Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO zwischen dem Kunden (nachfolgend „Verantwortlicher“) und Michael Belim, Birnbaumskamp 18, 38116 Braunschweig, Marke „TourlyOne“ (nachfolgend „Auftragsverarbeiter“). Dieser AVV wird mit Annahme der AGB und Nutzung des Dienstes Vertragsbestandteil und gilt für die Dauer des Hauptvertrags.

1. Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach den Weisungen des Verantwortlichen zum Zweck der Bereitstellung der Software TourlyOne (Disposition, Tourenplanung, Fahrerkommunikation, Flottenübersicht). Die Dauer entspricht der Laufzeit des Hauptvertrags.

2. Art, Zweck und Umfang der Verarbeitung

Verarbeitet werden die vom Verantwortlichen in die Software eingegebenen bzw. über sie erhobenen Daten. Die Verarbeitung umfasst Erheben, Speichern, Ordnen, Anzeigen, Übermitteln (im Rahmen der Dienstfunktionen) und Löschen.

3. Art der Daten und Kategorien betroffener Personen

Kategorien personenbezogener Daten (je nach Nutzung):

  • Stammdaten (Name, Anschrift, Kontaktdaten)
  • Beschäftigtendaten der Fahrer/Mitarbeiter des Verantwortlichen
  • Auftrags- und Tourendaten
  • Standort-/GPS- und Kommunikationsdaten im Rahmen der Disposition

Kategorien betroffener Personen:

  • Mitarbeiter und Fahrer des Verantwortlichen
  • Kunden, Auftraggeber und Ansprechpartner des Verantwortlichen

4. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich der Nutzung der über die Software bereitgestellten Funktionen. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.

5. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur im Rahmen des Auftrags und dieser Vereinbarung (Art. 28 Abs. 3 DSGVO).
  • Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
  • Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe Anhang).
  • Unterstützung des Verantwortlichen bei Betroffenenanfragen sowie bei den Pflichten nach Art. 32–36 DSGVO im Rahmen des Zumutbaren.
  • Meldung von Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden (Art. 33 DSGVO).
  • Nach Wahl des Verantwortlichen Löschung oder Rückgabe der Daten nach Ende der Verarbeitung, soweit keine gesetzliche Aufbewahrungspflicht besteht.
  • Nachweis der Einhaltung der Pflichten und Ermöglichung von Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

6. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz von Unterauftragsverarbeitern der nachfolgenden Kategorien zu. Mit allen bestehen Verträge nach Art. 28 DSGVO; Übermittlungen in Drittländer sind durch geeignete Garantien (insb. EU-Standardvertragsklauseln, Art. 46 DSGVO) abgesichert.

  • Anbieter von Server-/Hosting-Infrastruktur (Rechenzentren in der EU).
  • Datenbank-, Authentifizierungs- und Datei-Speicher-Dienst (Verarbeitung in der EU-Region).
  • E-Mail-Versanddienstleister.
  • Dienst zur Fehler- und Stabilitätsüberwachung.
  • Externer Messenger-Dienst – nur bei aktiver Nutzung der Fahrer-Benachrichtigung durch den Verantwortlichen.

Daneben werden bei der Nutzung einzelner Funktionen Daten an Dienste übermittelt, die keine Unterauftragsverarbeiter, sondern eigenständige Empfänger sind: Karten-, Routing- und Geocoding-Dienste auf OpenStreetMap-Basis (ausschließlich Koordinaten bzw. Adressen ohne Namensbezug) sowie – bei aktivierten Push-Benachrichtigungen – die Push-Dienste der jeweiligen Browser- und Gerätehersteller (pseudonyme Geräteadresse, Benachrichtigungsinhalt).

Die jeweils aktuelle, namentliche Liste der eingesetzten Unterauftragsverarbeiter stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage in Textform zur Verfügung. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf Unterauftragsverarbeiter und gibt ihm die Möglichkeit, Einspruch zu erheben.

7. Ort der Verarbeitung

Die Verarbeitung erfolgt grundsätzlich innerhalb der EU/des EWR. Soweit einzelne Unterauftragsverarbeiter Daten in einem Drittland verarbeiten, ist dies wie unter Ziffer 6 beschrieben abgesichert.

8. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte verantwortlich. Er bleibt im datenschutzrechtlichen Sinne „Herr der Daten“.

9. Haftung

Für die Haftung gelten die Regelungen des Hauptvertrags (insbesondere § 8 der AGB) sowie Art. 82 DSGVO entsprechend.

Anhang – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Vertraulichkeit: Zugriffskontrolle über individuelle Benutzerkonten und Rollen, mandantengetrennte Datenhaltung, Beschränkung des Administratorzugriffs auf das Notwendige.
  • Integrität: verschlüsselte Datenübertragung (TLS/HTTPS), Protokollierung sicherheitsrelevanter Vorgänge.
  • Verfügbarkeit und Belastbarkeit: Hosting in EU-Rechenzentren mit redundanter Infrastruktur, regelmäßige Datensicherungen.
  • Verschlüsselung/Pseudonymisierung: Passwörter werden ausschließlich gehasht gespeichert; Datensparsamkeit bei Monitoring-Diensten.
  • Wiederherstellbarkeit: Verfahren zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall.
  • Auftragskontrolle: Auswahl der Unterauftragsverarbeiter nach Eignung, vertragliche Bindung nach Art. 28 DSGVO.

Stand: 4. Juli 2026

← Zur Startseite