gemäß Art. 28 DSGVO · Wegnotiz – Digitales Fahrtenbuch für Unternehmen · Stand: Mai 2026
Der Anbieter stellt dem Kunden die Software-as-a-Service-Lösung „Wegnotiz" zur Verfügung. Im Rahmen dieser Leistungserbringung verarbeitet der Anbieter personenbezogene Daten im Auftrag und nach Weisung des Kunden. Der Kunde ist hierbei datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO; der Anbieter ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.
Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Einklang mit Art. 28 DSGVO und ergänzt den zwischen den Parteien geschlossenen Hauptvertrag (Allgemeine Geschäftsbedingungen von Wegnotiz). Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV in datenschutzrechtlichen Belangen Vorrang.
(1) Gegenstand: Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Lösung Wegnotiz. Dies umfasst die Speicherung, Verarbeitung und Anzeige von Fahrtenbuchdaten, Nutzerdaten und damit verbundenen Informationen sowie alle weiteren Verarbeitungstätigkeiten, die zur Erbringung der vertraglich vereinbarten Leistungen erforderlich sind.
(2) Dauer: Dieser AVV gilt für die gesamte Dauer des Hauptvertrages. Er endet automatisch mit Beendigung des Hauptvertrages, ohne dass es einer gesonderten Kündigung bedarf. Die Regelungen zur Löschung und Rückgabe von Daten nach Vertragsende (Abschnitt 3 Nr. 8) bleiben über das Vertragsende hinaus wirksam, bis alle Pflichten erfüllt sind.
(1) Art der Verarbeitung: Erheben, Erfassen, Speichern, Organisieren, Ordnen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Bereitstellen, Löschen und Vernichten personenbezogener Daten im Rahmen des Betriebs der Software Wegnotiz.
(2) Zweck der Verarbeitung: Digitale Fahrtenbuchführung und Auswertung dienstlicher Fahrten, Verwaltung von Fahrzeugbuchungen, Durchführung von Freigabe- und Monatsabschlussworkflows, Führerscheinkontrolle, Benutzerverwaltung sowie Datenexport für steuerliche und betriebliche Zwecke.
(3) Arten der verarbeiteten personenbezogenen Daten:
(4) Kategorien betroffener Personen: Mitarbeitende des Kunden, die die Software zur Fahrterfassung nutzen; Vorgesetzte und Administratoren des Kunden, die Freigabe- und Verwaltungsfunktionen ausüben; ggf. externe Nutzer mit Gastzugang (soweit vom Kunden eingerichtet).
1. Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Europäischen Union oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die Weisungen des Verantwortlichen können schriftlich, per E-Mail oder innerhalb der Software erfolgen; sie sind vom Auftragsverarbeiter zu dokumentieren.
2. Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht über die Beendigung dieses AVV hinaus fort.
3. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zum Zeitpunkt des Vertragsschlusses geltenden Maßnahmen sind in Anlage 1 dieses AVV beschrieben. Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.
4. Unterauftragsverarbeiter
Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Unterauftragsverarbeiter) nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung für den Einsatz der in Anlage 2 dieses AVV genannten Unterauftragsverarbeiter. Über geplante Änderungen – d. h. die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern – informiert der Auftragsverarbeiter den Verantwortlichen mindestens 4 Wochen im Voraus per E-Mail, sodass der Verantwortliche die Möglichkeit hat, diesen Änderungen zu widersprechen. Der Auftragsverarbeiter legt seinen Unterauftragsverarbeitern dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind.
5. Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich durch geeignete technische und organisatorische Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen gemäß Kapitel III DSGVO nachzukommen. Dies umfasst insbesondere das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Der Auftragsverarbeiter leitet eingehende Anfragen betroffener Personen unverzüglich an den Verantwortlichen weiter.
6. Unterstützung bei Sicherheitsvorfällen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere zur Sicherheit der Verarbeitung, zur Meldung von Verletzungen des Schutzes personenbezogener Daten, zur Datenschutz-Folgenabschätzung und zur vorherigen Konsultation der Aufsichtsbehörde. Im Falle einer Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, per E-Mail an die im Kundenkonto hinterlegte Adresse. Die Benachrichtigung enthält alle verfügbaren Informationen gemäß Art. 33 Abs. 3 DSGVO.
7. Löschung und Rückgabe nach Vertragsende
Nach Beendigung der Verarbeitungsleistungen stellt der Auftragsverarbeiter dem Verantwortlichen für einen Zeitraum von 30 Tagen nach Vertragsende einen schreibgeschützten Zugang zur Verfügung, damit der Verantwortliche seine Daten vollständig exportieren kann. Nach Ablauf dieser Übergangsfrist löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen unwiderruflich und vollständig, einschließlich aller Kopien, sofern keine unionsrechtliche oder mitgliedstaatliche Rechtsvorschrift die Speicherung der Daten erfordert. Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage des Verantwortlichen schriftlich.
8. Nachweis und Audits
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten benötigt werden. Der Auftragsverarbeiter ermöglicht und unterstützt Prüfungen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden. Prüfungen sind mit angemessener Frist anzukündigen (mindestens 4 Wochen), in der Regel während der üblichen Geschäftszeiten durchzuführen und dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen. Kosten, die durch Prüfungen entstehen, trägt der Verantwortliche, soweit nicht der Auftragsverarbeiter die Prüfung durch sein Verschulden veranlasst hat.
(1) Der Verantwortliche stellt sicher, dass die Verarbeitung personenbezogener Daten im Rahmen dieses AVV auf einer geeigneten Rechtsgrundlage nach Art. 6 DSGVO (ggf. i. V. m. Art. 9 DSGVO) beruht. Er ist dafür verantwortlich, die betroffenen Personen in geeigneter Weise über die Verarbeitung ihrer Daten zu informieren (Art. 13, 14 DSGVO).
(2) Der Verantwortliche erteilt Weisungen an den Auftragsverarbeiter ausschließlich in dokumentierter Form. Mündliche Weisungen sind unverzüglich schriftlich oder per E-Mail zu bestätigen. Der Verantwortliche bewahrt die dokumentierten Weisungen gemäß Art. 5 Abs. 2 DSGVO auf.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er bei der Prüfung der Verarbeitungsergebnisse oder in sonstiger Weise Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Bestimmungen feststellt.
(4) Der Verantwortliche trägt die Verantwortung für die Rechtmäßigkeit der Übermittlung personenbezogener Daten an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Verarbeitung insgesamt.
(1) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung; bei Regelungslücken gilt sinngemäß das im Hauptvertrag Vereinbarte.
(2) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Hemer, soweit der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Formerfordernisses.
(4) Im Übrigen gelten die Allgemeinen Geschäftsbedingungen des Anbieters ergänzend, soweit sie diesem AVV nicht widersprechen.
Die nachfolgenden technischen und organisatorischen Maßnahmen beschreiben den Sicherheitsstandard, den der Auftragsverarbeiter im Rahmen der SaaS-Lösung Wegnotiz zum Schutz personenbezogener Daten einhält. Die Maßnahmen werden fortlaufend an den Stand der Technik angepasst; das jeweils aktuelle Schutzniveau wird dabei mindestens aufrechterhalten.
Unbefugten Personen wird der Zutritt zu Datenverarbeitungsanlagen verwehrt, mit denen personenbezogene Daten verarbeitet werden. Die Serverinfrastruktur wird ausschließlich in zertifizierten Rechenzentren in Deutschland (Hetzner Online GmbH, Deutschland) betrieben. Diese Rechenzentren verfügen über mehrstufige physische Zugangssicherung (Sicherheitspersonal, Videoüberwachung, Zutrittskartensysteme). Der Auftragsverarbeiter hat keinen physischen Zugang zu den Servergebäuden; der Betrieb erfolgt vollständig über gesicherte Fernzugänge.
Die Nutzung der Datenverarbeitungssysteme wird auf Befugte beschränkt. Die Datenübertragung zwischen den Endgeräten der Nutzer und den Servern erfolgt ausschließlich über HTTPS mit TLS 1.2 oder höher. Passwörter werden nicht im Klartext gespeichert, sondern mit dem Passwort-Hashing-Algorithmus bcrypt mit ausreichendem Cost-Factor gehasht. Administratorzugänge zur Serverinfrastruktur sind durch SSH-Schlüsselauthentifizierung gesichert; Passwort-Logins für SSH sind deaktiviert.
Berechtigte Nutzer können nur auf die Daten zugreifen, für die ihnen eine Zugriffsberechtigung erteilt wurde. Das System setzt ein rollenbasiertes Berechtigungskonzept um (Rollen: EMPLOYEE, MANAGER, ADMIN, ACCOUNTING, AREA_MANAGER). Die Daten jedes Mandanten sind technisch strikt voneinander getrennt; ein mandantenübergreifender Datenzugriff ist auf Datenbankebene ausgeschlossen. Sicherheitsrelevante Aktionen werden in einem Audit-Log protokolliert.
Personenbezogene Daten werden bei der elektronischen Übertragung ausschließlich verschlüsselt übermittelt (HTTPS/TLS). Eine Weitergabe von Daten an Dritte erfolgt nur auf ausdrückliche dokumentierte Weisung des Verantwortlichen oder an die in Anlage 2 genannten Unterauftragsverarbeiter im Rahmen der Leistungserbringung. Eine Weitergabe für eigene Zwecke des Auftragsverarbeiters findet nicht statt.
Es ist nachvollziehbar, welche Daten zu welchem Zeitpunkt von welcher Person in das System eingegeben, verändert oder gelöscht wurden. Das System führt ein Audit-Log über wesentliche Datenänderungen (Erstellung, Änderung und Löschung von Fahrtenbucheinträgen, Monatsabschlüssen und Nutzerkonten), das Zeitstempel und die handelnde Person festhält.
Die Daten sind gegen zufällige Zerstörung oder Verlust geschützt. Der Auftragsverarbeiter führt regelmäßige automatisierte Datensicherungen (Backups) der Produktionsdatenbank durch. Backups werden verschlüsselt gespeichert. Die angestrebte Systemverfügbarkeit beträgt 99 % im Jahresmittel. Die Serverinfrastruktur wird durch den Infrastrukturanbieter (Hetzner) in ausfallsicheren Rechenzentren betrieben.
Zu unterschiedlichen Zwecken erhobene Daten werden getrennt verarbeitet. Die Daten verschiedener Kunden (Mandanten) werden in der Datenbank durch eine strikte Mandanten-ID-basierte Trennung auf allen Ebenen voneinander isoliert. Jede Datenbankabfrage ist an die jeweilige Mandanten-ID gebunden; ein Datenzugriff ohne korrekte Mandantenzuordnung ist systemseitig ausgeschlossen. Test- und Entwicklungssysteme werden ohne Produktivdaten betrieben.
Der Verantwortliche erteilt mit Abschluss dieses AVV seine allgemeine Genehmigung für den Einsatz der nachfolgend genannten Unterauftragsverarbeiter. Über Änderungen (Hinzuziehung oder Austausch) wird der Verantwortliche mindestens 4 Wochen im Voraus informiert und hat das Recht, Änderungen zu widersprechen.
| Unternehmen | Sitz / Rechtsgrundlage Drittlandtransfer | Verarbeitungszweck |
|---|---|---|
| Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen, Deutschland |
Deutschland (EU) – kein Drittlandtransfer | Hosting der Serverinfrastruktur, Speicherung aller Applikationsdaten und Backups |
| Resend Inc. 2261 Market Street #4242 San Francisco, CA 94114, USA |
USA – Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO | Versand transaktionaler E-Mails (Einladungen, Passwort-Reset, Benachrichtigungen) |
Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem dieselben Datenschutzpflichten auferlegt wie dieser AVV. Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Erfüllung der Pflichten der Unterauftragsverarbeiter vollumfänglich verantwortlich.
Stand: Mai 2026 · Markus Jankowski, Büttmecker Weg 35c, 58675 Hemer · info@wegnotiz.de