Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO · Stand: Juni 2026
Dieser AVV ist Bestandteil des Nutzungsvertrags zwischen dem Kunden (Verantwortlicher) und Guillermo García Acosta, handelnd unter SailNet Enterprise (Auftragsverarbeiter). Er gilt automatisch mit Abschluss des Nutzungsvertrags als vereinbart.
1. Definitionen
- Verantwortlicher: Der Kunde, der die SailNet Enterprise Plattform nutzt und die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
- Auftragsverarbeiter: Guillermo García Acosta, handelnd unter SailNet Enterprise, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Personenbezogene Daten: Alle Informationen im Sinne des Art. 4 Nr. 1 DSGVO, die der Verantwortliche im Rahmen der Plattformnutzung eingibt oder verarbeitet.
2. Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen für die Dauer des Nutzungsvertrags. Die Verarbeitung dient der Bereitstellung der SailNet Enterprise Plattform zur Verwaltung von Projekten, Arbeitsaufträgen, Mitarbeitern und betrieblichen Abläufen.
Nach Vertragsende werden die Daten innerhalb von 30 Tagen auf Wunsch an den Verantwortlichen übergeben und anschließend unwiderruflich gelöscht.
3. Art der personenbezogenen Daten und Kategorien betroffener Personen
Kategorien betroffener Personen:
- Mitarbeiter und Feldtechniker des Verantwortlichen
- Auftragnehmer und Subunternehmer
- Projektverantwortliche und Führungskräfte
Arten personenbezogener Daten:
- Name, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung
- Anwesenheits- und Zeiterfassungsdaten
- Arbeitsauftragsdaten (zugewiesene Aufgaben, Fortschritt, digitale Unterschrift)
- Fotos, die im Rahmen von Arbeitsaufträgen aufgenommen werden
- GPS-Koordinaten von Projektstandorten (keine personenbezogene Ortung)
4. Pflichten des Auftragsverarbeiters
- Verarbeitung personenbezogener Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen (dieser AVV und der Nutzungsvertrag gelten als Weisung).
- Sicherstellung, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
- Ergreifen aller erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Ziffer 7).
- Unverzügliche Benachrichtigung des Verantwortlichen bei Verdacht auf oder Bekanntwerden einer Datenschutzverletzung, spätestens innerhalb von 72 Stunden nach Kenntnisnahme.
- Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit).
- Bereitstellung aller erforderlichen Informationen zur Nachweisbarkeit der Einhaltung dieses AVV und Duldung von Prüfungen durch den Verantwortlichen oder einen beauftragten Prüfer.
5. Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung. Bei wesentlichen Änderungen wird der Verantwortliche vorab informiert und hat das Recht, Einwände zu erheben.
| Anbieter | Zweck | Sitz |
|---|---|---|
| Vercel Inc. | Hosting, Serverless-Infrastruktur, Datei-Speicher | USA (EU-Region Frankfurt) |
| Neon Inc. | PostgreSQL-Datenbank | USA (EU-Region Frankfurt) |
| Clerk Inc. | Authentifizierung und Nutzerverwaltung | USA |
Alle genannten Unterauftragsverarbeiter mit Sitz in den USA verarbeiten Daten auf der Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder des EU-US Data Privacy Framework.
6. Weisungsrecht
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf Weisung des Verantwortlichen. Schriftliche Weisungen können per E-Mail an hello@sailnet.de erteilt werden.
Wenn der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, informiert er den Verantwortlichen unverzüglich. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung bis zur Klärung auszusetzen.
7. Technische und organisatorische Maßnahmen (TOMs)
- Zugangskontrolle: Authentifizierung über Clerk mit Mehr-Faktor-Option; rollenbasierte Zugriffskontrolle (Admin, Manager, Crew).
- Übertragungssicherheit: Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2 oder höher (HTTPS).
- Datenbankzugriff: Die PostgreSQL-Datenbank ist nur über verschlüsselte Verbindungen zugänglich; kein öffentlicher Direktzugriff.
- Mandantentrennung: Alle Daten sind durch eine Organisations-ID getrennt; ein organisationsübergreifender Datenzugriff ist technisch ausgeschlossen.
- Datensicherung: Automatische tägliche Backups durch den Datenbankdienstleister (Neon) mit Point-in-Time-Recovery.
- Dateispeicherung: Hochgeladene Dateien (Fotos, Dokumente) werden verschlüsselt auf Vercel Blob gespeichert.
- Protokollierung: Sicherheitsrelevante Ereignisse werden in Anwendungsprotokollen festgehalten.
8. Schlussbestimmungen
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist Stuttgart.
Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) gehen die Bestimmungen dieses AVV in datenschutzrechtlichen Fragen vor.
Änderungen dieses AVV bedürfen der Textform. Der Anbieter informiert den Kunden über wesentliche Änderungen mit einer Frist von mindestens 30 Tagen.