LOTS

Auftragsverarbeitungsvertrag

AVV nach Art. 28 DSGVO · Stand: Mai 2026

Zwischen

LILAPIXEL · Birgit Soring
Le-Corbusier-Str. 31b · 26127 Oldenburg · Deutschland
E-Mail: hallo@lilapixel.de

— im Folgenden „Auftragnehmer" —

und

der Organisation, die LOTS einsetzt, gemäß den im Anmeldeprozess hinterlegten Stammdaten

— im Folgenden „Auftraggeber" —

§ 1 Gegenstand und Dauer

(1) Gegenstand ist die Bereitstellung der Software-as-a-Service-Lösung LILAPIXEL Online Time Scheduling (LOTS). Bei der Nutzung verarbeitet der Auftragnehmer personenbezogene Daten des Auftraggebers im Sinne von Art. 4 Nr. 2 DSGVO.

(2) Die Dauer entspricht dem Hauptvertrag (Nutzungsbedingungen).

§ 2 Art und Zweck der Verarbeitung

Art: Erfassen, Speichern, Strukturieren, Auslesen, Übermitteln, Löschen

Zweck:

  • Zeiterfassung und Projektabrechnung im Auftrag der Organisation
  • Audit-Logging zur Nachvollziehbarkeit
  • Bereitstellung der Anwendung über das Internet

§ 3 Kategorien betroffener Personen und Datenkategorien

Betroffene Personen:

  • Beschäftigte des Auftraggebers
  • Ggf. von Beschäftigten erfasste Kontaktpersonen bei Kunden des Auftraggebers (Name in Beschreibungsfeldern)

Datenkategorien:

  • Identifikationsdaten (Name, E-Mail, Profilfarbe)
  • Arbeitszeit-Daten (Datum, Beginn, Ende, Dauer, Projekt, Beschreibung, Tags)
  • Mitgliedschafts-/Rollen-Daten (Rolle, Status, Beitrittsdatum)
  • Audit-Daten (Wer hat wann was geändert)
  • Technische Daten (gekürzte IP, User-Agent, Zeitstempel)

§ 4 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

(1) Personenbezogene Daten ausschließlich im Rahmen dieses Vertrags und nach dokumentierten Weisungen des Auftraggebers zu verarbeiten. Weisungen sind schriftlich oder per E-Mail an hallo@lilapixel.de zu erteilen und werden vom Auftragnehmer schriftlich bestätigt.

(2) Die zur Verarbeitung eingesetzten Personen schriftlich zur Vertraulichkeit zu verpflichten und über die einschlägigen Datenschutzbestimmungen zu unterrichten.

(3) Die in § 5 dieses Vertrags genannten technisch-organisatorischen Maßnahmen umzusetzen und aufrechtzuerhalten.

(4) Den Auftraggeber unverzüglich zu informieren, wenn eine Weisung gegen geltende Datenschutzbestimmungen verstößt.

(5) Den Auftraggeber bei der Erfüllung der Pflichten aus Art. 32 bis 36 DSGVO zu unterstützen, einschließlich Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorheriger Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

(6) Im Falle einer Datenschutzverletzung den Auftraggeber unverzüglich (spätestens binnen 72 Stunden nach Bekanntwerden) zu informieren.

(7) Nach Beendigung des Auftrages alle personenbezogenen Daten zu löschen oder — nach Wahl des Auftraggebers — zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht besteht.

§ 5 Technisch-organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft folgende Maßnahmen im Sinne von Art. 32 DSGVO:

Zutritt und Zugang (physisch): Über den Sub-Processor (Google Firebase / Cloudflare). Rechenzentren sind nach ISO 27001, SOC 2 und ISO 27018 zertifiziert.

Zugriff (logisch):

  • Rollenbasierte Zugriffskontrolle (RBAC) mit 4 Rollen
  • Authentifizierung über OAuth 2.0 / Google Sign-In
  • Rate-Limiting gegen Brute-Force
  • Audit-Logging aller administrativen Aktionen
  • Hoster-Zugriff dokumentiert per Audit-Log

Trennung: Pro Organisation getrennte Datenstrukturen (Multi-Tenancy mit expliziten Membership-Checks).

Verschlüsselung:

  • TLS 1.3 für alle Übertragungen
  • Verschlüsselung at rest (Google Cloud Storage Standard)

Verfügbarkeit:

  • Tägliche Backups mit geprüftem Restore-Pfad
  • Monitoring auf Application- und Infrastruktur-Ebene

Eingabe / Nachvollziehbarkeit: Audit-Log mit Akteur, Aktion, Ziel und Diff vor/nach jeder Mutation.

Auftragskontrolle: Sub-Processor-Liste (Anlage 1) wird gepflegt; Änderungen werden mit 14 Tagen Vorlauf angekündigt; Widerspruchsrecht des Auftraggebers.

§ 6 Unter-Auftragsverarbeiter

(1) Der Auftragnehmer setzt Unter-Auftragsverarbeiter ein. Die aktuelle Liste ist als Anlage 1 Bestandteil dieses Vertrages und unter lots.lilapixel.de/sub-processors abrufbar.

(2) Änderungen an der Sub-Processor-Liste werden dem Auftraggeber mit einer Vorlaufzeit von 14 Kalendertagen über die im Account hinterlegte E-Mail-Adresse mitgeteilt.

(3) Widerspricht der Auftraggeber innerhalb dieser Frist nicht ausdrücklich, gilt der neue Sub-Processor als genehmigt.

(4) Widerspricht der Auftraggeber, hat er das Recht zur außerordentlichen Kündigung; bereits bezahlte Beträge werden anteilig erstattet.

§ 7 Rechte des Auftraggebers

Der Auftraggeber hat das Recht:

(1) Eine Kopie der TOM und der Sub-Processor-Liste anzufordern.

(2) Die Einhaltung dieser Regelungen einmal jährlich oder anlassbezogen zu überprüfen — entweder per Selbstauskunft des Auftragnehmers oder durch einen vom Auftraggeber beauftragten unabhängigen Prüfer, einschließlich Inspektionen (Kosten trägt der Auftraggeber). Der Auftragnehmer unterstützt diese Überprüfungen aktiv.

(3) Bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.) Unterstützung zu erhalten.

§ 8 Pflichten des Auftraggebers

(1) Der Auftraggeber bleibt im Sinne der DSGVO der „Verantwortliche" für die in der Anwendung verarbeiteten personenbezogenen Daten.

(2) Der Auftraggeber stellt sicher, dass eine Rechtsgrundlage für die Verarbeitung besteht (z.B. Art. 6 Abs. 1 lit. b DSGVO bei Beschäftigten).

(3) Der Auftraggeber informiert seine Beschäftigten gemäß Art. 13 DSGVO über die Verarbeitung in LOTS und stellt den Auftragnehmer von Ansprüchen frei, die aus einer Verletzung dieser Pflicht entstehen.

§ 9 Drittland-Übermittlung

(1) Eine Übermittlung in Drittländer findet ausschließlich an die in Anlage 1 genannten Sub-Processor und deren Standorte statt.

(2) Soweit dabei Übermittlungen in die USA erfolgen, ist die Rechtsgrundlage das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023, Art. 45 DSGVO). Ergänzend gelten Standardvertragsklauseln (SCC) der EU gemäß Art. 46 DSGVO.

§ 10 Haftung

Die Haftung richtet sich nach den Regelungen in § 9 der Nutzungsbedingungen, ergänzt um die gesetzlichen Vorgaben aus Art. 82 DSGVO.

§ 11 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht. Ausschließlicher Gerichtsstand ist — soweit gesetzlich zulässig — Oldenburg (Niedersachsen).

Anlage 1: Liste der Unter-Auftragsverarbeiter — abrufbar unter lots.lilapixel.de/sub-processors