Auftragsverarbeitungsvertrag
Hinweis: Maßgeblich und rechtlich verbindlich ist ausschließlich die deutsche Fassung dieses Dokuments.
Stand: 14. Mai 2026
Version: 2026-05-14
1. Geltung
Dieser Auftragsverarbeitungsvertrag gilt, soweit eine Kundenorganisation personenbezogene Daten Dritter in Ride Assignment eingibt, importiert oder anderweitig verarbeitet und Pablo Thiermann diese Workspace-Inhalte als Auftragsverarbeiter im Auftrag der Kundenorganisation verarbeitet.
Die Kundenorganisation ist insoweit Verantwortliche im Sinne der DSGVO. Pablo Thiermann verarbeitet die Workspace-Inhalte als Auftragsverarbeiter nach Art. 28 DSGVO. Bei Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und den Nutzungsbedingungen geht dieser Auftragsverarbeitungsvertrag vor.
2. Gegenstand, Dauer, Art und Zweck der Verarbeitung
Gegenstand der Verarbeitung ist die Bereitstellung von Ride Assignment als Softwaredienst zur Organisation von Gruppenfahrten, Fahrer- und Mitfahrerkoordination, Routenplanung, Zuweisung, Import, Export und unterstützender Kommunikation.
Die Verarbeitung erfolgt für die Dauer der Nutzung von Ride Assignment durch die Kundenorganisation. Nach Ende der Nutzung werden Workspace-Inhalte nach Maßgabe der Produktfunktionen, dokumentierten Weisungen und gesetzlichen Anforderungen gelöscht oder anonymisiert, soweit keine rechtliche Aufbewahrungspflicht, kein berechtigtes Nachlaufinteresse oder keine Dokumentationspflicht entgegensteht.
Art und Zweck der Verarbeitung sind insbesondere Hosting, Speicherung, Anzeige, Validierung, Import, Export, Adresssuche, Geocoding, Routing, Optimierung, Kartendarstellung, Erstellung von Routen- und Einsatzplänen, Bereitstellung von Support, Absicherung des Dienstes, Fehlerbehebung und technische Wartung.
3. Kategorien personenbezogener Daten und betroffener Personen
Verarbeitet werden können insbesondere folgende Datenarten:
- Organisations-, Projekt- und Eventdaten;
- Fahrer-, Mitfahrer-, Teilnehmer- und Kontaktdaten;
- Adressen, Koordinaten, Treffpunkte, Routen, Haltepunkte, Verfügbarkeitszeiten und Zuordnungen;
- Import-, Export-, PDF-, ZIP- und JSON-Daten;
- Kommunikationsdaten, soweit die Kundenorganisation E-Mail- oder Exportfunktionen nutzt;
- technische Protokoll-, Sicherheits-, Nutzungs- und Auditdaten, soweit sie für Betrieb, Sicherheit und Nachvollziehbarkeit erforderlich sind;
- besondere Kategorien personenbezogener Daten, soweit die Kundenorganisation solche Daten eingibt, insbesondere Angaben zu Gesundheit, Behinderung, Barrierefreiheit oder besonderen Transportbedarfen.
Betroffene Personen können insbesondere Fahrerinnen und Fahrer, Mitfahrerinnen und Mitfahrer, Veranstaltungsteilnehmer, Mitarbeitende, Vereinsmitglieder, Freiwillige, Erziehungsberechtigte, Kontaktpersonen und sonstige von der Kundenorganisation in Ride Assignment erfasste Personen sein. Daten von Minderjährigen oder sonstigen schutzbedürftigen Personen dürfen nur verarbeitet werden, wenn die Kundenorganisation hierfür eine geeignete Rechtsgrundlage und angemessene Schutzmaßnahmen sicherstellt.
4. Weisungen
Pablo Thiermann verarbeitet Workspace-Inhalte nur nach dokumentierter Weisung der Kundenorganisation, soweit keine gesetzliche Pflicht zu einer anderen Verarbeitung besteht. Weisungen ergeben sich insbesondere aus den Nutzungsbedingungen, diesem Auftragsverarbeitungsvertrag, der Produktnutzung, den Einstellungen der Kundenorganisation, Supportanfragen und sonstigen dokumentierten Anweisungen.
Hält Pablo Thiermann eine Weisung für datenschutzrechtlich rechtswidrig, darf Pablo Thiermann die Ausführung aussetzen und die Kundenorganisation hierüber informieren.
5. Vertraulichkeit und Zugriffsberechtigungen
Pablo Thiermann stellt sicher, dass Personen mit Zugriff auf Workspace-Inhalte zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Zugriffe auf Workspace-Inhalte werden auf Personen beschränkt, die diesen Zugriff für Betrieb, Sicherheit, Wartung, Support oder Fehlerbehebung benötigen. Support- und Betriebszugriffe dürfen nur im erforderlichen Umfang erfolgen.
6. Technische und organisatorische Maßnahmen
Pablo Thiermann setzt angemessene technische und organisatorische Maßnahmen ein, um Workspace-Inhalte gegen unbefugten Zugriff, Veränderung, Verlust, Missbrauch oder Offenlegung zu schützen.
Zu den Maßnahmen gehören insbesondere:
- Transportverschlüsselung;
- authentifizierte Zugriffskontrollen;
- organisationsbezogene Berechtigungen;
- Row-Level-Beschränkungen in der Datenbank;
- Zugriffsbeschränkungen für Betriebs- und Supportzugänge;
- Audit-Logging und Sicherheitsprotokollierung;
- Trennung von Entwicklungs-, Test- und Produktionsumgebungen nach Maßgabe der technischen Architektur;
- Reduktion optionaler Analyse- und Präferenzspeicherung auf einwilligungsbasierte Kategorien;
- Vermeidung personenbezogener Workspace-Inhalte in Analytics, Trainings- oder Produktverbesserungszwecken, außer in anonymisierter oder aggregierter Form.
Die Maßnahmen werden unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung sowie der Risiken für betroffene Personen überprüft und bei Bedarf angepasst.
7. Unterauftragsverarbeiter
Die Kundenorganisation erteilt Pablo Thiermann eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, soweit diese für Hosting, Authentifizierung, Datenbankdienste, Abrechnung, Karten-, Geocoding-, Routing-, E-Mail-, Analyse-, Sicherheits-, Support- oder Infrastrukturleistungen erforderlich sind.
Pablo Thiermann bindet Unterauftragsverarbeiter vertraglich so ein, dass sie angemessene Datenschutzpflichten übernehmen. Die aktuelle Unterauftragsverarbeiter-Liste wird öffentlich bereitgestellt. Beabsichtigte Hinzufügungen oder Ersetzungen von Unterauftragsverarbeitern werden der Kundenorganisation über die Website, die Anwendung, per E-Mail oder auf anderem geeignetem Weg mitgeteilt. Die Kundenorganisation kann aus berechtigten datenschutzrechtlichen Gründen innerhalb der in der Mitteilung genannten Frist widersprechen. Erfolgt ein berechtigter Widerspruch, arbeiten die Parteien an einer zumutbaren Lösung; soweit keine zumutbare Lösung möglich ist, kann die betroffene Verarbeitung beendet werden.
Soweit Workspace-Inhalte außerhalb der EU oder des EWR verarbeitet werden, erfolgt dies nur auf Grundlage eines Angemessenheitsbeschlusses, geeigneter Garantien wie Standardvertragsklauseln oder eines sonst zulässigen Transferinstruments nach Kapitel V DSGVO.
8. Unterstützungspflichten
Pablo Thiermann unterstützt die Kundenorganisation in angemessenem Umfang bei der Erfüllung von Betroffenenrechten, Sicherheitsanforderungen, Meldungen personenbezogener Datenverletzungen, Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden, soweit die Unterstützung die Verarbeitung in Ride Assignment betrifft und die Kundenorganisation die erforderlichen Informationen nicht zumutbar selbst über die Anwendung abrufen kann.
Pablo Thiermann informiert die Kundenorganisation ohne unangemessene Verzögerung, wenn Pablo Thiermann eine personenbezogene Datenverletzung feststellt, die Workspace-Inhalte betrifft.
9. Löschung und Rückgabe
Nach Ende der Nutzung löscht oder gibt Pablo Thiermann nach Wahl der Kundenorganisation alle personenbezogenen Workspace-Inhalte zurück und löscht vorhandene Kopien, soweit nicht gesetzliche Aufbewahrungspflichten oder zwingende Nachweispflichten entgegenstehen. Soweit technisch vorgesehen, kann die Kundenorganisation Daten vor Löschung über die Produktfunktionen exportieren. Fehlt eine anderslautende dokumentierte Weisung, erfolgt die Löschung nach Maßgabe der Produktfunktionen, dokumentierten Löschfristen und gesetzlichen Anforderungen.
Abrechnungs-, Sicherheits-, Einwilligungs-, Audit- und Rechtsnachweise können mit minimierten Identifikatoren aufbewahrt werden, soweit dies erforderlich ist. Technische Backups können bis zu ihrer regulären Überschreibung fortbestehen.
10. Nachweise und Prüfungen
Pablo Thiermann stellt der Kundenorganisation auf Anfrage die Informationen bereit, die erforderlich sind, um die Einhaltung dieses Auftragsverarbeitungsvertrags nachzuweisen, soweit diese Informationen nicht bereits über die Dokumentation, die Rechtstexte, die Anwendung oder Sicherheitsinformationen verfügbar sind. Pablo Thiermann ermöglicht und unterstützt Prüfungen einschließlich Inspektionen im nach Artikel 28 DSGVO erforderlichen Umfang.
Prüfungen müssen rechtzeitig angekündigt, auf den erforderlichen Umfang beschränkt und so durchgeführt werden, dass Sicherheit, Vertraulichkeit, Betriebsstabilität und Rechte anderer Kunden nicht beeinträchtigt werden. Pablo Thiermann darf angemessene Nachweise, Auskünfte oder unabhängige Sicherheitsdokumentation als vorrangiges Prüfmittel bereitstellen.
11. Pflichten der Kundenorganisation
Die Kundenorganisation bleibt dafür verantwortlich, dass sie für die Verarbeitung der Workspace-Inhalte eine geeignete Rechtsgrundlage hat, betroffene Personen ordnungsgemäß informiert, nur erforderliche Daten verarbeitet, Zugänge beschränkt, sensible Daten minimiert und Löschfristen für den konkreten Einsatz festlegt.
Die Kundenorganisation muss insbesondere prüfen, ob besondere Kategorien personenbezogener Daten, Daten von Minderjährigen oder Verarbeitungsvorgänge mit voraussichtlich hohem Risiko zusätzliche Anforderungen auslösen, etwa eine Datenschutz-Folgenabschätzung oder besondere Einwilligungs-, Informations- oder Schutzpflichten.