Zur Datenschutzerklärung

Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Mitarbeiter-App Käse Poppinga · Stand 10. Juni 2026

Präambel

Dieser Auftragsverarbeitungsvertrag konkretisiert die datenschutz­rechtlichen Verpflichtungen zwischen

Poppinga Käseservice GmbH & Co. KG
Osterhusen 5, 26409 Wittmund
– nachfolgend „Verantwortlicher" –

und dem jeweiligen Auftragsverarbeiter (siehe Anlage 2),

– nachfolgend „Auftragsverarbeiter" –

für die Verarbeitung personenbezogener Daten im Rahmen der Mitarbeiter-App von Käse Poppinga (nachfolgend „die App"). Der Vertrag gilt für alle in Anlage 2 aufgeführten Dienstleister. Die jeweiligen Einzelverträge mit den Anbietern (z. B. Supabase, Cloudflare, Resend, Lovable) werden ergänzend angewendet; im Konfliktfall gehen die strengeren Anforderungen vor.

§ 1 Gegenstand und Dauer

Gegenstand sind die in Anlage 1 beschriebenen Verarbeitungs­tätigkeiten zum Betrieb der Mitarbeiter-App. Die Laufzeit entspricht der Laufzeit des jeweiligen Hauptvertrags und endet automatisch mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung

Verarbeitet werden personenbezogene Daten von Beschäftigten, Bewerber:innen (im Empfehlungs­programm) und betrieblichen Kontaktpersonen zum Zweck der Personalverwaltung, Zeit- und Schicht­organisation, Lohnabrechnung, internen Kommunikation, Schulung sowie der Mitarbeiter­information.

§ 3 Art der Daten und Kategorien betroffener Personen

Detaillierte Aufstellung siehe Ziffer 4 der Datenschutzerklärung. Es werden keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) systematisch verarbeitet; einzelne Hinweise (z. B. Krankmeldungen) werden nur, soweit gesetzlich erforderlich, erfasst.

§ 4 Pflichten des Auftragsverarbeiters

  1. Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen, insbesondere auf Grundlage dieses Vertrags und der Konfiguration der App.
  2. Sicherstellung, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheits­pflicht unterliegen.
  3. Umsetzung aller erforderlichen Maßnahmen nach Art. 32 DSGVO (siehe Anlage 3 – TOMs).
  4. Inanspruchnahme weiterer Unterauftrags­verarbeiter nur mit vorheriger schriftlicher Genehmigung (allgemeine Genehmigung wird für die in Anlage 2 aufgeführten erteilt). Bei Wechsel wird der Verantwortliche rechtzeitig informiert und kann widersprechen.
  5. Unterstützung des Verantwortlichen bei der Wahrung der Rechte der betroffenen Personen (Art. 12–22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO).
  6. Unverzügliche Meldung von Datenschutz­verletzungen an den Verantwortlichen, spätestens innerhalb von 24 Stunden nach Kenntnisnahme.
  7. Nach Wahl des Verantwortlichen Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende, sofern keine gesetzliche Aufbewahrungs­pflicht entgegensteht.
  8. Bereitstellung aller zum Nachweis der Einhaltung erforderlichen Informationen und Ermöglichung von Audits.

§ 5 Pflichten des Verantwortlichen

  1. Rechtmäßigkeit der Verarbeitung gegenüber den Betroffenen sicherstellen, insbesondere Mitarbeiter­information und ggf. Einwilligungen einholen.
  2. Benennung eines Ansprech­partners für Datenschutzfragen (datenschutz@poppinga-kaeseservice.de).
  3. Pflege des Verzeichnisses von Verarbeitungs­tätigkeiten (Art. 30 DSGVO).

§ 6 Unterauftragsverhältnisse

Allgemein genehmigt sind die in Anlage 2 genannten Unterauftrags­verarbeiter. Der Auftragsverarbeiter ist verpflichtet, mit jedem Unterauftrags­verarbeiter einen Vertrag mit gleichwertigen Datenschutz­pflichten zu schließen.

§ 7 Drittlandtransfer

Eine Übermittlung in Drittländer findet nur statt, soweit dies in Anlage 2 ausgewiesen ist. In diesem Fall stützt sich die Übermittlung auf EU-Standardvertrags­klauseln (Durchführungs­beschluss (EU) 2021/914) zuzüglich ergänzender technischer Maßnahmen (Verschlüsselung, Pseudonymisierung).

§ 8 Haftung

Es gelten die Haftungs­regelungen des Art. 82 DSGVO sowie die Bestimmungen des jeweiligen Hauptvertrags.

§ 9 Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit des Vertrags im Übrigen unberührt. Es gilt deutsches Recht. Gerichtsstand ist – soweit zulässig – Wittmund.

Anlage 1 – Verarbeitungs­tätigkeiten

Die einzelnen Verarbeitungs­tätigkeiten ergeben sich aus Ziffer 4 der Datenschutzerklärung der Mitarbeiter-App und umfassen u. a.:

  • Anmeldung & Zugriffs­steuerung
  • Stamm- und Profildaten der Beschäftigten
  • Arbeitszeit­erfassung und Schichtplanung
  • Urlaubs- und Abwesenheits­management
  • Bereitstellung digitaler Lohn­abrechnungen
  • Interne Kommunikation (Chat, News, Stories, Events, Umfragen)
  • Ideen­werkstatt, Kummerkasten, Hinweisgebersystem
  • Empfehlungs­programm inkl. Bewerber:innen­daten
  • Schulungen und Wissensbasis
  • Push- und E-Mail-Benachrichtigungen
  • Übersetzungen und optionale KI-Bilder

Anlage 2 – Auftragsverarbeiter & Unter­auftragsverarbeiter

AnbieterLeistungSitz / RegionRechtsgrundlage Transfer
Supabase (verwaltet durch Lovable Cloud)Datenbank (Postgres), Authentifizierung, Datei-Buckets (avatars, payslips, banners, referral-cvs, post-media), RealtimeEU – Frankfurt (Deutschland)EU-intern, keine Drittland­übermittlung
Cloudflare, Inc.Hosting / Edge-Runtime der AppEU-EdgeSCC (2021/914) + DPA
Lovable GmbHPlattform­bereitstellung, AI-Gateway (Übersetzung, Bildgenerierung)EUEU-intern
Resend / Postmark (Mailversand)Transaktionale E-MailsEUEU-intern; ggf. SCC
Apple Push Notification Service / Google FCM / Microsoft WNSWeb-Push-Auslieferung an Endgeräteweltweit (gerätehersteller­abhängig)SCC; Inhalt VAPID-verschlüsselt

Anlage 3 – Technische & organisatorische Maßnahmen (TOMs)

Vertraulichkeit

  • Zutritt: Rechenzentren mit Zutrittskontrolle (24/7), TÜV/ISO 27001 zertifiziert.
  • Zugang: Persönliche Konten mit Passwort & optional 2FA, Session-Timeout.
  • Zugriff: Row-Level-Security auf jeder Tabelle, Rollen­konzept (Mitarbeiter:in / Admin).
  • Trennung: Logische Mandanten­trennung pro Unternehmen, eigene Datenbank/Schema.
  • Pseudonymisierung wo möglich (z. B. anonymer Kummerkasten, anonymisierbares Leaderboard).

Integrität

  • Weitergabe: TLS 1.2+ ausschließlich; HSTS aktiv.
  • Eingabekontrolle: Audit-Log relevanter Admin­aktionen (admin_audit).

Verfügbarkeit & Belastbarkeit

  • Tägliche automatische Backups (Point-in-Time-Recovery, 7 Tage).
  • Monitoring, Alerting und Patch-Management durch Anbieter.

Verfahren zur regelmäßigen Überprüfung

  • Wiederkehrende Security-Linter-Scans der Backend-Konfiguration.
  • Datenschutz-Management nach Stand der Technik.
  • Auftragskontrolle: Schriftliche Weisungen, dokumentiert in der App.

Unterschriften

Für den Verantwortlichen

Poppinga Käseservice GmbH & Co. KG

Ort, Datum, Unterschrift

Für den Auftragsverarbeiter

Lovable / Supabase / Cloudflare (siehe Anlage 2)

Ort, Datum, Unterschrift

Hinweis: Dieser Vertrag wurde speziell für die Mitarbeiter-App von Käse Poppinga erstellt. Vor produktivem Einsatz empfiehlt sich eine abschließende Prüfung durch den/die Datenschutzbeauftragte:n.