Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO für die Nutzung der Webanwendung FluxCalendar

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt den SaaS-Nutzungsvertrag (AGB) zwischen dem Kunden (Verantwortlicher) und dem Anbieter (Auftragsverarbeiter):

Auftragsverarbeiter:
Liam Schmid
Wasserhofstraße 4/3, 3500 Krems an der Donau
mail@liamschmid.com

(2) Der AVV gilt für die gesamte Laufzeit des SaaS-Nutzungsvertrags und endet automatisch mit dessen Beendigung.

(3) Mit der Buchung eines Abonnements und Bestätigung der AGB akzeptiert der Kunde zugleich diesen AVV.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Bereitstellung und des Betriebs der Software FluxCalendar, insbesondere:

Speicherung und Verwaltung von Mitarbeiterdaten (Name, E-Mail, Abteilung)
Speicherung und Verwaltung von Planungsdaten (Projekte, Abwesenheiten, Fristen, Kalendereinträge)
Authentifizierung und Zugriffsverwaltung
Kalender-Export (ICS-Feed)

§ 3 Kategorien betroffener Personen und Daten

Betroffene Personen: Mitarbeiter und ggf. weitere Beschäftigte des Kunden, die als Nutzer in der Software angelegt werden.

Kategorien personenbezogener Daten:

Stammdaten: Name, E-Mail-Adresse, Abteilungszugehörigkeit
Nutzungsdaten: Arbeitszeitmodelle, Urlaubskontingente, Abwesenheiten, Projekteinträge, Mandantenzuordnungen
Technische Daten: IP-Adressen, Browser-Informationen, Zugriffszeitpunkte

Es werden keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
Alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO).
Die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu treffen (siehe Anlage).
Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Verantwortlichen einzusetzen (Art. 28 Abs. 2 DSGVO).
Den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen.
Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO).
Nach Beendigung des Vertrags alle personenbezogenen Daten innerhalb von 90 Tagen zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

§ 5 Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter:

Unterauftragsverarbeiter	Zweck	Standort / Rechtsgrundlage
Google LLC (Firebase)	Cloud-Hosting, Datenbank, Authentifizierung	EU (europe-west3, Frankfurt); EU-US Data Privacy Framework
Stripe Inc.	Zahlungsabwicklung	EU und USA; EU-US Data Privacy Framework, Standardvertragsklauseln
Google reCAPTCHA Enterprise	Bot-Schutz und API-Absicherung	EU und USA; EU-US Data Privacy Framework

Der Auftragsverarbeiter informiert den Verantwortlichen vorab über beabsichtigte Änderungen bei Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb von 14 Tagen Widerspruch einlegen.

§ 6 Kontrollrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und der TOM zu überprüfen. Der Auftragsverarbeiter stellt die hierfür erforderlichen Informationen zur Verfügung.

(2) Inspektionen und Audits sind nach rechtzeitiger Vorankündigung (mindestens 14 Tage) zu den üblichen Geschäftszeiten möglich. Die Kosten trägt der Verantwortliche.

§ 7 Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO (insbesondere Art. 82 DSGVO) sowie den Haftungsregelungen des SaaS-Nutzungsvertrags (AGB).

Anlage: Technische und organisatorische Maßnahmen (TOM)

gemäß Art. 32 DSGVO

Maßnahmenkategorie	Umsetzung
Zutrittskontrolle	Kein physischer Serverraum beim Anbieter. Infrastruktur vollständig bei Google Cloud (Firebase) in zertifizierten Rechenzentren (ISO 27001, SOC 2). Physischer Zugang wird durch Google verwaltet.
Zugangskontrolle	Firebase Authentication mit E-Mail/Passwort. Custom Claims für rollenbasierte Zugriffskontrolle (admin, employee). Firebase App Check mit reCAPTCHA Enterprise zur API-Absicherung. Bearer-Token-Authentifizierung für Server-Endpunkte.
Zugriffskontrolle	Firestore Security Rules mit feldgenauer Validierung pro Collection. Rollenbasiertes Berechtigungskonzept: Admins verwalten, Mitarbeiter sehen nur eigene Daten. User-ID-basierte Pfadstruktur in Firestore für strikte Mandantentrennung.
Weitergabekontrolle	TLS-Verschlüsselung für alle Datenübertragungen (HTTPS). HSTS-Header aktiviert. CORS-Konfiguration beschränkt auf erlaubte Origins. Keine unverschlüsselte Datenweitergabe.
Eingabekontrolle	Firestore Security Rules prüfen Datentypen und erlaubte Felder bei jedem Schreibvorgang. Rate-Limiting (30 Anfragen/Minute/IP). Input-Validierung serverseitig und clientseitig. Stripe-Webhook-Signaturverifikation und Deduplizierung.
Verfügbarkeitskontrolle	Firebase/Google Cloud mit automatischer Replikation und Hochverfügbarkeit. Serverstandort: europe-west3 (Frankfurt). Automatische Skalierung der Infrastruktur durch Google Cloud.
Trennungskontrolle	Logische Mandantentrennung über User-ID-basierte Firestore-Pfade. Security Rules verhindern mandantenübergreifenden Datenzugriff. Separate Stripe-Customer-IDs pro Kunde.
Organisatorische Maßnahmen	Vertraulichkeitsverpflichtung aller Personen mit Datenzugang. Regelmäßige Überprüfung der Sicherheitsmaßnahmen. Dokumentierte Löschroutine nach Vertragsende (90-Tage-Frist).

Stand: Februar 2026