Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO)

Stand: Juni 2026 — für die Nutzung der Ablaufanalyse mit Datenspeicherung

§ 1 Vertragsparteien und Gegenstand

Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten im Auftrag zwischen der beauftragenden Einrichtung (nachfolgend "Verantwortlicher") und

Xaver Bauer – Management- und Organisationsberatung
Pilgramsroth 130
96450 Coburg
E-Mail: info@vitaldesk.de
(nachfolgend "Auftragsverarbeiter")

Gegenstand ist der Betrieb der webbasierten Ablaufanalyse auf vitaldesk.de mit serverseitiger Speicherung der vom Verantwortlichen eingegebenen oder hochgeladenen Daten sowie dem optionalen KI-gestützten Datenimport. Diese Vereinbarung wird mit der Annahme der AGB für die Nutzung der Ablaufanalyse Vertragsbestandteil und gilt für die Dauer der Lizenz.

§ 2 Art, Zweck und Umfang der Verarbeitung

Verarbeitet werden die Daten, die der Verantwortliche zur Durchführung der Ablaufanalyse selbst eingibt oder per Datei-Upload bereitstellt: Speicherung, Anzeige, Auswertung (Berechnung von Kennzahlen), optionale KI-Extraktion aus hochgeladenen Dateien sowie Löschung. Zweck ist ausschließlich die Bereitstellung der Analyse-Funktionen für den Verantwortlichen; eine Nutzung für eigene Zwecke des Auftragsverarbeiters findet nicht statt.

§ 3 Kategorien betroffener Personen und Datenarten

Betroffene Personen: Beschäftigte des Verantwortlichen (Pflege-, Betreuungs- und Hauswirtschaftskräfte) sowie ggf. Ansprechpartner der Einrichtung.

Datenarten: Namen oder Kürzel der Mitarbeitenden, Qualifikationsniveau bzw. Arbeitsbereich, Schichtzuordnung, Dienststunden, erfasste Maßnahmen mit Zeitwerten; Kontaktdaten der Einrichtung (Name, Ansprechpartner, E-Mail, Telefon, Rechnungsanschrift). Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung; der Verantwortliche stellt sicher, dass hochgeladene Dateien keine Bewohner- oder Gesundheitsdaten enthalten.

§ 4 Weisungsrecht

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Software-Funktionen (Eingabe, Upload, Speichern, Löschen) gilt als Weisung. Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er den Verantwortlichen unverzüglich.

§ 5 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Insbesondere: TLS-Verschlüsselung sämtlicher Übertragungen; Zugriff auf gespeicherte Analysedaten nur über den persönlichen Lizenz-Link in Verbindung mit per E-Mail-Code bestätigten Endgeräten (Gerätebindung, max. 2 Geräte); Server in einem deutschen Rechenzentrum (Hetzner); rollenbasierte Administrationszugänge mit personalisierten Konten; Zugriffsprotokollierung; regelmäßige Sicherheitsupdates. Der Auftragsverarbeiter passt die Maßnahmen dem Stand der Technik an.

§ 7 Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter:

• ChairTech, Inh. Christian Müller (Deutschland) — technischer Betrieb und Wartung der Plattform
• Hetzner Online GmbH (Deutschland) — Server-Hosting
• Resend, Inc. (USA) — E-Mail-Versand (Zugangslinks, Rechnungen, Bestätigungscodes); Übermittlung auf Grundlage von EU-Standardvertragsklauseln
• Anthropic, PBC (USA) — nur beim optionalen KI-Datenimport: einmalige Auswertung hochgeladener Dateien; keine Speicherung, keine Nutzung zu Trainingszwecken; Übermittlung auf Grundlage von EU-Standardvertragsklauseln

Über beabsichtigte Änderungen wird der Verantwortliche vorab informiert (E-Mail an die hinterlegte Adresse) und kann aus wichtigem Grund widersprechen; im Fall des Widerspruchs kann die Lizenz beidseitig beendet werden.

§ 8 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung), soweit ihm dies möglich ist. Verletzungen des Schutzes personenbezogener Daten meldet er dem Verantwortlichen unverzüglich.

§ 9 Löschung und Rückgabe

Nach Ende der Lizenz oder auf Weisung löscht der Auftragsverarbeiter die gespeicherten Analysedaten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Rechnungsdaten: 10 Jahre, § 147 AO). Der Verantwortliche kann seine Daten zuvor über die Druck-/Exportfunktion selbst sichern. Hochgeladene Dateien des KI-Imports werden nicht dauerhaft gespeichert, sondern nur zur einmaligen Auswertung verarbeitet.

§ 10 Nachweise und Kontrollrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung und ermöglicht angemessene Überprüfungen. Kontrollen vor Ort werden mit angemessener Frist angekündigt und auf das erforderliche Maß beschränkt.

§ 11 Haftung und Schlussbestimmungen

Für die Haftung gilt Art. 82 DSGVO sowie ergänzend die Haftungsregelung der AGB für die Nutzung der Ablaufanalyse. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht.

Zu den AGB für die Nutzung der Ablaufanalyse · Zur Datenschutzerklärung