Auftragsverarbeitungsvereinbarung

Zuletzt geändert: 18. März 2026

1. Definitionen

Für die Zwecke dieser Auftragsverarbeitungsvereinbarung ("AVV"):

  • "Verantwortlicher" bezeichnet die Organisation oder Einheit (Kunde), die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und einen Vertrag über die Nutzungsbedingungen mit dem Auftragsverarbeiter abgeschlossen hat.
  • "Auftragsverarbeiter" bezeichnet Monkaru, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • "Personenbezogene Daten"bezeichnet alle Informationen über eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") gemäß Artikel 4(1) DSGVO.
  • "Verarbeitung" bezeichnet jeden Vorgang oder jede Vorgangsreihe, der/die in Zusammenhang mit personenbezogenen Daten durchgeführt wird, gemäß Artikel 4(2) DSGVO.
  • "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.
  • "Datenpanne" bezeichnet eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.
  • "DSGVO" bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679.
  • "Anwendbares Datenschutzrecht" bezeichnet die DSGVO, das österreichische Datenschutzgesetz (DSG) und alle sonstigen anwendbaren EU/EWR-Datenschutzgesetze.

2. Gegenstand und Zweck der Verarbeitung

2.1 Gegenstand

Diese AVV regelt die Verarbeitung personenbezogener Daten durch Monkaru (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlichen) im Zusammenhang mit der Erbringung des Monkaru-Dienstplanungsdienstes für Mitarbeiter ("der Dienst"), wie in den Nutzungsbedingungen beschrieben.

2.2 Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für folgende Zwecke:

  • Bereitstellung und Aufrechterhaltung des Dienstplanungsdienstes
  • Verwaltung von Mitarbeiterdaten, Dienstplänen und Zuweisungen
  • Erfassung von Abwesenheiten, Urlaubsansprüchen und Arbeitszeiten
  • Erstellung von Berichten und Analysen für den Verantwortlichen
  • Versand von Benachrichtigungen und Mitteilungen im Auftrag des Verantwortlichen
  • Bereitstellung technischen Supports und Lösung von Problemen

2.3 Dauer der Verarbeitung

Die Verarbeitung beginnt am Tag der Kontoerstellung durch den Verantwortlichen und dauert für die Laufzeit des Dienstleistungsvertrags an. Nach Beendigung löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten gemäß Abschnitt 11 dieser AVV zurück.

3. Arten verarbeiteter personenbezogener Daten

Folgende Kategorien personenbezogener Daten werden im Rahmen dieser AVV verarbeitet:

  • Identitätsdaten: Mitarbeiternamen, Mitarbeiterkennungen
  • Kontaktdaten: E-Mail-Adressen, Telefonnummern
  • Beschäftigungsdaten: Abteilung, Team, Beschäftigungsart, Beschäftigungsdaten, vertragliche Arbeitszeiten
  • Dienstplandaten: Dienstzuweisungen, Arbeitszeiten, Überstundennachweise, Dienstplanversionen
  • Abwesenheitsdaten: Urlaubsanträge, Krankmeldungen, Freizeitansprüche
  • Kenntnisse und Qualifikationen: Fachliche Kenntnisse, Zertifizierungen, Stationszuweisungen
  • Präferenzdaten: Dienstpräferenzen, Verfügbarkeit, Arbeitsmusterpräferenzen
  • Kontodaten: E-Mail-Adresse, Authentifizierungsnachweise (verschlüsselt), Kontoerstellungsdatum

Hinweis: Der Auftragsverarbeiter verarbeitet keine besonderen Kategorien personenbezogener Daten (Artikel 9 DSGVO), es sei denn, sie werden vom Verantwortlichen ausdrücklich bereitgestellt. Krankmeldungen beschränken sich auf Datumsangaben und enthalten keine medizinischen Diagnosen oder Gesundheitsdetails.

4. Kategorien betroffener Personen

Folgende Kategorien betroffener Personen sind von der Verarbeitung im Rahmen dieser AVV betroffen:

  • Mitarbeiter: Personen, deren Dienstplan- und Beschäftigungsdaten im Dienst verwaltet werden
  • Manager / Administratoren: Personen mit organisatorischem Verwaltungszugang zum Dienst
  • Kontoinhaber: Personen, die ein Konto zur Nutzung des Dienstes erstellt haben

5. Pflichten des Auftragsverarbeiters

5.1 Dokumentierte Weisungen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf Übermittlungen personenbezogener Daten in ein Drittland, sofern er nicht durch EU- oder Mitgliedstaatenrecht, dem er unterliegt, zur Verarbeitung verpflichtet ist. In einem solchen Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese Rechtsvorschriften, sofern das betreffende Recht eine solche Unterrichtung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet. Die Weisungen des Verantwortlichen sind in dieser AVV und den Nutzungsbedingungen dokumentiert.

5.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen.

5.3 Sicherheit der Verarbeitung

Der Auftragsverarbeiter implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Abschnitt 7 dieser AVV beschrieben, gemäß Artikel 32 DSGVO.

5.4 Verwaltung von Unterauftragsverarbeitern

Der Auftragsverarbeiter beauftragt keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen. Bei allgemeiner schriftlicher Genehmigung unterrichtet der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern und gibt dem Verantwortlichen damit die Möglichkeit, diesen Änderungen zu widersprechen. Die aktuelle Liste der Unterauftragsverarbeiter ist in Abschnitt 6 dieser AVV aufgeführt.

5.5 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Pflicht des Verantwortlichen, Anträgen betroffener Personen auf Ausübung der in Kapitel III der DSGVO (Artikel 15–22) niedergelegten Rechte nachzukommen.

5.6 Unterstützung bei Compliance-Pflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Artikeln 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

5.7 Löschung und Rückgabe von Daten

Nach Wahl des Verantwortlichen löscht oder gibt der Auftragsverarbeiter nach Beendigung der Dienstleistungen alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern keine EU- oder mitgliedstaatliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Einzelheiten finden sich in Abschnitt 11.

5.8 Audit und Inspektion

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Artikel 28 DSGVO niedergelegten Pflichten erforderlich sind, und ermöglicht und unterstützt Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere EU- oder mitgliedstaatliche Datenschutzbestimmungen verstößt.

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, Unterauftragsverarbeiter zu beauftragen. Der Auftragsverarbeiter nutzt derzeit folgende Unterauftragsverarbeiter:

UnterauftragsverarbeiterZweckVerarbeitete DatenStandort
Supabase, Inc.Datenbank-Hosting, Authentifizierung, DateispeicherungAlle Anwendungsdaten, AuthentifizierungsnachweiseEU
IONOS SEVirtual Private Server (VPS) HostingAnwendungsverarbeitung, temporäre AnfragedatenEU (Deutschland)
Stripe, Inc.Zahlungsabwicklung, AbonnementverwaltungRechnungsdaten, AbonnementstatusUSA (EU-US DPF zertifiziert, SCCs)
Brevo SASTransaktionale E-Mail-ZustellungE-Mail-Adressen, E-Mail-InhalteEU (Frankreich)
Functional Software, Inc. (Sentry)Fehlerverfolgung und Performance-TracingFehlerereignisse, Stack Traces, Performance-Metriken (keine personenbezogenen Daten laut Konfiguration)EU (Deutschland/Frankfurt)
Better Stack, s.r.o.VerfügbarkeitsmonitoringHTTP-Antwortcodes, Latenzmetriken (keine personenbezogenen Daten)EU (Tschechien)
RybbitWebsite-Analysen (cookielos)Seitenaufrufe, Referrer, Gerätetyp, Standort auf Länderebene (keine personenbezogenen Daten, keine Cookies)EU (Deutschland)

Der Auftragsverarbeiter erlegte jedem Unterauftragsverarbeiter durch einen Vertrag dieselben Datenschutzpflichten auf, wie sie in dieser AVV festgelegt sind. Wenn ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nachkommt, bleibt der Auftragsverarbeiter dem Verantwortlichen gegenüber für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters vollständig haftbar.

Änderungsbenachrichtigung: Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen der Unterauftragsverarbeiterliste. Wenn der Verantwortliche innerhalb von 14 Tagen nach der Benachrichtigung einem neuen Unterauftragsverarbeiter widerspricht, erörtern die Parteien das Anliegen in gutem Glauben. Wird keine Einigung erzielt, kann der Verantwortliche den Dienstleistungsvertrag kündigen.

7. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter implementiert folgende Maßnahmen gemäß Artikel 32 DSGVO, um die Sicherheit der Verarbeitung zu gewährleisten:

7.1 Verschlüsselung

  • Alle Daten werden bei der Übertragung mit TLS 1.2 oder höher verschlüsselt
  • Daten im Ruhezustand werden mit AES-256-Verschlüsselung verschlüsselt
  • Passwörter werden mit Branchenstandard-Algorithmen (bcrypt) gehasht
  • Authentifizierungstoken werden in Cookies mit dem Secure-Flag (nur Produktion) und SameSite=Lax-Attributen gespeichert

7.2 Zugangskontrolle

  • Rollenbasierte Zugangskontrolle (RBAC) mit Isolation auf Organisationsebene
  • Row-Level Security (RLS)-Richtlinien auf Datenbankebene durchgesetzt
  • Mehrfaktor-Authentifizierung (MFA) für alle Nutzer verfügbar
  • Sitzungsverwaltung mit automatischem Ablauf
  • Prinzip der minimalen Rechte für alle Zugangsstufen

7.3 Verfügbarkeit und Belastbarkeit

  • Täglich automatisierte Datenbanksicherungen
  • Zustandsüberwachung mit automatisierten Alarmen
  • Ratenbegrenzung zur Verhinderung von Missbrauch und Gewährleistung der Dienstverfügbarkeit

7.4 Datenschutz und Wiederherstellung

  • Soft-Delete-Mechanismus mit 30-tägigem Wiederherstellungsfenster bei versehentlichen Löschungen
  • Automatisierter täglicher Löschvorgang abgelaufener Soft-Delete-Datensätze (älter als 30 Tage)
  • Archivierung von Aktivitätsprotokollen mit 90 Tagen Hot-Storage und 2-Jahres-Kaltarchiv
  • Automatisierte wöchentliche Archivrotation und Bereinigung abgelaufener Archivdatensätze
  • Papierkorb-Benutzeroberfläche für Administratoren zur Übersicht und Wiederherstellung gelöschter Elemente

7.5 Erkennung von Vorfällen und Reaktion

  • Protokollierung und Überwachung von Sicherheitsereignissen
  • Dokumentierte Verfahren zur Reaktion auf Vorfälle
  • Erkennungsmechanismen für Datenpannen bei unbefugten Zugriffsmustern
  • 72-Stunden-Benachrichtigungsprozess gemäß DSGVO Artikel 33

7.6 Regelmäßige Prüfungen

  • Regelmäßige Sicherheitsüberprüfungen und Schwachstellenbewertungen
  • Eingabevalidierung und Ausgabe-Encoding zur Verhinderung von Injection-Angriffen
  • Content Security Policy (CSP) und Sicherheitsheader

8. Unterstützung bei den Rechten betroffener Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen gemäß DSGVO Artikel 15–22:

  • Auskunftsrecht (Art. 15): Der Auftragsverarbeiter stellt eine Datenexportfunktion bereit, mit der der Verantwortliche eine vollständige Kopie aller mit seiner Organisation verbundenen personenbezogenen Daten erstellen kann.
  • Recht auf Berichtigung (Art. 16): Der Verantwortliche kann Mitarbeiterdaten und andere personenbezogene Daten direkt über die Dienstoberfläche bearbeiten.
  • Recht auf Löschung (Art. 17): Der Verantwortliche kann einzelne Mitarbeiterdaten löschen. Die vollständige Kontolöschung ist über die Datenverwaltungsoberfläche möglich und entfernt alle zugehörigen personenbezogenen Daten.
  • Recht auf Einschränkung der Verarbeitung (Art. 18): Der Auftragsverarbeiter implementiert auf dokumentierten Antrag des Verantwortlichen Verarbeitungseinschränkungen.
  • Recht auf Datenübertragbarkeit (Art. 20): Die Datenexportfunktion stellt personenbezogene Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) bereit.
  • Widerspruchsrecht (Art. 21): Der Auftragsverarbeiter stellt die Verarbeitung auf dokumentierten Widerspruch des Verantwortlichen ein, sofern die Verarbeitung nicht für die Erbringung des Dienstes erforderlich ist.

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er direkt einen Antrag einer betroffenen Person erhält. Der Auftragsverarbeiter beantwortet solche Anträge nicht ohne vorherige Genehmigung des Verantwortlichen, sofern dies nicht gesetzlich vorgeschrieben ist.

9. Benachrichtigung bei Datenpannen

Im Falle einer Datenpanne unternimmt der Auftragsverarbeiter Folgendes:

  • Benachrichtigung des Verantwortlichen ohne unnötige Verzögerung und in jedem Fall innerhalb von 48 Stunden nach Kenntnisnahme einer Datenpanne, damit der Verantwortliche seiner 72-Stunden-Meldepflicht gemäß Artikel 33 DSGVO nachkommen kann.
  • Bereitstellung folgender Informationen in der Benachrichtigung (soweit verfügbar):
    • Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze
    • Name und Kontaktdaten des Datenschutzkontakts des Auftragsverarbeiters
    • Voraussichtliche Folgen der Verletzung
    • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung, einschließlich Milderungsmaßnahmen
  • Zusammenarbeit mit dem Verantwortlichen bei der Untersuchung und Behebung der Verletzung, einschließlich der Bereitstellung aller notwendigen Informationen und Unterstützung, damit der Verantwortliche seinen Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen nachkommen kann.
  • Dokumentation der Verletzung einschließlich Fakten, Auswirkungen und ergriffener Maßnahmen gemäß Artikel 33(5) DSGVO.

10. Internationale Datenübermittlungen

Der Auftragsverarbeiter stellt sicher, dass alle internationalen Übermittlungen personenbezogener Daten Kapitel V der DSGVO entsprechen:

  • Primäre Datenspeicherung: Die Datenbank- und Authentifizierungsinfrastruktur (Supabase) und der Anwendungsserver (IONOS) befinden sich in der EU/dem EWR. Alle Dienstplan-, Abwesenheits- und Mitarbeiterdaten werden ausschließlich innerhalb der EU gespeichert und verarbeitet.
  • US-amerikanische Unterauftragsverarbeiter: Stripe, Inc. hat seinen Sitz in den USA. Es werden ausschließlich Abrechnungsmetadaten (E-Mail-Adresse, Kunden-ID, Abonnementstatus) an Stripe weitergegeben — keine Dienstplan-, Abwesenheits- oder Mitarbeiterdaten werden übermittelt. Übermittlungen an diesen Unterauftragsverarbeiter sind geschützt durch:
    • EU-US-Datenschutzrahmen (DPF)-Zertifizierung, soweit anwendbar
    • Standardvertragsklauseln (SCC) gemäß Kommissionsbeschluss 2021/914
    • Datenübermittlungsfolgenabschätzungen (TIA), soweit erforderlich
  • Keine weiteren Übermittlungen: Der Auftragsverarbeiter übermittelt personenbezogene Daten ohne vorherige schriftliche Zustimmung des Verantwortlichen an kein Drittland oder internationale Organisation, sofern dies nicht durch EU- oder Mitgliedstaatenrecht vorgeschrieben ist.

11. Laufzeit, Kündigung und Datenlöschung

11.1 Laufzeit

Diese AVV tritt am Tag der Kontoerstellung durch den Verantwortlichen in Kraft und bleibt für die Dauer des Dienstleistungsvertrags in Kraft. Diese AVV ist automatisch in die Nutzungsbedingungen einbezogen.

11.2 Datenzurückgabe

Nach Beendigung des Dienstleistungsvertrags kann der Verantwortliche alle personenbezogenen Daten vor der Kontolöschung mit der Datenexportfunktion exportieren. Der Export erfolgt in einem strukturierten, maschinenlesbaren Format (JSON).

11.3 Datenlöschung

Nach Beendigung des Dienstleistungsvertrags, Kontolöschung oder auf förmliche Anfrage gilt folgender Datenlebenszyklus:

  1. Soft-Delete: Alle aktiven Daten werden sofort soft-gelöscht (für alle Nutzer ausgeblendet und über den Dienst nicht zugänglich)
  2. 30-tägige Gnadenfrist: Daten können vom Kontoadministrator während dieses Fensters wiederhergestellt werden
  3. Endgültiger Löschvorgang: Nach 30 Tagen werden alle Daten endgültig hard-gelöscht mit CASCADE, wodurch alle zugehörigen Datensätze entfernt werden
  4. Aktivitätsprotokolle: Nach 90 Tagen in ein sicheres Archiv verschoben, bis zu 2 Jahre aufbewahrt, dann endgültig gelöscht
  5. Audit-Protokolle: Für 2 Jahre aus Sicherheits- und Compliance-Gründen aufbewahrt, dann endgültig gelöscht
  6. Arbeitszeitaufzeichnungen: Werden aus technischen Gründen standardmäßig für 2 Jahre in der Applikation aufbewahrt und danach endgültig gelöscht. Es obliegt dem Verantwortlichen, diese Daten rechtzeitig zu exportieren, um seinen individuellen gesetzlichen Aufbewahrungs- und Nachweispflichten (z. B. nach ABGB, BAO oder AZG) nachzukommen.

Automatisierte Bereinigungsaufgaben laufen täglich. Für das Datenzyklus-Management ist kein manueller Eingriff erforderlich. Zu den endgültig gelöschten Datenarten gehören:

  • Alle Mitarbeiterdaten und zugehörige personenbezogene Daten
  • Alle Dienstplan-, Dienst- und Abwesenheitsdaten
  • Alle Organisationseinstellungen und Konfigurationen
  • Kontodaten und Authentifizierungsdaten

11.4 Pflichten des Verantwortlichen

Wichtig: Der Verantwortliche trägt die Pflicht zur Einhaltung der anwendbaren arbeitsrechtlichen Anforderungen bezüglich der Datenspeicherung, bevor er die Kontolöschung einleitet. Der Verantwortliche sollte alle Daten, die für die Einhaltung des Arbeitsrechts erforderlich sind, vor Ablauf des 30-tägigen Wiederherstellungsfensters exportieren. Der Auftragsverarbeiter stellt Datenexport-Tools bereit, legt aber keine Speicherfristen im Auftrag des Verantwortlichen fest.

12. Haftung

Die Haftung im Rahmen dieser AVV richtet sich nach den Bestimmungen der Nutzungsbedingungen und des anwendbaren Rechts, insbesondere:

  • Jede Partei haftet für Schäden, die durch eine Verarbeitung entstehen, die gegen die DSGVO verstößt, gemäß Artikel 82 DSGVO.
  • Der Auftragsverarbeiter haftet für durch die Verarbeitung verursachte Schäden nur dann, wenn er die ihm als Auftragsverarbeiter auferlegten DSGVO-Pflichten nicht eingehalten hat oder außerhalb der rechtmässigen Weisungen des Verantwortlichen oder im Widerspruch zu diesen gehandelt hat.
  • Eine Partei wird von der Haftung befreit, wenn sie nachweist, dass sie in keiner Weise für das schädigende Ereignis verantwortlich ist, gemäß Artikel 82(3) DSGVO.

13. Anwendbares Recht und Gerichtsstand

Diese AVV unterliegt dem österreichischen Recht und wird entsprechend ausgelegt, ohne Berücksichtigung von Kollisionsnormen. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser AVV ergeben, unterliegen der ausschließlichen Zuständigkeit der zuständigen Gerichte in Wien, Österreich.

Sofern Bestimmungen dieser AVV mit den Nutzungsbedingungen in Bezug auf Datenschutzangelegenheiten in Konflikt stehen, geht diese AVV vor.

14. Kontaktinformationen

Für Fragen zu dieser AVV oder Datenschutzangelegenheiten wenden Sie sich bitte an:

Datenschutzkontakt

Monkaru

Name: Manuel Istratoaie

E-Mail: support@monkaru.at

Standort: Wien, Österreich

Der Verantwortliche kann auch die zuständige Aufsichtsbehörde kontaktieren:

Österreichische Datenschutzbehörde

Barichgasse 40–42, 1030 Wien, Österreich

E-Mail: dsb@dsb.gv.at

Telefon: +43 1 52 152-0