Auftragsverarbeitungsvertrag
Stand: Mai 2026 · gemäß Art. 28 DSGVO
Auftraggeber (Verantwortlicher)
Der jeweilige Kunde von Schichtory
gemäß den im Nutzerkonto hinterlegten Unternehmensdaten
Auftragnehmer (Auftragsverarbeiter)
Nick Luft · Schichtory
hallo@schichtory.de · Aachen, Deutschland
Art. 1 – Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch Schichtory (Auftragnehmer) im Auftrag des Kunden (Auftraggeber) im Rahmen der Nutzung der Schichtory-SaaS-Plattform.
Die Laufzeit des AVV entspricht der Laufzeit des Hauptvertrags (AGB). Mit Beendigung des Hauptvertrags endet auch dieser AVV.
Art. 2 – Art, Zweck und Umfang der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der vertraglich vereinbarten SaaS-Leistungen.
| Datenkategorie | Zweck |
|---|---|
| Name, E-Mail, Passwort (verschlüsselt) | Authentifizierung und Nutzerverwaltung |
| Schichteinträge, Störungsmeldungen | Kernfunktion Schichtbuch |
| Spracheingaben (Audio) | KI-gestützte Transkription via Whisper |
| Fotos und Videos | Dokumentation von Störungen und Vorfällen |
| IP-Adressen, Log-Daten | Sicherheit, Fehlerdiagnose |
Betroffene Personen sind Mitarbeiter und Schichtleiter des Auftraggebers, die in der Plattform angelegt werden.
Art. 3 – Weisungsbefugnis
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch Rechtsvorschriften der EU oder eines Mitgliedstaats zu einer Verarbeitung verpflichtet.
Weisungen erteilt der Auftraggeber per E-Mail an hallo@schichtory.de. Der Auftragnehmer informiert den Auftraggeber, wenn eine Weisung nach seiner Einschätzung gegen DSGVO oder andere Datenschutzvorschriften verstößt.
Art. 4 – Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich:
- Daten nur auf Weisung des Auftraggebers zu verarbeiten
- Vertraulichkeit der verarbeiteten Daten sicherzustellen
- alle erforderlichen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) umzusetzen
- den Auftraggeber unverzüglich (spätestens 72 Stunden) über Datenpannen zu informieren
- den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
- alle Daten nach Vertragsende zu löschen oder zurückzugeben
Art. 5 – Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer setzt folgende Schutzmaßnahmen ein:
Verschlüsselung
TLS 1.3 für alle Datenübertragungen, bcrypt für Passwörter
Zugriffskontrolle
JWT-Authentifizierung, rollenbasierte Zugriffsrechte
Verfügbarkeit
Automatische Backups durch Neon (PostgreSQL), Vercel Edge Network
Pseudonymisierung
Interne IDs statt Klarnamen in KI-Verarbeitungsprozessen
Incident Management
Monitoring, automatische Fehlerbenachrichtigung
Auftragskontrolle
AVV mit allen Unterauftragsverarbeitern
Art. 6 – Unterauftragsverarbeiter
Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zur Beauftragung der folgenden Unterauftragsverarbeiter:
| Anbieter | Zweck | Sitz |
|---|---|---|
| Vercel Inc. | Hosting & CDN | USA (EU-SCCs) |
| Neon Inc. | Datenbankhosting (PostgreSQL) | USA / EU-Region Frankfurt |
| Anthropic, PBC | KI-Verarbeitung (Claude API) | USA (EU-SCCs) |
| OpenAI, LLC | Spracheingabe (Whisper API) | USA (EU-SCCs) |
Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) mit einer Vorlaufzeit von 30 Tagen per E-Mail, sodass der Auftraggeber Widerspruch einlegen kann.
Art. 7 – Betroffenenrechte
Der Auftragnehmer unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) gemäß Art. 15–22 DSGVO.
Wenden sich Betroffene direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
Art. 8 – Datenlöschung nach Vertragsende
Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Auf Wunsch stellt der Auftragnehmer dem Auftraggeber vorab einen Datenexport (CSV/JSON) zur Verfügung. Die Anfrage ist per E-Mail an hallo@schichtory.de zu richten.
Art. 9 – Haftung
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen gemäß Art. 82 DSGVO. Im Innenverhältnis zwischen den Parteien gilt: Hat der Auftragnehmer die Pflichtverletzung nicht zu verantworten, ist er von der Haftung gegenüber dem Auftraggeber befreit.
Art. 10 – Schlussbestimmungen
Dieser AVV ist Bestandteil des Hauptvertrags (AGB) und wird durch die Registrierung des Kunden auf der Schichtory-Plattform automatisch vereinbart.
Es gilt deutsches Recht. Gerichtsstand ist — soweit gesetzlich zulässig — Aachen.