Auftragsverarbeitungsvertrag

Nutzung der CasinoAgent-Plattform

Vertragsparteien

Auftraggeber (Verantwortlicher im Sinne der DSGVO):

Der jeweilige Nutzer der CasinoAgent-Plattform, der als Betreiber von Spielhallen und/oder Casinos in Deutschland die Plattform zur Verwaltung von Unternehmen, Standorten und Mitarbeitern nutzt

– nachfolgend „Auftraggeber“ oder „Sie“ –

Auftragnehmer (Auftragsverarbeiter im Sinne der DSGVO):

Mifal UG (haftungsbeschränkt)

Hohenzollernallee 26

40235 Düsseldorf

– nachfolgend „Auftragnehmer“ oder „wir“ –

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verpflichtungen der Vertragsparteien zum Datenschutz im Zusammenhang mit der Nutzung der CasinoAgent-Plattform (insbesondere iOS- und Android-App, Web-Dashboard sowie Desktop-Client, nachfolgend gemeinsam „Plattform“) durch den Auftraggeber. Der Auftragnehmer stellt eine Software-as-a-Service (SaaS)-Lösung zur Verfügung, mit der der Auftraggeber insbesondere Mitarbeiterdaten (digitale Personalakte, Arbeitsverträge, Dienstanweisungen, Schulungsnachweise, Dienstplanung und Abwesenheitsverwaltung, Ankunfts- und Abfahrtsprotokollierung mittels Geofencing) sowie unternehmens- und standortbezogene Daten verwalten kann. Der Auftragnehmer verarbeitet personenbezogene Daten hierbei ausschließlich im Auftrag und nach Weisung des Auftraggebers.

Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) des Auftragnehmers für die CasinoAgent-Plattform und tritt mit Beginn der Nutzung der Plattform durch den Auftraggeber in Kraft.

Wichtiger Hinweis für Betreiber (Auftraggeber)

Datenschutzrechtliche Verantwortung:

Nutzen Sie die CasinoAgent-Plattform zur Verwaltung von Mitarbeiterdaten (digitale Personalakte, Arbeitsverträge, Dienstanweisungen, Schulungsverwaltung, Dienstplanung und Abwesenheitsverwaltung, Ankunfts- und Abfahrtsprotokollierung mittels Geofencing usw.), sind Sie für diese personenbezogenen Daten datenschutzrechtlich Verantwortlicher (Controller) im Sinne der DSGVO. Wir, die Mifal UG, stellen Ihnen die technische Infrastruktur zur Verfügung und verarbeiten diese Daten ausschließlich als Auftragsverarbeiter (Processor) in Ihrem Auftrag.

Dies bedeutet insbesondere:

  • Sie stellen die Rechtmäßigkeit der Verarbeitung sicher (Art. 6 DSGVO, ggf. i.V.m. § 26 BDSG).
  • Sie informieren Ihre Mitarbeiter in einer eigenen Datenschutzerklärung über die Datenverarbeitung.
  • Sie holen erforderliche Einwilligungen ein, insbesondere für die Geofencing-Funktion (Art. 6 Abs. 1 lit. a DSGVO, § 26 Abs. 2 BDSG).
  • Sie führen ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
  • Sie gewährleisten die Betroffenenrechte Ihrer Mitarbeiter (Art. 12–22 DSGVO).
  • Sie prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist.
  • Sofern ein Betriebsrat besteht, beachten Sie dessen Mitbestimmungsrechte, insbesondere nach § 87 Abs. 1 Nr. 2 BetrVG bei der Aufstellung von Dienstplänen sowie nach § 87 Abs. 1 Nr. 6 BetrVG bei technischen Einrichtungen wie der Geofencing-Funktion und dem Planungs-Änderungsprotokoll.

Nutzen Sie das Dienstplan-Modul mit Abwesenheitsverwaltung, verarbeiten Sie mit Krankmeldungen Gesundheitsdaten Ihrer Mitarbeiter (Art. 9 DSGVO). Sie stellen sicher, dass hierfür eine Rechtsgrundlage besteht, regelmäßig Art. 9 Abs. 2 lit. b DSGVO in Verbindung mit § 26 Abs. 3 BDSG, und treffen die angemessenen und spezifischen Schutzmaßnahmen nach § 22 Abs. 2 BDSG.

§ 1 Gegenstand, Dauer und Art der Datenverarbeitung

(1) Gegenstand

Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der CasinoAgent-Plattform. Die Plattform ist ein Management-Tool für Betreiber von Spielhallen und Casinos in Deutschland und unterstützt insbesondere bei:

  • Verwaltung von Unternehmensdaten (Spielhallenbetriebe),
  • Verwaltung von Standortdaten (einzelne Spielhallen),
  • Verwaltung von Mitarbeiterdaten (digitale Personalakte),
  • Kassenführung (Kassenabrechnungen),
  • Schulungsverwaltung (Schulungsnachweise),
  • Verwaltung von Arbeitsverträgen, Dienstanweisungen und Kündigungsschreiben,
  • Ankunfts- und Abfahrtsprotokollierung (Fahrterfassung) mittels Geofencing,
  • Dienstplanung, Abwesenheitsverwaltung und Zuschlagsauswertung,
  • Aufgabenverwaltung und Verwaltung standortbezogener Dokumente.

(2) Dauer

Die Laufzeit dieses Vertrages entspricht der Laufzeit des zugrundeliegenden Nutzungsverhältnisses (Hauptvertrag) über die CasinoAgent-Plattform zwischen den Parteien. Der AVV beginnt mit der ersten Nutzung der Plattform durch den Auftraggeber und endet automatisch mit Beendigung des Nutzungsverhältnisses (z.B. Kündigung des Abonnements oder Löschung des Accounts).

(3) Art der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragnehmer umfasst insbesondere:

  • Speicherung von Daten in verschlüsselten Datenbanken,
  • Bereitstellung und Verwaltung von Authentifizierungs- und Autorisierungsfunktionen,
  • Echtzeit-Synchronisation von Daten zwischen berechtigten Nutzern und Geräten,
  • Versand von Push-Benachrichtigungen an Plattform-Nutzer,
  • Versand von transaktionalen E-Mails (z.B. Einladungen, Passwort-Reset, E-Mail-Verifizierung),
  • Durchführung von Fernwartungssitzungen am Desktop-Client auf ausdrückliche Anforderung des Auftraggebers
  • Bereitstellung von Backup- und Exportfunktionen,
  • Fehleranalyse, Crash-Reporting und Performance-Monitoring,
  • technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Daten.

(4) Verarbeitung auf Systemen Dritter

Der Auftragnehmer nutzt zur Erfüllung seiner Leistungen verschiedene Sub-Auftragsverarbeiter (z.B. Supabase, Vercel, Google Firebase, Sentry, Resend, Apple APNs, Expo/EAS, GitHub, Microsoft, Purslane/RustDesk), die ihrerseits Infrastruktur und Dienste bereitstellen (z.B. Datenbanken, Hosting, Push-Dienste, Crash-Reporting, E-Mail-Versand). Die Einzelheiten ergeben sich aus § 6 dieses Vertrages.

§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen

(1) Kategorien betroffener Personen

  • Plattform-Nutzer: Administratoren und Mitarbeiter des Auftraggebers, die ein Benutzerkonto haben und die Plattform aktiv nutzen.
  • Standort-Mitarbeiter: Mitarbeiter des Auftraggebers, deren Daten in der Plattform verwaltet werden, ohne dass diese selbst einen Plattform-Zugang haben (digitale Personalakte).
  • Externe Kontakte: Personen, die vom Auftraggeber per E-Mail zur Plattform-Nutzung eingeladen werden (z.B. neue Mitarbeiter).

(2) Kategorien personenbezogener Daten

KategorieDatenarten
Bestands- und AccountdatenE-Mail-Adresse, Benutzername, Passwort (gehasht), Rollen- und Berechtigungsinformationen, Aktivierungsdaten, Anmeldezeitpunkte
UnternehmensdatenFirmenname, Anschrift, Telefonnummer, Steuer-ID, USt-ID
StandortdatenStandortname, Adresse, hinterlegte GPS-Koordinaten des Standorts, Geofence-Radius, Anzahl der Geräte/Wechsler, Bundesland
Mitarbeiterdaten (Beschäftigtendaten)Vorname, Nachname, E-Mail, Telefonnummer, Anschrift, Geburtsdatum, Geburtsort, Geschlecht, Position/Tätigkeit, Einstellungsdatum, zugeordnete Bundesländer, Aktivstatus, Bankverbindung (IBAN), Art der Beschäftigung (z.B. Vollzeit, Teilzeit, geringfügige Beschäftigung)
FinanzdatenKassenabrechnungen, Abrechnungsbeträge, Kontrolldifferenzen, Notizen, Zeitstempel, Standort-/Unternehmens-IDs, Ersteller-ID, Änderungshistorie
SchulungsdatenSchulungstyp, Abschluss- und Ablaufdatum, Mitarbeiter-ID, Standort-ID, Schulungszertifikate (z.B. PDF/Bilder), Notizen
Vertrags- und DokumentendatenArbeitsverträge, Dienstanweisungen, Kündigungsschreiben, Vertragsnachträge, Signaturdaten (z.B. Finger-Signatur), Audit-Trail-Daten (SHA-256 Hash, Server-Zeitstempel, Zeugenangaben, Geräteinformationen)
Geofencing-/Fahrtdaten (Ankunfts- und Abfahrtsprotokollierung)Nutzer-ID, Standort-ID, Unternehmens-ID, Zeitstempel, Ereignistyp (Ankunft/Abfahrt); es werden keine GPS-Koordinaten der Nutzer gespeichert
KommunikationsdatenPush-Token, Benachrichtigungsinhalte (systembezogen), E-Mail-Adressen und technische Metadaten für Einladungen, Passwort-Reset, Verifizierungs-E-Mails
Technische DatenCrash-Logs, Geräteinformationen (z.B. Modell, Betriebssystemversion), Plattform-Version, Performance-Daten (stichprobenartig), lokal gespeicherte Fehlerprotokolle (mit anonymisierten/maskierten Identifikatoren)
Biometrische DatenBiometrische Referenzdaten werden ausschließlich lokal im plattformspezifischen sicheren Speicher des Endgeräts abgelegt (iOS Keychain bzw. Android Keystore) und nicht an den Auftragnehmer oder dessen Server übermittelt.
Dienstplan- und SchichtdatenZuordnung von Mitarbeitern zu Schichten (Datum, Zeiten, Pausen), Soll- und Ist-Stunden, Schichtwünsche.
Abwesenheitsdaten einschließlich KrankmeldungenArt der Abwesenheit (Urlaub, Krankheit, Wunschfrei, Sonstiges), Zeitraum, Status, optionale client-seitig verschlüsselte Notiz. Die Abwesenheitsart Krankheit ist ein Gesundheitsdatum im Sinne des Art. 9 DSGVO.
Planungs-ÄnderungsprotokollAngaben dazu, wer wann welche Planungsänderung vorgenommen hat, bei Kiosk-Nutzung der selbst gewählte Name, unveränderbar gespeichert

(3) Besondere Kategorien personenbezogener Daten

Die Plattform ist mit Ausnahme des Dienstplan-Moduls nicht auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO ausgerichtet. Nutzt der Auftraggeber das Dienstplan-Modul mit Abwesenheitsverwaltung, verarbeitet der Auftragnehmer in dessen Auftrag auch Gesundheitsdaten, nämlich die Angabe der Abwesenheitsart „Krankheit“ nebst Zeitraum und optionaler Notiz. Für diese Daten gelten die besonderen Schutzmaßnahmen nach Ziffer 8 der Anlage 1. Der Auftraggeber stellt sicher, dass für die Verarbeitung dieser Gesundheitsdaten eine geeignete Rechtsgrundlage besteht, regelmäßig Art. 9 Abs. 2 lit. b DSGVO in Verbindung mit § 26 Abs. 3 BDSG, und trifft die angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Personen nach § 22 Abs. 2 BDSG.

Soweit biometrische Verfahren zur Authentifizierung verwendet werden (z.B. Face ID / Touch ID auf iOS oder biometrische Entsperrung auf Android), erfolgt die Verarbeitung der biometrischen Referenzdaten ausschließlich durch das Betriebssystem lokal auf dem Endgerät im plattformspezifischen sicheren Speicher (iOS Keychain / Android Keystore); eine Übermittlung an den Auftragnehmer findet nicht statt.

Das Feld „Geschlecht“ in der Mitarbeiterverwaltung dient ausschließlich administrativen Zwecken (z.B. für korrekte Anrede) und wird nicht zu Zwecken verarbeitet, die unter Art. 9 DSGVO fallen.

§ 3 Zweck der Datenverarbeitung

(1) Zwecke

Die Verarbeitung personenbezogener Daten erfolgt durch den Auftragnehmer ausschließlich zu folgenden Zwecken:

  • technische Bereitstellung und Betrieb der CasinoAgent-Plattform und ihrer Funktionen,
  • Authentifizierung und Autorisierung von Nutzern,
  • Echtzeit-Synchronisation und Bereitstellung von Daten innerhalb der Organisation des Auftraggebers,
  • Versand von Push-Benachrichtigungen und transaktionalen E-Mails auf Veranlassung des Auftraggebers,
  • Ermöglichung von Backup, Export und Wiederherstellung von Daten,
  • Fehleranalyse, Crash-Reporting und Performance-Optimierung zur Sicherstellung eines sicheren und stabilen Betriebs,
  • Umsetzung und Aufrechterhaltung von technischen und organisatorischen Sicherheitsmaßnahmen (Art. 32 DSGVO).

(2) Zweckbindung und Verbot der Verarbeitung zu eigenen Zwecken

Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich zu den in Absatz 1 genannten Zwecken und im Rahmen der dokumentierten Weisungen des Auftraggebers. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers, insbesondere zu Marketingzwecken, Profiling oder zur Datenweitergabe an Dritte außerhalb der in § 6 genannten Sub-Auftragsverarbeiter, ist unzulässig.

Der Auftragnehmer ist berechtigt, anonymisierte und aggregierte Nutzungsstatistiken (z.B. Anzahl aktiver Nutzer, durchschnittliche Antwortzeiten der Server), bei denen ein Personenbezug nicht mehr herstellbar ist, zur Verbesserung und Weiterentwicklung der Plattform zu verwenden.

§ 4 Verantwortlichkeit und Weisungsbefugnis des Auftraggebers

(1) Verantwortlichkeit

Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Vorschriften, insbesondere für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten und der Datenweitergabe an den Auftragnehmer, allein verantwortlich (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO).

(2) Weisungsrecht

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. Die anfänglichen Weisungen ergeben sich aus diesem Vertrag, den AGB und der Funktionsbeschreibung in der Datenschutzerklärung für die CasinoAgent-Plattform. Darüber hinausgehende Weisungen kann der Auftraggeber in Textform (z.B. per E-Mail) erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Rechtmäßigkeit der Verarbeitung

Der Auftraggeber stellt sicher, dass für sämtliche Verarbeitungen, die er mit Hilfe der Plattform vornimmt, eine geeignete Rechtsgrundlage besteht (z.B. Art. 6 Abs. 1 DSGVO, § 26 BDSG). Dies umfasst insbesondere:

  • Information der betroffenen Personen (z.B. Mitarbeiter) gemäß Art. 13, 14 DSGVO,
  • Einholung erforderlicher Einwilligungen (insbesondere für die Geofencing-Funktion nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 26 Abs. 2 BDSG),
  • Einhaltung der Grundsätze der Datenminimierung, Zweckbindung und Speicherbegrenzung,
  • Gewährleistung der Betroffenenrechte (Art. 12–22 DSGVO).

(4) Datenschutz-Folgenabschätzung und Beteiligung des Betriebsrats

Der Auftraggeber prüft eigenverantwortlich, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist, insbesondere im Hinblick auf die Geofencing-Funktion (Ankunfts- und Abfahrtsprotokollierung) und das Dienstplan-Modul im Beschäftigungsverhältnis. Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage mit technischen Informationen für eine etwaige DSFA.

Besteht im Unternehmen des Auftraggebers ein Betriebsrat, trägt der Auftraggeber Sorge für die erforderliche Beteiligung und Mitbestimmung insbesondere gemäß § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung und Anwendung der Geofencing- und anderen Überwachungsfunktionen der Plattform.

§ 5 Pflichten des Auftragnehmers

(1) Verarbeitung ausschließlich auf Weisung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht nach dem Recht der Union oder der Mitgliedstaaten zu einer darüber hinausgehenden Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, soweit das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses untersagt.

(2) Vertraulichkeit

Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Technische und organisatorische Maßnahmen

Der Auftragnehmer verpflichtet sich, die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOM) umzusetzen und aufrechtzuerhalten. Der Auftraggeber hat diese Maßnahmen zur Kenntnis genommen und erkennt sie als dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DSGVO an.

Der Auftragnehmer ist berechtigt, die TOM weiterzuentwickeln und anzupassen, soweit das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen teilt der Auftragnehmer dem Auftraggeber mit.

(4) Unterstützung bei Betroffenenrechten

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragnehmer den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten im Hinblick auf Betroffenenrechte gemäß Kapitel III der DSGVO. Hierzu zählen insbesondere:

  • Bereitstellung von Export- und Backup-Funktionen (z.B. ZIP-Archiv mit JSON/CSV/PDF) zur Unterstützung bei Auskunft und Datenübertragbarkeit,
  • Funktionen zur Berichtigung und Löschung von Daten im Administrationsbereich,
  • Möglichkeiten zur Kontolöschung und damit verbundener Löschung der zugehörigen Daten,
  • Funktionen zum Widerruf der Einwilligung in Geofencing sowie Opt-out-Möglichkeiten pro Standort.

Wenden sich betroffene Personen unmittelbar an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter.

(5) Unterstützung bei Datenschutz-Folgenabschätzung und Meldungen

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei:

  • der Durchführung von Datenschutz-Folgenabschätzungen,
  • gegebenenfalls erforderlichen Konsultationen der Aufsichtsbehörde.

(6) Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, nachdem ihm eine solche Verletzung bekannt geworden ist. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit diese dem Auftragnehmer zu diesem Zeitpunkt vorliegen.

(7) Löschung und Rückgabe von Daten

Nach Beendigung der vertraglichen Leistungen und auf Weisung des Auftraggebers löscht oder gibt der Auftragnehmer alle personenbezogenen Daten zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht entgegensteht. Die Einzelheiten der Löschfristen ergeben sich ergänzend aus der Datenschutzerklärung des Auftragnehmers.

Der Auftraggeber kann vor der Löschung über die in der Plattform bereitgestellte Backup- und Exportfunktion ein vollständiges Daten-Backup erstellen. Nach Löschung des Accounts werden die zugehörigen Daten des Auftraggebers gemäß den implementierten Löschkonzepten entfernt oder in ihrer Verarbeitung eingeschränkt. Daten in turnusmäßigen Sicherungen werden nach Ablauf der jeweiligen Aufbewahrungsfristen automatisch überschrieben.

(8) Nachweispflichten

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung und ermöglicht Auditierungen, einschließlich Inspektionen, durch den Auftraggeber oder einen von diesem beauftragten Prüfer, im Rahmen von § 7 dieses Vertrages.

§ 6 Subunternehmer (weitere Auftragsverarbeiter)

(1) Generelle Zustimmung

Der Auftraggeber erteilt dem Auftragnehmer hiermit die generelle Genehmigung zur Beauftragung von Subunternehmern (Sub-Auftragsverarbeitern) im Sinne von Art. 28 Abs. 2 DSGVO. Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen bezüglich der Hinzuziehung oder Ersetzung von Subunternehmern informieren.

(2) Aktuell eingesetzte Sub-Auftragsverarbeiter

Sub-AuftragsverarbeiterLeistungStandort / DatenverarbeitungTransfergrundlage / Datenschutzstatus
Supabase (Supabase Inc.) supabase.comBackend-Datenbank (PostgreSQL), Authentifizierung, Dateispeicher, Echtzeit-Synchronisation, Serverless FunctionsServerstandorte in der EU (AWS Frankfurt, Deutschland); Supabase Inc. ist ein US-amerikanisches UnternehmenDatentransfers auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO; Supabase ist nicht DPF-zertifiziert; DPA verfügbar; SOC 2 Type 2
Vercel Inc. vercel.comHosting des Web-Dashboards der Plattform; Auslieferung über EU-basierte Edge-KnotenUSA (Auslieferung über EU-Edge)EU-U.S. Data Privacy Framework (DPF-zertifiziert); DPA verfügbar
Google LLC (Firebase Cloud Messaging) firebase.google.comTechnische Zustellung von Push-Benachrichtigungen an Android-GeräteUSAEU-U.S. Data Privacy Framework (DPF-zertifiziert); DPA verfügbar
Apple Inc. apple.comApple Push Notification Service (APNs) für Zustellung von Push-Benachrichtigungen an iOS-GeräteUSADatenverarbeitung auf Grundlage der Apple-Datenschutzbestimmungen
Sentry (Functional Software Inc.) sentry.ioCrash-Reporting und Performance-MonitoringUSAEU-U.S. Data Privacy Framework (DPF-zertifiziert); DPA verfügbar
Resend (Resend Inc.) resend.comTransaktionaler E-Mail-Versand (z.B. Einladungen, Passwort-Reset)USAEU-U.S. Data Privacy Framework (DPF-zertifiziert); DPA verfügbar
Expo / EASPush-Build & Delivery-InfrastrukturUSAEU-U.S. Data Privacy Framework (DPF-zertifiziert); DPA verfügbar
GitHubDistribution Desktop-InstallerUSAEU-U.S. Data Privacy Framework (DPF-zertifiziert); DPA verfügbar
MicrosoftWebView2-Runtime Desktop-ClientUSAEU-U.S. Data Privacy Framework (DPF-zertifiziert); DPA verfügbar
Purslane Ltd. / RustDeskFernwartung des Desktop-Clients, ausschließlich bei aktiv eingeleiteter SitzungÖffentliche Relay-Server, auch außerhalb der EU/des EWR, einschließlich USAEinwilligung der betroffenen Person gemäß Art. 49 Abs. 1 lit. a DSGVO, je Sitzung eingeholt und dokumentiert

(3) Drittlandübermittlungen

Soweit in diesem Zusammenhang personenbezogene Daten in ein Drittland außerhalb der EU/des EWR übermittelt werden (insbesondere USA), stellt der Auftragnehmer sicher, dass geeignete Garantien im Sinne der Art. 44 ff., 46 DSGVO bestehen. Bei DPF-zertifizierten Dienstleistern erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DSGVO; bei Supabase auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.

(4) Pflichten bei Subbeauftragung

Der Auftragnehmer verpflichtet die Sub-Auftragsverarbeiter durch schriftliche Verträge entsprechend den Anforderungen des Art. 28 DSGVO. Die Sub-Auftragsverarbeiter müssen insbesondere ein mit diesem Vertrag vergleichbares Datenschutzniveau gewährleisten.

(5) Informations- und Widerspruchsrecht

Der Auftragnehmer informiert den Auftraggeber rechtzeitig über Änderungen bei den eingesetzten Sub-Auftragsverarbeitern. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund der Beauftragung eines bestimmten Sub-Auftragsverarbeiters widersprechen. In diesem Fall werden die Parteien eine einvernehmliche Lösung suchen; ist eine solche nicht möglich, steht beiden Parteien ein Sonderkündigungsrecht zu.

§ 7 Kontrollrechte des Auftraggebers

(1) Kontroll- und Auditrecht

Der Auftraggeber ist berechtigt, die Einhaltung der in diesem Vertrag und in Art. 28 DSGVO festgelegten Pflichten beim Auftragnehmer zu überprüfen. Der Nachweis kann insbesondere durch die Vorlage geeigneter Zertifizierungen, Auditberichte oder anderer geeigneter Nachweise über die Umsetzung der TOM erfolgen.

(2) Vor-Ort-Inspektionen

Vor-Ort-Inspektionen beim Auftragnehmer erfolgen nach vorheriger Ankündigung innerhalb einer angemessenen Frist und während der üblichen Geschäftszeiten, ohne den Betriebsablauf unverhältnismäßig zu stören. Voraussetzung ist die Unterzeichnung einer Vertraulichkeitsvereinbarung. Häufigkeit und Umfang der Inspektionen richten sich nach dem Erforderlichkeitsgrundsatz; weitergehende Inspektionen können bei konkreten Anhaltspunkten für Datenschutzverletzungen zulässig sein.

(3) Kosten

Routinekontrollen in angemessenem Umfang erfolgen grundsätzlich kostenfrei. Zusätzliche Audits und Inspektionen können dem Auftraggeber in Rechnung gestellt werden, sofern kein Verstoß des Auftragnehmers gegen datenschutzrechtliche Pflichten festgestellt wird.

§ 8 Haftung

Die Haftung der Parteien gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO. Im Innenverhältnis zwischen Auftraggeber und Auftragnehmer gelten die Haftungsregelungen des Hauptvertrages entsprechend. Der Auftragnehmer haftet für die Einhaltung der Pflichten seiner Sub-Auftragsverarbeiter wie für eigenes Verhalten.

Der Auftragnehmer haftet nicht für Schäden, die auf einer vom Auftraggeber erteilten rechtswidrigen Weisung oder auf einer sonstigen Verletzung datenschutzrechtlicher Pflichten durch den Auftraggeber beruhen.

§ 9 Beendigung des Auftrags

(1) Vertragsende

Dieser Vertrag endet automatisch mit Beendigung des Hauptvertrages (Nutzungsverhältnis CasinoAgent-Plattform).

(2) Löschung und Rückgabe von Daten

Nach Beendigung des Vertrages verfährt der Auftragnehmer mit den personenbezogenen Daten entsprechend § 5 Abs. 7. Der Auftraggeber hat die Möglichkeit, vor Vertragsende über die Backup-/Export-Funktion ein vollständiges Daten-Backup zu erstellen.

§ 10 Schlussbestimmungen

(1) Vertraulichkeit

Die Parteien behandeln alle im Rahmen dieses Vertrages erlangten Informationen vertraulich. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Vertrages fort.

(2) Schriftform

Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (z.B. E-Mail), soweit nicht eine strengere Form vorgeschrieben ist. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame oder undurchführbare Bestimmung durch eine solche wirksame Regelung ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

(4) Anwendbares Recht

Es gilt deutsches Recht.

(5) Rangfolge

Bei Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und den AGB für die Nutzung der CasinoAgent-Plattform gehen die Regelungen dieses Auftragsverarbeitungsvertrages vor.

_________________

Ort, Datum

________________________________________ Auftraggeber

________________________________________ Auftragnehmer (Mifal UG (haftungsbeschränkt))

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

gemäß Art. 32 DSGVO

1. Verschlüsselung

  • Verschlüsselung bei der Übertragung: Sämtliche Kommunikation zwischen der Plattform und dem Backend erfolgt über verschlüsselte Verbindungen (TLS 1.2 oder höher). In den nativen mobilen und Desktop-Clients wird durch SSL Certificate Pinning das Risiko von Man-in-the-Middle-Angriffen verringert.
  • Verschlüsselung bei der Speicherung (Server): Auf den genutzten Servern (Supabase/AWS) werden Daten mit starken Verschlüsselungsverfahren (insbesondere AES-256) gespeichert.
  • Client-seitige Verschlüsselung: Sensible Inhalte (z.B. Dokumente zu Mitarbeitern, Schulungszertifikate, Verträge, Standortdokumente) werden bereits vor dem Upload aus der Plattform heraus mit anerkannten Verfahren (z.B. AES-GCM) verschlüsselt.
  • Passwortschutz: Passwörter werden niemals im Klartext gespeichert, sondern mit sicheren Hash-Verfahren verarbeitet.

2. Zugriffskontrolle

  • Authentifizierung: Zugriff auf die Plattform erfolgt über eine E-Mail/Passwort-Authentifizierung; optional kann in den nativen Clients eine biometrische Authentifizierung genutzt werden (z.B. Face ID / Touch ID auf iOS oder biometrische Entsperrung auf Android).
  • Autorisierung: Ein fein abgestuftes Berechtigungsmodell mit granularen Rechten steuert den Zugriff auf Funktionen und Daten.
  • Row Level Security (RLS): Auf Datenbankebene wird durch RLS sichergestellt, dass Daten verschiedener Organisationen streng voneinander getrennt sind.
  • Automatische Sperre und Archiv-Schutz: Nach kurzer Inaktivität sperren sich die nativen Clients automatisch und können nur nach erneuter Authentifizierung genutzt werden; der Zugriff auf bestimmte Bereiche (z.B. Archiv der Kassenabrechnungen) kann zusätzlich biometrisch geschützt werden.

3. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

  • Privacy Mode: Im Kassierungsbereich standardmäßig aktivierter Modus, der Screenshots und Bildschirmaufnahmen sensibler Inhalte verhindert bzw. erschwert und sensible Beträge ausblendet. Eine Anpassung durch den Administrator ist möglich (Privacy by Default).
  • Lokale Speicherung sensibler Daten: Bestimmte sensible Informationen, insbesondere biometrische Referenzdaten, verbleiben ausschließlich im plattformspezifischen sicheren Speicher des Endgeräts (iOS Keychain bzw. Android Keystore) und werden nicht an den Auftragnehmer übermittelt.
  • Geofencing ohne Speicherung von GPS-Koordinaten: Im Rahmen des Geofencings werden nur Ereignisdaten (Ankunft/Abfahrt mit Zeitstempel und Standort-ID) verarbeitet; GPS-Koordinaten der Nutzer werden nicht gespeichert.
  • Automatische Löschmechanismen: Implementierte Routinen sorgen z.B. für die automatische Löschung nicht genutzter Einladungen (nach 48 Stunden), Passwort-Reset-Codes (nach 1 Stunde), Kassenbuch-Entwürfe (nach 24 Stunden), Geofencing-Ereignisdaten (nach konfigurierbarer Dauer, standardmäßig 12 Monate).
  • Anonymisierung technischer Protokolle: In lokalen Fehlerprotokollen werden personenbezogene Identifikatoren, soweit möglich, anonymisiert oder maskiert.

4. Verfügbarkeit und Belastbarkeit

  • Backups: Regelmäßige Datensicherungen durch die eingesetzte Infrastruktur (z.B. Supabase/AWS); zusätzlich Möglichkeit für den Auftraggeber, eigene Backups über die Plattform anzustoßen.
  • Systemüberwachung: Überwachung der Systemverfügbarkeit und Performance, Nutzung von Crash-Reporting- und Monitoring-Tools (z.B. Sentry) mit zeitlich begrenzter Aufbewahrung der Crash-Daten.
  • Notfallmanagement: Prozesse zur Reaktion auf technische Störungen und Sicherheitsvorfälle (Incident Response) sind implementiert.

5. Integrität und Nachvollziehbarkeit

  • Audit Trails und Protokollierung: Für bestimmte Funktionen (z.B. elektronische Signaturen bei Dienstanweisungen und Arbeitsverträgen) werden Audit-Trails mit Dokument-Hash, Zeitstempeln und Geräteinformationen geführt.
  • Protokollierung von Änderungen: Änderungen an Kassenabrechnungen und weiteren kritischen Daten werden mit Zeitstempel und Nutzerreferenz erfasst.
  • Consent-Log: Die Einwilligung in die Geofencing-Funktion sowie deren Widerruf werden als Audit-Trail dokumentiert.

6. Organisatorische Maßnahmen

  • Vertraulichkeit: Mitarbeiter des Auftragnehmers sind auf Vertraulichkeit verpflichtet.
  • Schulung: Regelmäßige Sensibilisierung der Mitarbeiter im Hinblick auf Datenschutz und Informationssicherheit.
  • Zugriffsmanagement: Beschränkung des Zugriffs auf Produktionssysteme nach dem Need-to-know- und Least-Privilege-Prinzip.
  • Auftragsverarbeitung: Abschluss von Datenverarbeitungsverträgen mit allen Sub-Auftragsverarbeitern, die für den Auftragnehmer tätig werden.

7. Besondere Schutzmaßnahmen für Geofencing

  • Einwilligungsmanagement: Vollbild-Einwilligungsdialog beim ersten Start der Geofencing-Funktion mit umfassenden Informationen zu Zweck, Umfang, Freiwilligkeit und Widerrufsmöglichkeiten der Verarbeitung.
  • Freiwilligkeit: Klarer Hinweis, dass die Verweigerung oder der Widerruf der Einwilligung keine negativen Auswirkungen auf das Beschäftigungsverhältnis haben darf.
  • Transparente Benachrichtigung: Hinweis darauf, dass bei aktivem Geofencing Administratoren über Ankunft und Abfahrt informiert werden können.
  • Datenminimierung und Speicherbegrenzung: Erfassung ausschließlich von Ereignisdaten (Ankunft/Abfahrt) mit konfigurierbarer Speicherdauer und anschließender automatischer Löschung.
  • Technische Schutzmechanismen: Serverseitige Cooldown-Mechanismen und weitere Maßnahmen, um eine übermäßige Überwachung zu verhindern.
  • Android-Hinweis: Auf Android-Geräten wird die Geofencing-Funktion über die Standort-APIs von Google Play Services ausgeführt. Die Auslösung der Geofence-Ereignisse erfolgt lokal auf dem Gerät; GPS-Koordinaten werden weder vom Auftragnehmer noch im Rahmen dieser Funktion dauerhaft gespeichert.

8. Besondere Schutzmaßnahmen für das Dienstplan-Modul (einschließlich Gesundheitsdaten)

  • Verschlüsselung von Notizen Freitext-Notizen zu Abwesenheitsanträgen werden bereits client-seitig verschlüsselt.
  • Zugriffsbeschränkung Die Abwesenheitsart liegt strukturiert vor und unterliegt mandantengetrennten Zugriffsregeln auf Datenbankebene (Row Level Security). Krankmeldungen sind ausschließlich für berechtigte Verwaltungsnutzer sichtbar.
  • Kiosk-Anzeige Der Standort-Kiosk zeigt zu anderen Personen niemals Abwesenheitsgründe an, sondern ausschließlich den neutralen Status „Abwesend“. Löhne und Zuschlagssätze sind am Kiosk nicht abrufbar.
  • Nachvollziehbarkeit Sämtliche Planungsvorgänge werden in einem unveränderbaren Änderungsprotokoll dokumentiert. Aktionen am Kiosk werden erst mit Genehmigung durch einen Berechtigten wirksam.
  • Löschkonzept Dienstplan- und Abwesenheitsdaten sind in das bestehende Löschkonzept mit konfigurierbaren Fristen integriert.

9. Besondere Schutzmaßnahmen für Fernwartungssitzungen

  • Aktive Einleitung Fernwartungssitzungen finden ausschließlich statt, wenn der Nutzer sie aktiv anfordert und einleitet.
  • Einwilligung Vor Beginn der Sitzung wird ein Einwilligungsdialog angezeigt, der über Zweck, Umfang, Drittlandübermittlung und Widerrufsmöglichkeit informiert. Die Sitzung kann jederzeit beendet werden.
  • Protokollierung Beginn, Ende und Beteiligte jeder Sitzung werden protokolliert und zwölf Monate aufbewahrt. Sitzungsinhalte werden nicht aufgezeichnet.