Auftragsverarbeitungsvertrag (AVV)

Stand: 09.02.2026

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Auftragsverarbeitung

Der Auftragsverarbeiter erbringt für den Verantwortlichen folgende Leistungen:

• Bereitstellung der Cloud-Software „Quotivo" zur Zeiterfassung und Projektverwaltung
• Speicherung und Verarbeitung von Zeiteinträgen, Projektdaten, Kundendaten
• Integration mit Drittanbieter-Diensten (Lexware Office, TeamViewer) nach Weisung des Verantwortlichen
• Technischer Support per Fernwartung (nach individueller Freigabe)

(2) Art der Verarbeitung

• Speicherung in relationaler Datenbank (MySQL)
• Verschlüsselte Übertragung (HTTPS/TLS 1.3)
• Verschlüsselte Speicherung sensibler Daten (AES-256)
• Automatisierte Verarbeitung (Duplikatserkennung, Kundenzuordnung)

(3) Dauer

Dieser AVV tritt mit Abschluss des Hauptvertrags (Nutzungsvertrag Quotivo) in Kraft und endet mit Beendigung des Hauptvertrags. Die Pflichten zur Datenlöschung (§ 10) gelten über die Vertragslaufzeit hinaus.

§ 2 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:

• Stammdaten: Name, Adresse, E-Mail, Telefon (Kunden, Mitarbeiter)
• Vertragsdaten: Kundennummer, Projektnummern, Artikelbezeichnungen
• Nutzungsdaten: Zeiteinträge, Login-Zeiten, IP-Adressen
• Kommunikationsdaten: Notizen, Beschreibungen, Dashboard-Notizen
• Besondere Kategorien (Art. 9 DSGVO): Krankheitsdaten (nur bei Nutzung der Abwesenheitsverwaltung)

§ 3 Kategorien betroffener Personen

• Kunden des Verantwortlichen
• Mitarbeiter/Beschäftigte des Verantwortlichen
• Geschäftspartner (Ansprechpartner bei Firmenkunden)
• Nutzer der Quotivo-Software (Benutzerkonten)

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

1. Die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
2. Alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit zu verpflichten
3. Alle gemäß Art. 32 DSGVO erforderlichen Sicherheitsmaßnahmen zu ergreifen
4. Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
5. Den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen
6. Nach Abschluss der Verarbeitung alle Daten zu löschen oder zurückzugeben
7. Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende Maßnahmen gemäß Art. 32 DSGVO umgesetzt:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahme	Technische Umsetzung
Zutrittskontrolle	Rechenzentrum mit Videoüberwachung, Zwei-Faktor-Zugang
Zugangskontrolle	Passwort-Policy (min. 8 Zeichen), optionale 2FA
Zugriffskontrolle	Rollenbasiertes Berechtigungssystem (Admin, Rechnungsersteller, Mitarbeiter)
Weitergabekontrolle	TLS 1.3-Verschlüsselung, keine unverschlüsselten E-Mails
Eingabekontrolle	ActivityLog-System (IP, User-Agent, Zeitstempel)

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahme	Technische Umsetzung
Transportverschlüsselung	HTTPS/TLS 1.3, HSTS in Production
Speicherverschlüsselung	Laravel Crypt (AES-256-CBC) für sensitive Felder
Backup	Tägliche Backups, 30 Tage Aufbewahrung

Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahme	Technische Umsetzung
SLA	99,5% Uptime (ca. 3,6h Ausfall/Monat)
Monitoring	Server-Monitoring mit Alerting
Backup-Restore	Wiederherstellung innerhalb 24h

§ 6 Unterauftragsverarbeiter

(1) Genehmigte Unterauftragsverarbeiter

Name	Leistung	Land
IONOS SE	Server-Hosting	Deutschland
TeamViewer Germany GmbH	Fernwartungssoftware (optional)	Deutschland
Lexoffice GmbH & Co. KG	Buchhaltungssoftware (optional)	Deutschland

(2) Genehmigungsverfahren

Der Verantwortliche stimmt der Beauftragung der oben genannten Unterauftragsverarbeiter zu. Bei Änderungen wird der Verantwortliche 30 Tage im Voraus informiert (E-Mail an registrierte Adresse). Widerspruch ist innerhalb von 14 Tagen schriftlich zu erklären.

§ 7 Support-Zugriff und Fernwartung

(1) Zugriff nur nach Freigabe

Der Auftragsverarbeiter darf auf Systeme und Daten des Verantwortlichen ausschließlich nach vorheriger, dokumentierter Freigabe durch eine autorisierte Person des Verantwortlichen zugreifen.

(2) Protokollierung

Alle Fernwartungszugriffe werden mit folgenden Mindestangaben protokolliert:

• Eindeutige Sitzungs-ID
• Datum und Uhrzeit (Start/Ende)
• Zugreifende Person (Techniker)
• Betroffenes System/Gerät
• Status (erfolgreich/fehlgeschlagen)

(3) Keine Datenkopien

Dem Auftragsverarbeiter ist es untersagt, während der Fernwartung Daten des Verantwortlichen zu kopieren, herunterzuladen oder auf eigene Systeme zu übertragen, es sei denn, dies ist zur Fehleranalyse zwingend erforderlich und wurde vorab genehmigt.

§ 8 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten:

Recht (DSGVO)	Umsetzung in Quotivo
Auskunft (Art. 15)	Datenexport-Funktion unter "Profil → Meine Daten"
Berichtigung (Art. 16)	Direkte Bearbeitung in Profil-Einstellungen
Löschung (Art. 17)	Konto-Löschung mit Bestätigungs-Workflow
Einschränkung (Art. 18)	Nutzer kann als "inaktiv" markiert werden
Datenübertragbarkeit (Art. 20)	Export als JSON/CSV

Reaktionszeit: Der Auftragsverarbeiter stellt technische Mittel innerhalb von 3 Werktagen bereit.

§ 9 Kontroll- und Prüfrechte

(1) Audits

Der Verantwortliche oder ein beauftragter Dritter darf nach vorheriger Ankündigung (14 Tage) während der Geschäftszeiten (Mo-Fr 9-17 Uhr) die Einhaltung dieses AVV prüfen.

(2) Nachweise

Der Auftragsverarbeiter stellt auf Anfrage bereit:

• Aktuelle Liste der TOMs
• Unterauftragsverarbeiter-Liste
• Nachweis der Mitarbeiterschulungen

(3) Kosten

Erste Prüfung pro Jahr: kostenfrei.
Weitere Prüfungen: nach Aufwand (max. 150 €/h).

§ 10 Beendigung und Datenlöschung

(1) Datenexport durch den Verantwortlichen

Der Verantwortliche kann jederzeit während der Vertragslaufzeit seine Daten selbstständig über die Exportfunktionen der Anwendung exportieren:

• CSV/Excel-Export aller Zeiteinträge, Projekte und Kundendaten
• JSON-Export über die Profil-Einstellungen

Hinweis: Rechnungen werden nicht in Quotivo gespeichert, sondern ausschließlich beim integrierten Drittanbieter (Lexware Office). Der Verantwortliche exportiert Rechnungsdaten direkt aus seinem Lexware Office-Konto.

Technischer Hinweis: Sensible Daten werden in der Datenbank verschlüsselt gespeichert (AES-256). Ein Rohdaten-Export der Datenbank ist daher nicht möglich. Der Export erfolgt ausschließlich über die Anwendungsfunktionen in entschlüsselter Form.

(2) Löschung

Nach Vertragsende löscht der Auftragsverarbeiter alle Daten des Verantwortlichen innerhalb von 30 Tagen aus den Produktivsystemen. Backups werden im Rahmen der regulären Backup-Rotation (max. 30 Tage) überschrieben.

(3) Löschnachweis

Auf Anfrage wird eine schriftliche Bestätigung der Löschung ausgestellt.

§ 11 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.
(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt deutsches Recht. Gerichtsstand ist Berlin.