Dieser AVV gilt zwischen dem Firmenkunden („Verantwortlicher“) und der Kidder & Kriehuber GbR („Auftragsverarbeiter“) für die Nutzung von Unitlify gemäß Art. 28 DSGVO. Der Abschluss erfolgt in Textform durch Zustimmung bei der Registrierung.
Dieser Auftragsverarbeitungsvertrag („AVV“) wird geschlossen zwischen
dem Firmenkunden von Unitlify („Verantwortlicher“) – dies ist die natürliche oder juristische Person, die sich unter unitlify.de als Firmenkunde registriert und diesen AVV gemäß Ziff. 13 akzeptiert – und
Kidder & Kriehuber GbR, Santoker Str. 79, 15562 Rüdersdorf bei Berlin, Deutschland („Auftragsverarbeiter“).
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung des SaaS Unitlify (Web-Dashboard, API, mobile Apps für iOS und Android) gemäß Art. 28 DSGVO.
Erhebung, Speicherung, Strukturierung, Anzeige, Weiterleitung, Pseudonymisierung, Sicherung und Löschung personenbezogener Daten im Rahmen der vom Verantwortlichen gebuchten Unitlify-Module (u. a. Personalverwaltung, Schichtplanung, Zeiterfassung, Abwesenheiten, Chat, Newsfeed, Lernmanagement, Feedback, Dokumentenablage).
Laufzeit des zugrunde liegenden Hauptvertrages (Unitlify-SaaS-Vertrag gemäß AGB). Nach Beendigung gilt Ziff. 9 dieses AVV.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind vom Regelbetrieb nicht umfasst. Der Verantwortliche stellt sicher, dass solche Daten nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt und geeignete Schutzmaßnahmen ergriffen sind.
Der Verantwortliche erteilt hiermit seine allgemeine schriftliche Genehmigung zur Hinzuziehung der in Anhang 2 aufgeführten Subunternehmer (Art. 28 Abs. 2 Satz 2 DSGVO).
Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern mit einer Ankündigungsfrist von vier Wochen in Textform (E-Mail an den im Mandanten hinterlegten Admin-Kontakt oder Hinweis im Mandanten) informieren.
Der Verantwortliche kann derartigen Änderungen aus wichtigem, datenschutzrelevantem Grund widersprechen. Kann keine einvernehmliche Lösung gefunden werden, ist jede Partei berechtigt, den Hauptvertrag außerordentlich zu kündigen.
Der Auftragsverarbeiter schließt mit jedem Subunternehmer einen Vertrag ab, der die Pflichten aus Art. 28 Abs. 3 DSGVO in wesentlicher Hinsicht übernimmt. Die jeweils aktuelle Subunternehmer-Liste steht dem Verantwortlichen im Kundenbereich und unter unitlify.de/datenschutz zur Verfügung.
Verarbeitungen personenbezogener Daten finden grundsätzlich innerhalb der EU/des EWR statt. Soweit Subunternehmer (z. B. Apple APNs, Google FCM, Expo) Verarbeitungen in den USA durchführen, erfolgt die Übermittlung auf Basis geeigneter Garantien, insbesondere EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Eine Liste der betroffenen Subunternehmer und der jeweiligen Garantien findet sich in Anhang 2.
Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Anhang 1). Er ist berechtigt, diese Maßnahmen anzupassen, solange das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, regelmäßig innerhalb von 48 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betreffen, und unterstützt ihn bei der Erfüllung der Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Die Meldung erfolgt an den im Mandanten hinterlegten Admin-Kontakt.
Nach Beendigung des Hauptvertrages werden die verarbeiteten Daten nach Wahl des Verantwortlichen entweder zurückgegeben (Export im angebotenen Format) oder datenschutzgerecht gelöscht. Die Löschung erfolgt, soweit der Verantwortliche nicht innerhalb von 30 Tagen nach Vertragsende einen Export anfordert, automatisch nach Ablauf dieser Frist. Bestehen gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO), werden die betroffenen Daten gesperrt und erst nach Ablauf der Frist gelöscht.
Der Verantwortliche hat das Recht, sich von der Einhaltung dieses AVV zu überzeugen. Der Auftragsverarbeiter erbringt den Nachweis der Einhaltung vorrangig durch:
Vor-Ort-Kontrollen durch den Verantwortlichen oder einen von ihm beauftragten, zur Verschwiegenheit verpflichteten Prüfer sind nach Ankündigung mit einer Frist von vier Wochen, höchstens einmal pro Jahr, während üblicher Geschäftszeiten und unter Rücksichtnahme auf den Betriebsablauf zulässig. Kosten trägt der Verantwortliche; ein über den geschuldeten Prüfaufwand hinausgehender Aufwand des Auftragsverarbeiters wird zu dessen üblichen Sätzen vergütet.
Die Haftung bestimmt sich nach den Regelungen des Hauptvertrages (AGB Ziff. 13) sowie Art. 82 DSGVO. Beide Parteien haften gegenüber Betroffenen gemäß Art. 82 Abs. 4 DSGVO gesamtschuldnerisch; im Innenverhältnis richtet sich die Haftungsquote nach dem jeweiligen Verantwortungsbeitrag.
Der Auftragsverarbeiter kann diesen AVV mit einer Ankündigungsfrist von sechs Wochen in Textform anpassen, wenn dies aufgrund gesetzlicher oder aufsichtsrechtlicher Änderungen, einer Änderung der Leistung oder eingesetzter Subunternehmer erforderlich wird. Widerspricht der Verantwortliche der Änderung nicht innerhalb von sechs Wochen, gilt die geänderte Fassung als angenommen. Auf dieses Recht wird in der Änderungsmitteilung gesondert hingewiesen. Widerspricht der Verantwortliche, kann jede Partei den Hauptvertrag zum Wirksamkeitsdatum der Änderung außerordentlich kündigen.
Dieser AVV wird in Textform gemäß § 126b BGB und Art. 28 Abs. 9 DSGVOgeschlossen. Der Abschluss erfolgt durch aktive Zustimmung des Verantwortlichen bei der Registrierung oder Vertragsverlängerung (Checkbox „Ich stimme AGB, Datenschutzerklärung und AVV zu“). Der Auftragsverarbeiter protokolliert Zeitpunkt und Version der Zustimmung und stellt eine abrufbare Bestätigung im Kundenbereich bereit.
Dieser AVV geht etwaig abweichenden Regelungen des Hauptvertrages oder der AGB zum Gegenstand der Auftragsverarbeitung vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Auf Wunsch (z. B. für öffentliche Auftraggeber) wird der AVV zusätzlich in einer unterschriebenen Fassung bereitgestellt. Anfragen hierzu an support@unitlify.de.
Gemäß Art. 32 DSGVO ergreift der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung folgende Maßnahmen:
Die folgenden Subunternehmer verarbeiten personenbezogene Daten im Rahmen des Dienstes. Der Verantwortliche genehmigt deren Einsatz mit Abschluss dieses AVV (Ziff. 5).
| Subunternehmer | Zweck | Sitz / Region |
|---|---|---|
| Hetzner Online GmbH | Hosting Anwendung & Datenbank | Deutschland (EU) |
| Amazon Web Services EMEA SARL | Object Storage (S3, Backups, Uploads); KI-Inference Claude über AWS Bedrock (Dev-/Support-Tooling) | Frankfurt / Deutschland (eu-central-1) |
| Google Cloud EMEA Limited | KI-Inference Gemini über Vertex AI (OCR-Verarbeitung von Belegen sowie Generierung von Lernmodulen aus Dokumenten) | Deutschland (europe-west3, Frankfurt) |
| Functional Software, Inc. (Sentry) | Error- & Performance-Monitoring (Backend, Frontend, Mobile-App) — Stacktraces, pseudonyme User-/Tenant-IDs, keine Eingabe-Inhalte | EU-Region (de.sentry.io) / USA-Anbieter mit EU-SCC |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (abhängige Kontaktdaten) | Irland (EU) |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | Zahlungsabwicklung (abhängige Kontaktdaten) | Luxemburg (EU) |
| Strato AG | E-Mail-Versand (SMTP) | Deutschland (EU) |
| Apple Inc. | Push-Zustellung (APNs), App-Distribution | Irland (EU) / USA (EU-SCC) |
| Google Ireland Ltd. | Push-Zustellung (FCM), Android-Dienste | Irland (EU) / USA (EU-SCC) |
| Expo Inc. | Push-Token-Relay, OTA-Updates (signiert) | USA (EU-SCC) |
Für öffentliche Auftraggeber stellen wir eine unterzeichnete PDF-Fassung bereit.