Vertrag zur Auftragsverarbeitung
gemäß Art. 28 DSGVO · Stand: 7. Juni 2026
Dieser Vertrag (im Folgenden „AVV") wird zwischen dem Kunden der Dispoway-Plattform (im Folgenden „Verantwortlicher") und
Dispoway
Mike Heinbuch
Rebenstr. 7, 94424 Arnstorf
USt-IdNr.: DE350843504
(im Folgenden „Auftragsverarbeiter")
geschlossen und konkretisiert die Pflichten der Vertragsparteien aus dem Hauptvertrag (Nutzungsvertrag) in Bezug auf die Verarbeitung personenbezogener Daten.
§ 1 Gegenstand und Dauer
Gegenstand der Verarbeitung ist die Bereitstellung der Dispoway-Plattform zur Verwaltung von Außendiensteinsätzen, Tourenplanung, Kundenverwaltung sowie Service-Dokumentation. Die Verarbeitung beginnt mit Aktivierung des Nutzungsvertrags und endet mit dessen Beendigung.
§ 2 Art und Zweck der Verarbeitung
Speicherung, Strukturierung, Abfragen, Übermittlung an autorisierte Empfänger sowie Löschung im Rahmen der vertragsgemäßen Nutzung der Plattform.
§ 3 Art der personenbezogenen Daten
- Stammdaten (Name, E-Mail, Telefonnummer, Anschrift) der Mitarbeiter und Endkunden
- Authentifizierungsdaten (Passwort-Hashes, Tokens)
- Auftrags-, Kunden- und Anlagedaten
- Auftragsfotos, Materialverbrauch
- Kunden-Unterschriften nebst Zeitstempel, Unterzeichner-Name, Geräte-Plattform und ggf. Geokoordinaten
- Geokoordinaten der Mitarbeiter während aktiver Einsätze (sofern aktiviert)
- Audit-Logs, IP-Adressen, User-Agents
§ 4 Kategorien betroffener Personen
- Außendienst-Mitarbeiter des Verantwortlichen
- Disponenten und administrative Nutzer des Verantwortlichen
- Endkunden des Verantwortlichen
§ 5 Pflichten des Auftragsverarbeiters
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
- Verpflichtung der mit der Verarbeitung befassten Personen zur Vertraulichkeit oder eine angemessene gesetzliche Verschwiegenheitspflicht (Art. 28 Abs. 3 lit. b DSGVO).
- Ergreifung der in § 8 beschriebenen technisch-organisatorischen Maßnahmen.
- Einhaltung der Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter (§ 7).
- Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO).
- Unterstützung bei Datenschutz-Folgenabschätzungen und vorheriger Konsultation der Aufsichtsbehörde.
- Nach Beendigung der Verarbeitung Rückgabe oder Löschung der Daten nach Wahl des Verantwortlichen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO und Ermöglichung von Überprüfungen.
§ 6 Pflichten des Verantwortlichen
- Rechtmäßigkeit der Datenverarbeitung im Rahmen seines Geschäftsbetriebs sicherstellen.
- Erforderliche Einwilligungen einholen (insb. für GPS-Tracking der Mitarbeiter, ggf. unter Beachtung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG).
- Auftragsverarbeiter unverzüglich über Verletzungen des Schutzes personenbezogener Daten informieren.
§ 7 Unterauftragsverarbeiter
Der Verantwortliche erteilt seine allgemeine Genehmigung zur Inanspruchnahme der nachfolgend genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen informieren und ihm die Möglichkeit einräumen, gegen derartige Änderungen Einspruch zu erheben.
| Unterauftragsverarbeiter | Leistung | Standort |
|---|---|---|
| Vercel Inc. | Frontend-/Webseiten-Hosting | EU (Frankfurt) / USA (SCC) |
| Supabase Inc. | Datenbank, Authentifizierung, Datei-Speicher | EU (Frankfurt) / USA (SCC) |
| Railway Corp. | Application-Hosting | EU / USA (SCC) |
| 650 Industries Inc. (Expo) | Push-Benachrichtigungen, App-Updates | USA (SCC) |
| Apple Inc. | Push-Benachrichtigungen iOS (APNS) | EU / USA (SCC) |
| Google LLC | Push-Benachrichtigungen Android (FCM) | EU / USA (SCC) |
| Resend | Versand von System-E-Mails | EU / USA (SCC) |
| OpenStreetMap Foundation | Karten und Geokodierung | EU |
§ 8 Technisch-organisatorische Maßnahmen (TOM)
8.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zugangskontrolle: Rechenzentrumssicherheit der Unterauftragsverarbeiter (ISO 27001), Zugangskontrolle zu administrativen Endgeräten.
- Zugriffskontrolle: rollenbasierte Berechtigungen, Mandantentrennung auf Datenebene.
- Trennungskontrolle: vollständige logische Mandantentrennung in sämtlichen Tabellen.
- Pseudonymisierung: Datenexporte enthalten technische IDs; Klardaten nur nach Authentifizierung sichtbar.
8.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle: ausschließlich TLS-verschlüsselte Übertragung.
- Eingabekontrolle: Audit-Logs für sicherheitsrelevante Aktionen (Anmeldung, Datenexport, Löschung, Signaturerfassung).
8.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Tägliche Datenbank-Backups durch den Hosting-Dienstleister.
- Notfall-Wiederherstellungsplan; getrennte Backup-Region.
8.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Sicherheits-Reviews und automatisierte Dependency-Audits.
- Penetration-Tests bei größeren Releases.
§ 9 Vorgehen bei Datenschutzverletzungen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten. Die Benachrichtigung enthält mindestens die Angaben nach Art. 33 Abs. 3 DSGVO.
§ 10 Speicherdauer und Löschung
- GPS-Standortdaten: automatische Löschung 90 Tage nach Erfassung.
- Server-Logfiles: 14 Tage.
- Audit-Logs: bis zu 10 Jahre (handelsrechtliche Aufbewahrung).
- Auftrags- und Servicedaten: bis zu 10 Jahre (§ 147 AO).
- Nutzerkonten und Stammdaten: 30 Tage nach Vertragsende.
§ 11 Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gehen die Regelungen dieses AVV vor, soweit datenschutzrechtliche Fragen betroffen sind. Im Übrigen gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters.
Bei Fragen: datenschutz@dispoway.de · Siehe auch Datenschutzerklärung und Impressum.