Auftragsverarbeitungsvertrag (AVV)

Stand: Juni 2026


Dieser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird zwischen dem Kunden (nachfolgend „Verantwortlicher") und der Fuutu UG (haftungsbeschränkt), Jaegersstr. 15, 41462 Neuss, Deutschland (nachfolgend „Auftragsverarbeiter") geschlossen und ist Bestandteil des Hauptvertrags über die Nutzung der Plattform TeamSkillSet.


§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erbringung der vertraglich vereinbarten SaaS-Leistungen der Plattform TeamSkillSet (Skill-Management, Kompetenzmatrizen, Projektzuordnung, Gap-Analysen).

(2) Die Datenverarbeitung erfolgt für die Dauer des Hauptvertrags. Nach Vertragsende werden alle Daten gemäß § 8 dieses Vertrags gelöscht oder zurückgegeben.


§ 2 Art und Zweck der Verarbeitung

Art der Verarbeitung: Erheben, Speichern, Organisieren, Strukturieren, Verändern, Abfragen, Verwenden, Offenlegen, Löschen.

Zweck: Betrieb der TeamSkillSet-Plattform zur digitalen Verwaltung von Mitarbeiterskills und -kompetenzen im Auftrag des Verantwortlichen.

Kategorien betroffener Personen: Mitarbeiter und sonstige von der verarbeitenden Organisation erfasste Personen.

Kategorien personenbezogener Daten:

  • Stammdaten (Name, E-Mail-Adresse, Organisations-/Teamzugehörigkeit)
  • Berufliche Qualifikationsdaten (Fähigkeiten, Kompetenzniveaus, Zertifikate)
  • Peer-Verifikationsdaten
  • Technische Anwendungsprotokolle und Systemereignisse (Fehler-Tracking, Anwendungs-Logs)

§ 3 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen, soweit er nicht durch das Recht der Union oder der Mitgliedstaaten dazu verpflichtet ist; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7 dieses Vertrags).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO (Datensicherheit, Datenpannen, DSFA, Vorabkonsultation).

(5) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten erforderlich sind, und ermöglicht Überprüfungen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer.


§ 4 Weisungsbefugnis des Verantwortlichen

(1) Der Verantwortliche erteilt alle Weisungen zunächst in Textform. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Meinung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt.


§ 5 Unterauftragsverarbeiter

(1) Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen. Er informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, Einspruch gegen derartige Änderungen zu erheben.

(2) Derzeit eingesetzte Unterauftragsverarbeiter:

UnterauftragsverarbeiterZweckSitz
Hetzner Online GmbHHosting / Server-InfrastrukturDeutschland (EU)
Functional Software, Inc. (Sentry)Fehler-TrackingUSA (SCCs)
Creem, Inc.ZahlungsabwicklungUSA (SCCs)

(3) Auch bei Unterauftragsverarbeitern bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen vollständig verantwortlich.


§ 6 Unterstützung des Verantwortlichen bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO), insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.


§ 7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende Maßnahmen implementiert (Art. 32 DSGVO):

Zutrittskontrolle: Serverstandorte bei Hetzner mit physischer Zutrittssicherung; keine eigenen Serverräume.

Zugangskontrolle: Passwortschutz, MFA-Pflicht für administrative Zugänge, automatische Sitzungstrennung.

Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC); minimales Rechteprinzip (Least Privilege).

Trennungskontrolle: Mandantentrennung; Produktions- und Testdaten sind strikt voneinander getrennt.

Pseudonymisierung: Interne Systemidentifikatoren (UUIDs) anstelle von Klarnamen für Log-Daten.

Verschlüsselung: Alle Daten werden bei der Übertragung via HTTPS/TLS 1.2+ verschlüsselt; Daten at rest verschlüsselt auf Hetzner-Infrastruktur.

Verfügbarkeit: Regelmäßige Backups; Monitoring und Alerting; Notfallkonzept vorhanden.

Integrität: Technische Anwendungsprotokolle (Sentry Fehler-Tracking, serverseitige Logs) zur Nachvollziehbarkeit von Systemereignissen.


§ 8 Löschung und Rückgabe nach Vertragsende

Bei aktiver Löschung der Organisation durch den Verantwortlichen werden alle personenbezogenen Daten sofort und unwiderruflich aus dem System entfernt (technisch: Cascade-Delete). Nach Ablauf oder Kündigung des Vertrags ohne aktive Löschung werden alle Daten innerhalb von 30 Tagen endgültig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Anfrage kann der Verantwortliche seine Daten vor der Löschung in maschinenlesbarem Format exportieren. Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.


§ 9 Meldung von Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden. Die Meldung enthält zumindest die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit diese bereits bekannt sind.

Meldungen erfolgen an: [email protected]


§ 10 Kontakt Datenschutz

Fuutu UG (haftungsbeschränkt) Jaegersstr. 15, 41462 Neuss, Deutschland E-Mail: [email protected]


§ 11 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Soweit Bestimmungen dieses AVV den Bestimmungen des Hauptvertrags widersprechen, gehen die Bestimmungen dieses AVV vor.

(3) Sollte eine Bestimmung dieses AVV unwirksam sein, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.