unitlify.de
AVV
Stand: Mai 2026

Auftragsverarbeitungsvertrag

Dieser AVV gilt zwischen dem Firmenkunden („Verantwortlicher“) und der Kidder & Kriehuber GbR („Auftragsverarbeiter“) für die Nutzung von Unitlify gemäß Art. 28 DSGVO. Der Abschluss erfolgt in Textform durch Zustimmung bei der Registrierung.

Hinweis zum Abschluss:Art. 28 Abs. 9 DSGVO lässt den Abschluss eines AVV in elektronischer Form zu. Mit dem Klick auf „Konto erstellen“ bzw. „Ich stimme AGB, Datenschutzerklärung und AVV zu“ bestätigt der Verantwortliche den Abschluss dieses AVV in seiner zu diesem Zeitpunkt gültigen Fassung. Eine Kopie kann jederzeit unter dieser URL abgerufen und als PDF gespeichert werden.

Inhalt

  1. 1Parteien & Gegenstand
  2. 2Art, Umfang, Zweck & Dauer der Verarbeitung
  3. 3Pflichten des Auftragsverarbeiters
  4. 4Pflichten des Verantwortlichen
  5. 5Subunternehmer (weitere Auftragsverarbeiter)
  6. 6Drittlandtransfers
  7. 7Technische und organisatorische Maßnahmen (TOM)
  8. 8Meldung von Datenschutzverletzungen
  9. 9Rückgabe & Löschung nach Vertragsende
  10. 10Kontrollrechte
  11. 11Haftung
  12. 12Änderungen dieses AVV
  13. 13Abschluss in Textform & Rangfolge
  14. A1Anhang 1 – Technische & organisatorische Maßnahmen
  15. A2Anhang 2 – Liste der Subunternehmer

Vertrag

  1. 1

    Parteien & Gegenstand

    Dieser Auftragsverarbeitungsvertrag („AVV“) wird geschlossen zwischen

    dem Firmenkunden von Unitlify („Verantwortlicher“) – dies ist die natürliche oder juristische Person, die sich unter unitlify.de als Firmenkunde registriert und diesen AVV gemäß Ziff. 13 akzeptiert – und

    Kidder & Kriehuber GbR, Santoker Str. 79, 15562 Rüdersdorf bei Berlin, Deutschland („Auftragsverarbeiter“).

    Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung des SaaS Unitlify (Web-Dashboard, API, mobile Apps für iOS und Android) gemäß Art. 28 DSGVO.

  2. 2

    Art, Umfang, Zweck & Dauer der Verarbeitung

    Art und Zweck

    Erhebung, Speicherung, Strukturierung, Anzeige, Weiterleitung, Pseudonymisierung, Sicherung und Löschung personenbezogener Daten im Rahmen der vom Verantwortlichen gebuchten Unitlify-Module (u. a. Personalverwaltung, Schichtplanung, Zeiterfassung, Abwesenheiten, Chat, Newsfeed, Lernmanagement, Feedback, Dokumentenablage).

    Dauer

    Laufzeit des zugrunde liegenden Hauptvertrages (Unitlify-SaaS-Vertrag gemäß AGB). Nach Beendigung gilt Ziff. 9 dieses AVV.

    Kategorien betroffener Personen

    • Mitarbeitende des Verantwortlichen (Endnutzer)
    • Bewerber:innen (sofern vom Verantwortlichen erfasst)
    • Ansprechpartner:innen des Verantwortlichen
    • Kunden, Gäste, Lieferanten (sofern vom Verantwortlichen in Unitlify erfasst)

    Kategorien personenbezogener Daten

    • Stammdaten (Name, Kontaktdaten, Rolle, Abteilung, Profilbild)
    • Zugangsdaten (Anmeldename, gehashtes Passwort, Tokens, letzter Login)
    • Arbeitszeitdaten (Schichten, Stempelzeiten, Pausen, Urlaubs-/Krankmeldungen)
    • Kommunikationsdaten (Chats, Kommentare, Reaktionen, Feedback, hochgeladene Dateien)
    • Lern-/Qualifikationsdaten (LMS-Module, Fortschritt, Zertifikate)
    • Dokumente (Verträge, Bescheinigungen, sonstige vom Verantwortlichen abgelegte Dokumente)
    • Technische Metadaten (IP-Adresse bei Login, Gerätetyp, App-Version, Zeitstempel von Aktionen)

    Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind vom Regelbetrieb nicht umfasst. Der Verantwortliche stellt sicher, dass solche Daten nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt und geeignete Schutzmaßnahmen ergriffen sind.

  3. 3

    Pflichten des Auftragsverarbeiters

    • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen werden regelmäßig über die Konfiguration innerhalb des Mandanten, per E-Mail oder per Supportticket erteilt.
    • Verpflichtung aller zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) bzw. Unterliegen einer gesetzlichen Verschwiegenheitspflicht.
    • Ergreifen der erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (Anhang 1).
    • Unterstützung des Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Art. 12–23 DSGVO) durch geeignete Funktionen in Unitlify (Datenexport, Löschfunktionen) und auf Anfrage durch den Support.
    • Unterstützung bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).
    • Mitteilung an den Verantwortlichen, wenn er der Auffassung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften.
    • Zurverfügungstellung aller für den Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen.
    • Bereitstellung einer aktuellen Liste der eingesetzten Subunternehmer (Anhang 2) sowie Vorabinformation bei Änderungen gemäß Ziff. 5.
  4. 4

    Pflichten des Verantwortlichen

    • Zulässigkeit der Datenverarbeitung prüfen und sicherstellen (inkl. arbeitsrechtlicher, betriebsverfassungsrechtlicher und mitbestimmungsrechtlicher Anforderungen).
    • Rechte der Betroffenen wahren (Art. 12–23 DSGVO); Betroffenenanfragen sind grundsätzlich vom Verantwortlichen zu beantworten.
    • Ordnungsgemäße Nutzung des Dienstes; insbesondere Einhaltung der durch Unitlify angebotenen Rollen- und Berechtigungskonzepte.
    • Benennung eines internen Ansprechpartners für datenschutzrechtliche Fragen innerhalb seiner Organisation.
    • Unverzügliche Information des Auftragsverarbeiters bei erkannten Fehlern oder Unregelmäßigkeiten bei der Verarbeitung.
  5. 5

    Subunternehmer (weitere Auftragsverarbeiter)

    Der Verantwortliche erteilt hiermit seine allgemeine schriftliche Genehmigung zur Hinzuziehung der in Anhang 2 aufgeführten Subunternehmer (Art. 28 Abs. 2 Satz 2 DSGVO).

    Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern mit einer Ankündigungsfrist von 30 Tagen in Textform (E-Mail an den im Mandanten hinterlegten Admin-Kontakt oder Hinweis im Mandanten) informieren.

    Der Verantwortliche kann derartigen Änderungen aus wichtigem, datenschutzrelevantem Grund widersprechen. Kann keine einvernehmliche Lösung gefunden werden, ist jede Partei berechtigt, den Hauptvertrag außerordentlich zu kündigen.

    Der Auftragsverarbeiter schließt mit jedem Subunternehmer einen Vertrag ab, der die Pflichten aus Art. 28 Abs. 3 DSGVO in wesentlicher Hinsicht übernimmt. Die jeweils aktuelle Subunternehmer-Liste steht dem Verantwortlichen im Kundenbereich und unter unitlify.de/datenschutz zur Verfügung.

  6. 6

    Drittlandtransfers

    Verarbeitungen personenbezogener Daten finden grundsätzlich innerhalb der EU/des EWR statt. Soweit Subunternehmer (z. B. Apple APNs, Google FCM, Expo, Sentry, GitHub) Verarbeitungen in den USA durchführen, erfolgt die Übermittlung auf Basis geeigneter Garantien gemäß Kapitel V DSGVO.

    Die Garantien stützen sich kumulativ auf:

    • den Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 zum EU-US Data Privacy Framework (DPF), soweit der jeweilige US-Empfänger DPF-zertifiziert ist (Art. 45 DSGVO);
    • EU-Standardvertragsklauseln der Kommission in der jeweils aktuellen Fassung (Art. 46 Abs. 2 lit. c DSGVO) als Backup-Garantie und für nicht-DPF-zertifizierte Empfänger;
    • ergänzende technische und organisatorische Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Minimierung).

    Eine Liste der betroffenen Subunternehmer, ihrer Sitze und der jeweils greifenden Garantien findet sich in Anhang 2.

  7. 7

    Technische und organisatorische Maßnahmen (TOM)

    Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Anhang 1). Er ist berechtigt, diese Maßnahmen anzupassen, solange das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.

  8. 8

    Meldung von Datenschutzverletzungen

    Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, regelmäßig innerhalb von 48 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betreffen, und unterstützt ihn bei der Erfüllung der Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Die Meldung erfolgt an den im Mandanten hinterlegten Admin-Kontakt.

  9. 9

    Rückgabe & Löschung nach Vertragsende

    Nach Beendigung des Hauptvertrages werden die verarbeiteten Daten nach Wahl des Verantwortlichen entweder zurückgegeben (Export im angebotenen Format) oder datenschutzgerecht gelöscht. Die Löschung erfolgt, soweit der Verantwortliche nicht innerhalb von 30 Tagen nach Vertragsende einen Export anfordert, automatisch nach Ablauf dieser Frist. Bestehen gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO), werden die betroffenen Daten gesperrt und erst nach Ablauf der Frist gelöscht.

  10. 10

    Kontrollrechte

    Der Verantwortliche hat das Recht, sich von der Einhaltung dieses AVV zu überzeugen. Der Auftragsverarbeiter erbringt den Nachweis der Einhaltung vorrangig durch:

    • Bereitstellung einer schriftlichen Selbstauskunft zu den eingesetzten TOM (Anhang 1)
    • Vorlage aktueller Zertifikate oder Prüfberichte seiner Hoster (z. B. ISO 27001 / C5 von Hetzner / AWS)
    • Beantwortung schriftlicher Fragen des Verantwortlichen

    Vor-Ort-Kontrollen durch den Verantwortlichen oder einen von ihm beauftragten, zur Verschwiegenheit verpflichteten Prüfer sind nach Ankündigung mit einer Frist von vier Wochen, höchstens einmal pro Jahr, während üblicher Geschäftszeiten und unter Rücksichtnahme auf den Betriebsablauf zulässig. Kosten trägt der Verantwortliche; ein über den geschuldeten Prüfaufwand hinausgehender Aufwand des Auftragsverarbeiters wird zu dessen üblichen Sätzen vergütet.

  11. 11

    Haftung

    Die Haftung bestimmt sich nach den Regelungen des Hauptvertrages (AGB Ziff. 13) sowie Art. 82 DSGVO. Beide Parteien haften gegenüber Betroffenen gemäß Art. 82 Abs. 4 DSGVO gesamtschuldnerisch; im Innenverhältnis richtet sich die Haftungsquote nach dem jeweiligen Verantwortungsbeitrag.

  12. 12

    Änderungen dieses AVV

    Der Auftragsverarbeiter kann diesen AVV mit einer Ankündigungsfrist von sechs Wochen in Textform anpassen, wenn dies aufgrund gesetzlicher oder aufsichtsrechtlicher Änderungen, einer Änderung der Leistung oder eingesetzter Subunternehmer erforderlich wird. Widerspricht der Verantwortliche der Änderung nicht innerhalb von sechs Wochen, gilt die geänderte Fassung als angenommen. Auf dieses Recht wird in der Änderungsmitteilung gesondert hingewiesen. Widerspricht der Verantwortliche, kann jede Partei den Hauptvertrag zum Wirksamkeitsdatum der Änderung außerordentlich kündigen.

  13. 13

    Abschluss in Textform & Rangfolge

    Dieser AVV wird in Textform gemäß § 126b BGB und Art. 28 Abs. 9 DSGVOgeschlossen. Der Abschluss erfolgt durch aktive Zustimmung des Verantwortlichen bei der Registrierung oder Vertragsverlängerung (Checkbox „Ich stimme AGB, Datenschutzerklärung und AVV zu“). Der Auftragsverarbeiter protokolliert Zeitpunkt und Version der Zustimmung und stellt eine abrufbare Bestätigung im Kundenbereich bereit.

    Dieser AVV geht etwaig abweichenden Regelungen des Hauptvertrages oder der AGB zum Gegenstand der Auftragsverarbeitung vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

    Auf Wunsch (z. B. für öffentliche Auftraggeber) wird der AVV zusätzlich in einer unterschriebenen Fassung bereitgestellt. Anfragen hierzu an support@unitlify.de.

Anhang 1

Technische & organisatorische Maßnahmen (TOM)

Gemäß Art. 32 DSGVO ergreift der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung folgende Maßnahmen:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Production-Server bei Hetzner Online GmbH (Rechenzentrum Deutschland, ISO 27001, 24/7-Bewachung, Biometrie- und Karten-Zutritt). Backup-Storage in AWS S3 Frankfurt (eu-central-1, ISO 27001 / SOC 1/2/3).
  • Zugangskontrolle Systeme: SSH ausschließlich via Public-Key-Auth, Passwort-Login deaktiviert. Root-Login deaktiviert; Privilege-Eskalation nur via su mit separatem Passwort. Externe Konsolen (AWS, GCP, Stripe, Hetzner, GitHub) mit 2-Faktor-Auth (TOTP / Hardware-Key).
  • Zugangskontrolle Anwendung: JWT-basiertes Auth mit Refresh-Token-Rotation, bcrypt-Passwort-Hashing (Cost-Factor 12), Account-Lockout nach fehlgeschlagenen Logins, 2FA-Option tenant-konfigurierbar.
  • Zugriffskontrolle: RBAC-Permissions auf User-Ebene innerhalb jedes Mandanten. DB-Zugang nur über SSH-Tunnel des Production-Servers. Application-DB-User mit eingeschränkten Rechten (kein DROP, kein TRUNCATE).
  • Trennungskontrolle (Mandantentrennung): Drei-Ebenen-Isolation: (a) PostgreSQL Row-Level-Security auf personenbezogenen Tabellen, (b) NestJS-Application-Guards (TenantGuard) auf jedem Endpoint, (c) Transaction-Wrapper, der app.current_tenant setzt. Cross-Tenant-Reads technisch unterbunden.
  • Pseudonymisierung: Pseudonymisierung in Diagnostik-/Error-Reports (Sentry-Scrubbing), keine Klartext-Passwörter, Karten- oder Token-Daten in Logs.
  • Verschlüsselung in Transit: TLS 1.2+ für alle Verbindungen (Browser, DB, externe APIs, SMTP). HSTS-Header gesetzt.
  • Verschlüsselung at-Rest (Anwendung): Sensible Felder (z. B. SV-Nummern, Bankdaten, API-Tokens) mit AES-256-GCM via Application-Layer-Schlüssel.
  • Verschlüsselung at-Rest (Backups): AWS S3 SSE-S3 (AES-256), Bucket-Policy gegen Public-Read.
  • Notebook-Sicherheit: FileVault-Festplattenverschlüsselung verpflichtend für Mitarbeiter mit Datenzugriff.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Datenübermittlung an Sub-Prozessoren nur mit gültigem AVV (siehe Anhang 2). Drittland-Transfers auf Basis EU-US Data Privacy Framework (DPF) und/oder EU-Standardvertragsklauseln.
  • Eingabekontrolle: Unveränderbares Audit-Log (audit_logs-Tabelle ohne updatedAt/deletedAt) für alle schreibenden Aktionen. Erfasst: User-ID, Tenant-ID, Aktion, Zeit, IP, Resource-ID. Mindest-Aufbewahrung 12 Monate.
  • Authentifizierungs-Integrität: JWT mit asymmetrischer RS256-Signatur, Private Key ausschließlich auf Production-Server. Session-Invalidierung beim Logout, automatische Token-Ablaufzeit.
  • Code-Integrität: Versionsverwaltung über Git (private GitHub-Repos, 2FA-pflichtig). Production-Deployment ausschließlich über kontrolliertes Skript (push.sh); kein direkter Server-Zugriff für Deploys ohne Audit-Trail.
  • Dependency-Integrität: Lockfiles (package-lock.json) committet, npm ci beim Production-Deploy (deterministisch). Regelmäßige npm audit Reviews.
  • Rate-Limiting / Abuse-Prevention: Throttle-Guard auf öffentlichen Endpoints (Buchungs-Widget) gegen Brute-Force.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b/c DSGVO)

  • Backup-Frequenz: Vollständige PostgreSQL-Backups alle 6 Stunden (4×/Tag: 00:00 / 06:00 / 12:00 / 18:00 Uhr Berlin).
  • Backup-Speicherort: AWS S3 eu-central-1 (Frankfurt, Deutschland), SSE-S3-Verschlüsselung, Retention 30 Tage rolling.
  • RPO (Recovery Point Objective): ≤ 6 Stunden. RTO (Recovery Time Objective): ≤ 4 Stunden.
  • Monitoring: Sentry für Application-Fehler (EU-Region, Personenbezug minimiert). PM2 für automatischen Process-Restart (min_uptime, max_restarts).
  • Netzwerksicherheit: UFW-Firewall auf benötigte Ports beschränkt (22 SSH, 80/443 HTTP/S). fail2ban gegen Brute-Force. DDoS-Schutz auf Hetzner-Provider-Ebene.
  • Wiederherstellbarkeit: Dokumentiertes Restore-Verfahren (Disaster-Recovery-Plan). Restore-Test mindestens quartalsweise mit protokolliertem Ergebnis.
  • Sicherheits-Updates: unattended-upgrades für Server-OS (Security-Channel). Application-Dependencies quartalsweise auf CVEs geprüft; Critical-CVEs binnen 7 Tagen behoben.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Jährliche interne TOM- und Datenschutz-Überprüfung.
  • Quartalsweise Software-Update-Reviews.
  • Dokumentiertes Datenpannen-Meldeverfahren (72-h-Frist nach Art. 33 DSGVO).
  • Dokumentiertes Incident-Response-Verfahren mit Severity-Klassifizierung (SEV-1 bis SEV-4).
  • Mitarbeiter-Verpflichtung auf Vertraulichkeit (§ 53 BDSG); DSGVO-Schulung verpflichtend.
  • Off-Boarding-Prozess mit dokumentierter Zugangs-Revocation.

5. Auftragskontrolle (Art. 28 DSGVO)

  • AVV mit jedem Sub-Prozessor (siehe Anhang 2).
  • Schriftliche Weisungsdokumentation (E-Mail / Mandanten-Konfiguration / Support-Ticket).
  • Sub-Prozessor-Wechsel mit 30-Tage-Vorab-Information an Tenants (siehe Ziff. 5 dieses AVV).
Anhang 2

Liste der Subunternehmer

Eine fortlaufend aktuelle, vollständige Liste aller Subunternehmer mit Sitz, Verarbeitungszweck und Drittland-Garantien wird unter folgender Adresse bereitgestellt:

unitlify.de/subprozessoren

Diese Liste ist Bestandteil dieses AVV. Änderungen werden gemäß Ziff. 5 mit einer Ankündigungsfrist von 30 Tagen angekündigt.

Wesentliche Subunternehmer im Überblick (Stand 2026-05-18)

  • Infrastruktur & Backup: Hetzner Online GmbH (DE), Amazon Web Services EMEA SARL (Frankfurt, eu-central-1)
  • KI-Inference: Amazon Bedrock (Claude, EU), Google Cloud EMEA Ltd. (Gemini via Vertex AI, Frankfurt)
  • Monitoring: Functional Software Inc. (Sentry, EU-Region + DPF)
  • Zahlung: Stripe Payments Europe Ltd. (IE), PayPal (Europe) — als eigenständig Verantwortlicher
  • Mail & Mobile-Distribution: Strato AG (DE), Apple Inc. (APNs, DPF), Google Ireland Ltd. (FCM / Maps / YouTube, DPF), Expo Inc. (Push-Relay, SCC)
  • Code-Hosting: GitHub Inc. / Microsoft Corp. (DPF)
  • Optional (nur bei aktivierter Nutzung): Skribble AG (Schweiz, e-Signatur), Jochen Schweizer Group GmbH (DE, Webhook-Integration)

Für Drittland-Übermittlungen (USA) gelten kumulativ der EU-US Data Privacy Framework-Beschluss (10.07.2023) sowie EU-Standardvertrags­ klauseln (siehe Ziff. 6).

Rechtliches

  • Impressum
    Anbieterkennzeichnung
  • AGB & Nutzung
    Allgemeine Geschäftsbedingungen
  • Datenschutz
    Umgang mit personenbezogenen Daten

Unterschriebene AVV-Fassung?

Für öffentliche Auftraggeber stellen wir eine unterzeichnete PDF-Fassung bereit.

support@unitlify.de