Auftragsverarbeitungsvertrag

Standard-AVV nach Art. 28 DSGVO - Stand: 03. Juni 2026

Hinweis: Dieses Dokument ist die Standardfassung fuer Kunden, die Plankern produktiv einsetzen. Es ersetzt keine individuelle Rechtsberatung. Kunden koennen die Standardfassung ohne Zusatzkosten abrufen; individuelle Vertragsaenderungen, Redlining, Audit-Termine oder Datenschutzfrageboegen koennen gesondert bepreist werden.

1. Parteien und Rollen

Verantwortlicher im Sinne der DSGVO ist der jeweilige Kunde, der Plankern zur Verwaltung seiner Mitarbeiter, Einsaetze, Schichten, Zeiten, Dokumente und Abrechnungsdaten nutzt.

Auftragsverarbeiter ist die Neralis Core Systems UG (haftungsbeschraenkt) i. G., Am Osterfeuer 8, 32051 Herford, Deutschland, als Anbieterin von Plankern.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand ist die Bereitstellung der Workforce-Management-Plattform Plankern inklusive Web-Anwendung, mobiler App, Backend, Speicher, Benachrichtigungen, Support und Abrechnungsvorbereitung.

Die Verarbeitung beginnt mit Bereitstellung des Kundenmandanten und endet nach Vertragsende, sobald die Daten nach den vereinbarten Export-, Rueckgabe- und Loeschprozessen geloescht oder zurueckgegeben wurden.

3. Zweck der Verarbeitung

  • Schichtplanung, Einsatzplanung und Auftragsverwaltung
  • Mitarbeiterverwaltung, Rollen- und Rechteverwaltung
  • Zeiterfassung, Timesheets, Freigaben und Nachweise
  • Abwesenheiten, Urlaub, Krankmeldungen und Verfuegbarkeiten
  • Standort- oder Einsatzortnachweise, soweit vom Kunden aktiviert
  • Dokumentenverwaltung, Qualifikationen, Kunden- und Standortdaten
  • Benachrichtigungen, Protokollierung, Export und Abrechnungsvorbereitung

4. Kategorien betroffener Personen

  • Mitarbeiter, Bewerber, freie Mitarbeiter oder sonstige Einsatzkraefte des Kunden
  • Administratoren, Disponenten, HR- und Buchhaltungsnutzer des Kunden
  • Ansprechpartner bei Kunden, Standorten, Auftraggebern oder Partnerunternehmen

5. Kategorien personenbezogener Daten

  • Stammdaten, Kontaktdaten, Benutzerkonten, Rollen und Berechtigungen
  • Schicht-, Einsatz-, Auftrags-, Kunden- und Standortdaten
  • Arbeitszeiten, Timesheets, Pausen, Freigaben, Korrekturen und Audit-Logs
  • Abwesenheiten, Urlaube, Krankmeldungen und Verfuegbarkeiten
  • Dokumente, Qualifikationen, Mitarbeiterakten und Anhange
  • Standortdaten/GPS-Daten, wenn die Funktion im jeweiligen Mandanten aktiviert und genutzt wird
  • Kommunikations-, Support-, Fehler- und technische Protokolldaten

Krankmeldungen, Abwesenheitsgruende und Freitextangaben koennen Gesundheitsdaten im Sinne von Art. 9 DSGVO beruehren. Der Kunde bleibt fuer Rechtsgrundlage, Information der Beschaeftigten, ggf. Betriebsratsbeteiligung und DSFA-Pruefung verantwortlich.

6. Weisungen des Kunden

Plankern verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden. Weisungen koennen sich aus Vertrag, Produktkonfiguration, Administratorhandlungen, Supportanfragen oder dokumentierten schriftlichen/elektronischen Weisungen ergeben.

7. Pflichten von Plankern

  • Verarbeitung nur im Rahmen des vereinbarten Zwecks und dokumentierter Weisungen
  • Vertraulichkeitsverpflichtung der zur Verarbeitung befugten Personen
  • Umsetzung geeigneter technischer und organisatorischer Massnahmen nach Art. 32 DSGVO
  • Unterstuetzung des Kunden bei Betroffenenrechten, Datenschutzverletzungen und Nachweispflichten im zumutbaren Umfang
  • Information des Kunden, wenn eine Weisung aus Sicht von Plankern gegen Datenschutzrecht verstossen kann

8. Technische und organisatorische Massnahmen

Die TOMs sind in der Anlage Technische und organisatorische Massnahmen beschrieben. Sie werden risikobasiert weiterentwickelt und duerfen angepasst werden, solange das Schutzniveau nicht wesentlich unterschritten wird.

9. Unterauftragsverarbeiter

Plankern darf Unterauftragsverarbeiter einsetzen, soweit diese in der Liste der Unterauftragsverarbeiter aufgefuehrt sind oder der Kunde ueber wesentliche Aenderungen informiert wird und keinen berechtigten Widerspruch erhebt.

10. Drittlanduebermittlungen

Soweit Anbieter ausserhalb der EU/des EWR eingesetzt werden oder ein Fernzugriff aus Drittstaaten moeglich ist, erfolgt dies nur auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln, Angemessenheitsbeschluessen oder gleichwertigen Schutzmechanismen.

11. Unterstuetzung des Kunden

Plankern unterstuetzt den Kunden angemessen bei Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit, Widerspruch, Datenschutzverletzungen und Datenschutz-Folgenabschaetzungen, soweit dies mit den in Plankern verarbeiteten Daten zusammenhaengt.

12. Datenschutzverletzungen

Plankern informiert den Kunden unverzueglich, wenn Plankern eine Verletzung des Schutzes personenbezogener Daten feststellt, die Daten des Kunden betrifft. Die Meldung enthaelt, soweit verfuegbar, Art der Verletzung, betroffene Datenkategorien, moegliche Folgen und ergriffene oder vorgeschlagene Massnahmen.

13. Audits und Nachweise

Plankern stellt dem Kunden geeignete Nachweise zur Einhaltung dieses AVV bereit. Individuelle Audit-Termine, Frageboegen, Sonderpruefungen oder Vertragsredlines koennen gesondert vereinbart und berechnet werden.

14. Rueckgabe und Loeschung

Nach Vertragsende stellt Plankern dem Kunden im technisch moeglichen Umfang Exportfunktionen bereit. Danach werden personenbezogene Daten nach Ablauf der vereinbarten Fristen geloescht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Sicherungszwecke entgegenstehen.

15. Rangfolge

Bei Widerspruechen zwischen Hauptvertrag, AGB und diesem AVV gehen die datenschutzrechtlichen Regelungen dieses AVV fuer die Auftragsverarbeitung vor.