich, spätestens binnen 24 Stunden ab Kenntnis.

§ 6 Subunternehmer (weitere Auftragsverarbeiter)

Der Verantwortliche stimmt der Beauftragung der folgenden Subunternehmer zu:

SubunternehmerLeistungSitz / Verarbeitung
Amazon Web Services EMEA SARLHosting Anwendung, Datenbanken, S3-Speicher, BackupsFrankfurt am Main, DE (eu-central-1)
Amazon Web Services EMEA SARLTransaktions-E-Mail-Versand (SES)Frankfurt am Main, DE (eu-central-1)
Digistore24 GmbHZahlungsabwicklung (Payment Processor)Hildesheim, DE
DATEV eGSchnittstelle Buchhaltung (nur bei aktiver Datev-Anbindung des Verantwortlichen)Nürnberg, DE

Eine Änderung dieser Liste — Hinzufügung oder Austausch eines Subunternehmers — wird durch Aktualisierung der jeweils aktuellen Fassung auf der Website unter cleandesk365.de/sub-auftragsverarbeiter mit Wirkung für die Zukunft bekanntgegeben. Der Verantwortliche kann der Änderung binnen 30 Tagen nach Bekanntgabe in Textform widersprechen; in diesem Fall ist der AV berechtigt, den Hauptvertrag aus wichtigem Grund zu kündigen.

KI-Paket: Anthropic PBC (Drittlandtransfer)

Wird das kostenpflichtige KI-Paket gebucht, werden die Inhalte der vom Verantwortlichen hochgeladenen Eingangsrechnungen — einschließlich der darin enthaltenen personenbezogenen Daten — zur automatischen Erkennung an die Anthropic PBC, San Francisco, USA, übertragen. Diese Verarbeitung findet außerhalb der EU statt. Voraussetzung für die Buchung des KI-Pakets ist daher der gesonderte Abschluss des KI-Zusatz-AVV einschließlich der Standardvertragsklauseln (SCC) der EU-Kommission. Ohne KI-Paket findet kein Drittlandtransfer statt.

§ 7 Unterstützung bei Betroffenenrechten

Der AV unterstützt den Verantwortlichen bei der Erfüllung von Anträgen Betroffener nach Art. 15–22 DSGVO durch geeignete technische und organisatorische Maßnahmen — insbesondere durch die in der Software integrierten Export- und Lösch-Funktionen.

Anfragen Betroffener, die direkt beim AV eingehen, leitet er unverzüglich an den Verantwortlichen weiter und beantwortet diese nicht selbst.

§ 8 Löschung & Rückgabe nach Vertragsende

Innerhalb von 30 Tagen nach Beendigung des Hauptvertrags stellt der AV dem Verantwortlichen einmalig einen vollständigen Datenexport bereit:

  • Belege und Dateianlagen als ZIP-Archiv aus dem dem Tenant zugeordneten S3-Bucket.
  • Stammdaten, Aufträge, Stunden, Rechnungen und Konfiguration als MySQL-Dump der Tenant-Datenbank.

Im Anschluss an die 30-tägige Bereitstellungsfrist werden alle produktiven Datensätze des Verantwortlichen gelöscht. Die zugehörigen Backup-Kopien werden im Rahmen der regulären 30-tägigen Backup-Rotation automatisch überschrieben. Eine darüberhinausgehende Aufbewahrung erfolgt nur, soweit gesetzliche Pflichten dies zwingend erfordern.

Gesetzliche Aufbewahrungspflichten des Verantwortlichen (z. B. Rechnungen, GoBD, AO) bleiben hiervon unberührt — der Verantwortliche hat den Datenexport rechtzeitig zu sichern.

§ 9 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich von der Einhaltung der TOMs zu überzeugen. Der AV stellt hierfür folgende Nachweise bereit:

  • Aktuelle Zertifikate des Infrastruktur-Hosters (ISO 27001, SOC 1/2/3 von AWS — öffentlich abrufbar).
  • Auf schriftliche Anfrage einen Selbstauskunftsbogen des AV mit aktualisierten TOM-Angaben.
  • Auf schriftliche Anfrage einen Bericht des bei Cleandesk365 bestellten externen Datenschutzbeauftragten.

Vor-Ort-Kontrollen finden ausschließlich bei begründeten Zweifeln an der Einhaltung der TOMs statt — nach mindestens 30 Tagen Vorankündigung in Textform, höchstens einmal pro Kalenderjahr und während der üblichen Geschäftszeiten. Die Kosten der Kontrolle trägt der Verantwortliche, sofern sich die Beanstandung nicht bestätigt.

§ 10 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei nur für den von ihr zu vertretenden Verstoß. Die Haftungsbeschränkungen aus dem Hauptvertrag (AGB § 8) gelten ergänzend, soweit Art. 82 DSGVO dem nicht entgegensteht.

§ 11 Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform (E-Mail genügt).

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) gehen die Regelungen dieses AVV vor, soweit die Verarbeitung personenbezogener Daten betroffen ist.

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Vereinbarung unberührt; an die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung.

Weitere Rechtliches
Fragen zum Rechtlichen?
Schreib uns direkt an datenschutz@cleandesk365.de — keine Bots, echte Menschen.