Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: Juli 2026 · Gilt für alle Kunden von VineTrack (vinetrack.de)
Wichtiger Hinweis: Dieser AVV wird automatisch Bestandteil des Nutzungsvertrages, sobald Sie VineTrack als Unternehmen nutzen und dabei personenbezogene Daten Ihrer Mitarbeiter oder Dritter in der Plattform verarbeiten. Durch die Nutzung von VineTrack stimmen Sie diesem AVV zu.
Parteien
Auftragsverarbeiter
SmartTech by GvTB
Schloss Mahlberg
77972 Mahlberg
E-Mail: info@smart-tech-gvtb.de
Verantwortlicher (Auftraggeber)
Der Kunde (Unternehmen / Betrieb), der VineTrack nutzt und die Daten seiner Mitarbeiter und Betriebsdaten in der Plattform verarbeitet.
Art. 1 – Gegenstand und Dauer
Dieser AVV regelt die Verarbeitung personenbezogener Daten durch SmartTech by GvTB (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Nutzung der Software VineTrack. Der AVV gilt für die gesamte Dauer des Nutzungsvertrages.
Art. 2 – Art, Umfang und Zweck der Verarbeitung
Im Rahmen von VineTrack werden folgende personenbezogene Daten verarbeitet:
| Kategorie | Betroffene Personen | Zweck |
|---|---|---|
| Name, E-Mail-Adresse | Mitarbeiter, Betriebsleitung | Nutzerkonten, Einladung, Login |
| Aufgabenzuweisungen | Mitarbeiter | Betriebsorganisation, Aufgabenverteilung |
| Aufgabenfortschritt und -abschluss | Mitarbeiter | Dokumentation erledigter Arbeiten |
| FCM-Token (Push-Token) | Mitarbeiter (Gerätebezug) | Versand von Push-Benachrichtigungen |
| Notizen zu Aufgaben | Mitarbeiter | Dokumentation, Kommunikation |
Nicht verarbeitet werden: kontinuierliche Standortdaten der Mitarbeiter, Arbeitszeiten, biometrische Daten. GPS-Funktionen dienen ausschließlich der Navigation des Nutzers selbst und werden nicht serverseitig gespeichert.
Art. 3 – Pflichten des Auftragsverarbeiters
SmartTech by GvTB verpflichtet sich:
- • Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
- • Sicherstellung der Vertraulichkeit durch Verpflichtung aller mit der Verarbeitung betrauten Personen
- • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM) gemäß Art. 32 DSGVO (siehe Art. 7 dieses AVV)
- • Keine Weitergabe der Daten an Dritte ohne ausdrückliche Weisung, außer an die in Art. 5 genannten Unterauftragsverarbeiter
- • Unverzügliche Information des Verantwortlichen bei Bekanntwerden von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO)
- • Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten aus Art. 32–36 DSGVO
- • Löschung oder Rückgabe aller Daten nach Ende des Auftrags (nach Wahl des Verantwortlichen)
Art. 4 – Pflichten des Verantwortlichen
Der Kunde (Verantwortlicher) verpflichtet sich:
- • Sicherzustellen, dass die Verarbeitung der Mitarbeiterdaten über VineTrack auf einer Rechtsgrundlage basiert (insbesondere § 26 BDSG für Beschäftigtendaten)
- • Eigene Mitarbeiter gemäß Art. 13/14 DSGVO über die Verarbeitung ihrer Daten in VineTrack zu informieren
- • Bei Vorliegen eines Betriebsrats: die nach § 87 Abs. 1 Nr. 6 BetrVG erforderliche Mitbestimmung zu berücksichtigen
- • Nur die zur Aufgabenerfüllung notwendigen Daten in die Plattform einzugeben (Datensparsamkeit)
- • Zugangsdaten vertraulich zu behandeln und nicht an Unbefugte weiterzugeben
Art. 5 – Unterauftragsverarbeiter
SmartTech by GvTB setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche durch Abschluss dieses AVV generell zustimmt:
| Anbieter | Sitz | Zweck |
|---|---|---|
| Hetzner Online GmbH | Deutschland (EU) | Serverhosting, Datenbankbetrieb |
| Google Ireland Ltd. (Firebase) | Irland (EU) | Push-Benachrichtigungen (FCM) |
| Stripe Payments Europe Ltd. | Irland (EU) | Zahlungsabwicklung |
| Vercel Inc. | USA (SCCs) | Hosting der Landing Page |
Über den Einsatz neuer Unterauftragsverarbeiter wird der Verantwortliche mindestens 30 Tage vorab per E-Mail informiert. Erhebt der Verantwortliche innerhalb dieser Frist keinen begründeten Widerspruch, gilt die Zustimmung als erteilt.
Art. 6 – Übermittlung in Drittländer
Alle Applikationsdaten (Backend, Datenbank) werden ausschließlich auf EU-Servern gespeichert. Vercel Inc. (USA) verarbeitet ausschließlich technische Zugriffsdaten der öffentlichen Landing Page ohne Mitarbeiterdaten der Kunden. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Art. 7 – Technische und organisatorische Maßnahmen (TOM)
SmartTech by GvTB trifft folgende Maßnahmen gemäß Art. 32 DSGVO:
- • Verschlüsselung: Datenübertragung via HTTPS/TLS, Passwörter bcrypt-gehasht
- • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Admin, Manager, Worker), JWT-Authentifizierung
- • Mandantentrennung: Strikte Datenisolierung zwischen Kunden (Multi-Tenant-Architektur)
- • Verfügbarkeit: Regelmäßige Datensicherungen, Monitoring, Health-Check-Endpunkt
- • Zutrittskontrolle: Serverinfrastruktur bei Hetzner mit physischer Zugangssicherung
- • Eingabekontrolle: Alle API-Inputs werden validiert und bereinigt
- • Rate Limiting: Schutz vor Brute-Force-Angriffen auf Login und API
Art. 8 – Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung etc.). Anfragen von Betroffenen (z. B. Mitarbeitern des Kunden) sind direkt an den Verantwortlichen (Kunden) zu richten. Gehen solche Anfragen beim Auftragsverarbeiter ein, werden sie unverzüglich an den Verantwortlichen weitergeleitet. Mitarbeiter-Konten und alle damit verbundenen Daten können vom Kunden-Admin jederzeit in der App gelöscht werden.
Art. 9 – Datenpannen (Art. 33/34 DSGVO)
Bei Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informiert SmartTech by GvTB den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden, per E-Mail an die im Kundenkonto hinterlegte Adresse. Die Meldung enthält Art und Umfang der Verletzung, betroffene Datenkategorien, wahrscheinliche Folgen sowie ergriffene Gegenmaßnahmen.
Art. 10 – Kontakt und Anfragen
Für Fragen zu diesem AVV, zur Datenverarbeitung oder zu Datenschutzthemen wenden Sie sich an:
SmartTech by GvTB
Schloss Mahlberg, 77972 Mahlberg
info@smart-tech-gvtb.de
Dieser AVV ist gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form gültig und wird durch die Nutzung von VineTrack akzeptiert. Eine gesonderte Unterschrift ist nicht erforderlich.