Zurück
DriveUb

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO · Stand: Juli 2026

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Plattform DriveUb. Er wird zwischen

dem Kunden, der die Plattform nutzt (nachfolgend „Verantwortlicher"), und

Zenbai GmbH, Heideweg 10, 51469 Bergisch Gladbach, vertreten durch den Geschäftsführer Sebastian Singh (nachfolgend „Auftragsverarbeiter"),

geschlossen. Er wird durch die elektronische Annahme des Verantwortlichen innerhalb der Plattform wirksam; die Annahme wird mit Zeitpunkt und annehmender Person zu Nachweiszwecken protokolliert.

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zum Zweck der Bereitstellung der Plattform DriveUb (Flotten-, Schicht- und Zeitmanagement sowie GPS-gestütztes Live-Tracking). Die Dauer entspricht der Laufzeit des zugrunde liegenden Hauptvertrags (Nutzungsvertrag/AGB).

2. Art, Umfang und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen und nach dokumentierter Weisung des Verantwortlichen. Eine Verarbeitung zu eigenen Zwecken findet nicht statt.

3. Kategorien betroffener Personen und Datenarten

  • Betroffene Personen: Fahrer und Mitarbeiter des Verantwortlichen, Nutzer der Dashboard-Zugänge.
  • Datenarten: Stammdaten (Name, Kontakt), Beschäftigungs- und Schichtdaten, Arbeitszeitdaten, Standort-/GPS-Daten während der Arbeitszeit, Zugangs- und Nutzungsdaten.

4. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
  • Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs, siehe Ziffer 7).
  • Unterstützung des Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Art. 12–23 DSGVO) sowie bei Meldepflichten und Datenschutz-Folgenabschätzungen (Art. 32–36 DSGVO).
  • Unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten an den Verantwortlichen.
  • Nach Wahl des Verantwortlichen Löschung oder Rückgabe der Daten nach Abschluss der Leistungserbringung, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Nachweis der Einhaltung der Pflichten und Ermöglichung von Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

5. Weisungsrecht

Der Verantwortliche behält das alleinige Weisungsrecht über die Verarbeitung. Mündliche Weisungen werden vom Verantwortlichen unverzüglich in Textform bestätigt. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, teilt er dies mit und kann deren Ausführung bis zur Bestätigung aussetzen.

6. Unterauftragsverhältnisse (Sub-Prozessoren)

Der Verantwortliche stimmt dem Einsatz der nachfolgenden Unterauftragsverarbeiter zu. Der Auftragsverarbeiter informiert über beabsichtigte Änderungen; der Verantwortliche kann berechtigten Einwänden binnen 14 Tagen widersprechen.

UnterauftragnehmerLeistungOrt
Hetzner Online GmbHServer- und Datenbank-HostingDeutschland (EU)
Stripe Payments Europe, Ltd.Zahlungsabwicklung (Abrechnungsdaten)EU / USA (SCC)
SMTP-/E-Mail-DienstleisterVersand von Transaktions-E-MailsEU

Bei Übermittlungen in Drittländer werden geeignete Garantien (Art. 46 DSGVO, z. B. EU-Standardvertragsklauseln) sichergestellt.

7. Technische und organisatorische Maßnahmen (TOMs)

  • Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen.
  • Passwörter als bcrypt-Hash gespeichert (keine Klartextspeicherung).
  • Rollenbasierte Zugriffskontrolle (RBAC) und mandantengetrennte Datenhaltung (Org-Scoping).
  • Rate-Limiting und Schutzmaßnahmen gegen unbefugten Zugriff.
  • Sicherheits-Header (CSP, HSTS, X-Frame-Options) sowie regelmäßige Sicherheitsaudits.
  • Automatische Löschung von GPS-Positionsdaten nach 90 Tagen (Datenminimierung).
  • Serverstandort ausschließlich innerhalb der EU (Deutschland).

8. Haftung

Für die Haftung gelten die Regelungen des Hauptvertrags (AGB) sowie Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für den ihr zurechenbaren Verstoß.

9. Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen hinsichtlich der Datenverarbeitung die Regelungen dieses AVV vor. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.