HaloKontakt

Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Stand: 28.04.2026

Hinweis: Dies ist ein Mustervertrag nach Art. 28 DSGVO, der zwischen Auftraggeber (Kunde) und Auftragnehmer ([ANBIETER], „Halo") geschlossen wird. Bitte über den Browser-Druck („Datei → Drucken → Als PDF speichern") als PDF exportieren, ausfüllen, beidseitig unterschreiben und an datenschutz@tryhalo.de senden.

Präambel

Dieser Vertrag konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der zwischen ihnen bestehenden Hauptvereinbarung über die Nutzung von Halo (nachfolgend „Hauptvertrag") ergeben. Er findet Anwendung auf alle Tätigkeiten, bei denen Beschäftigte des Auftragnehmers oder durch ihn beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen.

§ 1 Gegenstand und Dauer

(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der Software-as-a-Service-Lösung Halo zum Mitarbeiter-Vorschlagswesen sowie damit verbundene Hosting- und Support-Leistungen.

(2) Der Auftrag läuft, solange der Hauptvertrag besteht.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erheben, Speichern, Verändern, Auslesen, Übermitteln innerhalb des Systems, Sperren und Löschen.

(2) Zweck: Bereitstellung des digitalen Vorschlagswesens, einschließlich Erfassung von Verbesserungsvorschlägen, Bewertung durch Admins, Auswertung in Sprints und Bestenlisten.

§ 3 Art der personenbezogenen Daten

  • Name, Personalnummer und ggf. E-Mail-Adresse einreichender Mitarbeitender
  • Inhalt der eingereichten Vorschläge und zugehöriger Kommentare
  • Status- und Punkte-Daten je Vorschlag
  • Stammdaten der Workspace-Admins (Name, E-Mail, Rolle)

§ 4 Kategorien betroffener Personen

  • Beschäftigte des Auftraggebers
  • Vom Auftraggeber benannte Admins

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Auftraggebers.

(2) Der Auftragnehmer setzt für die Datenverarbeitung ausschließlich zur Vertraulichkeit verpflichtete Beschäftigte ein.

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung der Rechte betroffener Personen (Art. 12–22 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO.

(4) Bei Verletzungen des Schutzes personenbezogener Daten unterrichtet der Auftragnehmer den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer trifft folgende technisch-organisatorische Maßnahmen gemäß Art. 32 DSGVO:

  • Vertraulichkeit: Hosting in Deutschland (Hetzner Falkenstein/Nürnberg), Zutrittskontrolle Rechenzentrum durch Hetzner, Zugangskontrolle per Single-Sign-On + bcrypt-Passwort-Hashes (Cost-Faktor ≥ 10), Mandantentrennung über Workspaces (Subdomain-basiert, alle Datenbank-Queries auf workspaceId gescoped).
  • Integrität:TLS 1.2/1.3 mit Let’s Encrypt für alle Verbindungen, HTTP-Strict-Transport-Security, Eingabevalidierung, CSRF-Schutz durch NextAuth.
  • Verfügbarkeit: Tägliche pg_dump-Backups (30 Tage Aufbewahrung), Container mit restart=unless-stopped, automatische Deployments via GitHub Actions.
  • Belastbarkeit: Reverse Proxy (Caddy) mit Rate Limiting, Prozess-Isolation via Docker.
  • Verfahren zur Wiederherstellung: Restore-Anleitung in der internen Dokumentation, Backups testweise wiederherstellbar.
  • Verfahren zur Überprüfung: Code-Reviews vor Deployment, Logging der Adminzugriffe.

§ 7 Subunternehmer

(1) Der Auftraggeber stimmt dem Einsatz folgender Subunternehmer zu:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen — Hosting (Server in Deutschland)
  • Brevo (Sendinblue SAS) — transaktionale E-Mails (Server in der EU)
  • Cloudinary Ltd. — optional, Bild-Upload für Vorschläge (Server in der EU)

(2) Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mit einer Frist von 30 Tagen vorab informieren. Der Auftraggeber kann der Änderung aus wichtigem Grund widersprechen.

§ 8 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO. Er ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

(2) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und die vertraglichen Vereinbarungen beim Auftragnehmer zu überprüfen, soweit erforderlich. Vor-Ort-Prüfungen sind mit angemessener Vorankündigung möglich.

§ 9 Löschung von Daten

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle überlassenen Daten und vorhandenen Kopien spätestens innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Wunsch des Auftraggebers wird vorher ein vollständiger Datenexport bereitgestellt.

§ 10 Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und Regelungen des Hauptvertrags gehen die Regelungen dieses AVV vor. Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.

Unterschriften

Auftraggeber (Kunde)
Firma: ____________________________
Name: ____________________________
Ort, Datum: ____________________________
Unterschrift: ____________________________

Auftragnehmer (Halo)
[ANBIETER]
Name: ____________________________
Ort, Datum: ____________________________
Unterschrift: ____________________________