Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

Workplace Survey Tool — gemäß Art. 28 DSGVO

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch BUBLITZ Einrichtungen im Rahmen der Bereitstellung des Workplace Survey Tools. Mit der Anmeldung zur Nutzung des Tools akzeptiert der Auftraggeber diese Vereinbarung.

Auftragsverarbeiter:
BUBLITZ Einrichtungen für Unternehmen e.K.
Inhaber: Sven Bublitz
Klaus-Groth-Straße 8-10
23843 Bad Oldesloe
E-Mail: datenschutz@bublitz-einrichtungen.de

Verantwortlicher (Auftraggeber):
Das Unternehmen, das das Workplace Survey Tool zur Befragung seiner Mitarbeiter einsetzt

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter stellt dem Auftraggeber das Workplace Survey Tool zur Verfügung — ein webbasiertes System zur Befragung von Mitarbeitern zu Arbeitsplatz, Arbeitsstil, Zufriedenheit und Wünschen für die zukünftige Bürogestaltung. Im Rahmen der Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten der Mitarbeiter des Auftraggebers.

1.2 Dauer

Die Verarbeitung erfolgt für die Dauer der aktivierten Umfrage (Standard: 30 Tage, verlängerbar) sowie für einen anschließenden Auswertungszeitraum von maximal 12 Monaten. Nach Ablauf werden die Daten gelöscht, sofern der Auftraggeber keine Verlängerung beauftragt oder die Löschung nicht vorher anfordert.

2. Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung der Umfrage-Antworten in einer Cloud-Datenbank
  • Aggregierte Auswertung für das Admin-Dashboard des Auftraggebers
  • Berechnung von ABW-Zonenempfehlungen und Flächenbedarfsanalyse (im Rahmen der Detailauswertung)
  • Versand von Bestätigungs-E-Mails an Teilnehmer (mit Bearbeitungslink)
  • Bereitstellung der Daten zur Einsicht und zum Export für autorisierte Nutzer des Auftraggebers

2.2 Zweck

Zweck der Verarbeitung ist ausschließlich die Durchführung der Mitarbeiterbefragung im Auftrag des Verantwortlichen sowie die anschließende Auswertung als Grundlage für Büroplanungs- und Einrichtungsentscheidungen.

3. Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden im Rahmen der Mitarbeiterbefragung verarbeitet:

  • Identifikationsdaten: Vor- und Nachname, E-Mail-Adresse
  • Arbeitsplatzdaten: Abteilung, Position/Funktion, Stockwerk, Raumnummer, Betriebszugehörigkeit
  • Arbeitsverhalten: Homeoffice-Tage, Tätigkeitsverteilung, Stauraumbedarf, Arbeitsplatztyp
  • Bewertungen: Zufriedenheit mit dem aktuellen Arbeitsplatz, Wünsche für die zukünftige Ausstattung
  • Möbelinventur (optional): Zustand vorhandener Möbel je Mitarbeiter
  • Freitext-Kommentare: Sofern vom Mitarbeiter eingegeben
  • Technische Metadaten: IP-Adresse, Zeitstempel, Browser-Informationen (zur Anti-Spam-Sicherung)

Die Erhebung von Name und Abteilung erfolgt bewusst, da diese Daten für die spätere Arbeitsplatzzuordnung im Rahmen der Büroplanung benötigt werden. Die Rechtsgrundlage hierfür liegt im berechtigten Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO).

4. Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

  • Mitarbeiter des Auftraggebers, die an der Umfrage teilnehmen
  • Administratoren und Ansprechpartner des Auftraggebers, die das Dashboard nutzen

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers zu verarbeiten
  • Beschäftigte zur Vertraulichkeit zu verpflichten
  • Angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten zu ergreifen
  • Unterauftragsverarbeiter nur unter Wahrung der Bedingungen aus Abschnitt 6 einzusetzen
  • Den Auftraggeber bei der Wahrnehmung von Betroffenenrechten (Auskunft, Berichtigung, Löschung) zu unterstützen
  • Datenschutzverletzungen unverzüglich (binnen 24 Stunden) zu melden
  • Nach Vertragsende oder auf Anforderung des Auftraggebers alle Daten zu löschen oder zurückzugeben
  • Daten ausschließlich auf Servern innerhalb der EU/des EWR zu verarbeiten

6. Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

UnternehmenLeistungStandort
Turso (ChiselStrike Inc.)Datenbank-HostingEU (Frankfurt)
Vercel Inc.Anwendungs-HostingEU
Microsoft (Azure / Graph)E-Mail-VersandEU

Der Auftraggeber stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Anmeldung zur Nutzung des Tools zu. Änderungen werden mit angemessener Frist von mindestens 30 Tagen mitgeteilt; der Auftraggeber kann Änderungen widersprechen.

7. Technische und Organisatorische Maßnahmen (TOMs)

7.1 Zutrittskontrolle

Die Datenbanken und Anwendungsserver werden in zertifizierten Rechenzentren betrieben (ISO 27001).

7.2 Zugangskontrolle

Zugang nur mit individuellen Zugangsdaten. Passwort-Hashing mit bcrypt. Verschlüsselte Übertragung über SSL/TLS.

7.3 Zugriffskontrolle

Rollenbasierte Berechtigungen. Mitarbeiter sehen nur ihre eigene Antwort, Administratoren des Auftraggebers nur die Daten der eigenen Firma. Protokollierung administrativer Zugriffe.

7.4 Weitergabekontrolle

Verschlüsselte Datenübertragung (HTTPS). Keine Weitergabe an Dritte außer an die in Abschnitt 6 genannten Unterauftragsverarbeiter.

7.5 Eingabekontrolle

Protokollierung von Änderungen mit Zeitstempel und Benutzerkennung.

7.6 Verfügbarkeitskontrolle

Regelmäßige Backups, redundante Infrastruktur, Wiederherstellungsverfahren.

7.7 Trennungskontrolle

Strikte Mandantentrennung durch eindeutige Firmen-UUIDs. Keine Vermischung von Daten unterschiedlicher Auftraggeber.

8. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich von der Einhaltung der vereinbarten Maßnahmen zu überzeugen. Dies kann erfolgen durch:

  • Einholen schriftlicher Auskünfte
  • Einsichtnahme in Zertifikate und Prüfberichte
  • Nach vorheriger Abstimmung: Vor-Ort-Prüfungen

9. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich (innerhalb von 24 Stunden) über jede Datenschutzverletzung. Die Meldung enthält mindestens:

  • Beschreibung der Verletzung
  • Betroffene Datenkategorien und ungefähre Anzahl der Personen
  • Bereits ergriffene oder vorgeschlagene Maßnahmen
  • Kontaktdaten für Rückfragen

10. Löschung und Rückgabe der Daten

Nach Abschluss der Mitarbeiterbefragung und der vereinbarten Aufbewahrungsfrist (maximal 12 Monate) werden alle personenbezogenen Daten unwiederbringlich gelöscht. Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem strukturierten, maschinenlesbaren Format (Excel/JSON) übergeben.

Der Auftraggeber kann jederzeit die vorzeitige Löschung aller Daten anfordern. Die Löschung erfolgt innerhalb von 7 Tagen nach Eingang der Anforderung.

11. Schlussbestimmungen

Mit der Anmeldung zur Nutzung des Workplace Survey Tools akzeptiert der Auftraggeber diesen AVV. Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen gehen die Regelungen dieses AVV vor.

Änderungen bedürfen der Textform und werden dem Auftraggeber mit angemessener Frist mitgeteilt.

Kontakt für Datenschutzfragen:
E-Mail: datenschutz@bublitz-einrichtungen.de