Auftragsverarbeitungsvertrag (AVV)
Stand: 29. April 2026 · Version 1.0
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die Pflichten der Vertragsparteien aus dem zwischen ihnen geschlossenen Hauptvertrag (Crewly-AGB) hinsichtlich der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
Mit Annahme der Crewly-AGB bei der Anmeldung zur Plattform schließt der Kunde (Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO) diesen AVV mit Crewly Software (Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO) verbindlich ab. Eine separate Unterzeichnung ist nicht erforderlich.
Auf Wunsch stellt der Anbieter den AVV als unterzeichnetes PDF bereit. Anfrage an support@crewly-software.de.
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
Gegenstand: Bereitstellung der Crewly-SaaS-Plattform (Web + iOS + Android) zur Verwaltung von Personal, Kunden, Projekten, Zeiterfassung, Schichtplanung, Belegverwaltung und Lohnabrechnung.
Dauer: Der AVV beginnt mit Vertragsabschluss und endet mit Beendigung des Hauptvertrags (Kündigung des Crewly-Abos).
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Bereitstellung der Software-Funktionen entsprechend dem vom Kunden gewählten Tarif. Konkret: Datenerhebung, Datenspeicherung, Datennutzung, Datenübermittlung an Subunternehmer, Datenlöschung sowie Backup und Disaster Recovery.
§ 3 Art der personenbezogenen Daten
- Stammdaten (Name, E-Mail, Telefon, Adresse) der Mitarbeiter:innen und Kund:innen
- Vertrags- und Abrechnungsdaten
- Arbeitszeiten, GPS-Standortdaten (nur bei Schichtstart/-ende)
- Lohnabrechnungsdaten (Steuerklasse, Sozialversicherungs-Nr., Gehalt)
- Fotos und Unterschriften aus Protokollen
- Kommunikationsinhalte (Chat, Tickets)
- Belege und Rechnungsdaten
§ 4 Kategorien betroffener Personen
- Mitarbeiter:innen des Kunden
- Kund:innen des Kunden
- Lieferanten/Sub-Unternehmer des Kunden
- Ansprechpartner:innen bei Behörden, Hausverwaltungen etc.
§ 5 Pflichten des Auftragsverarbeiters (Crewly)
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
- Vertraulichkeitsverpflichtung aller Mitarbeitenden mit Datenzugriff
- Implementation technischer und organisatorischer Maßnahmen (siehe Anlage 1)
- Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12-22 DSGVO)
- Unterstützung bei Datenschutz-Folgenabschätzungen (Art. 35) und der vorherigen Konsultation (Art. 36)
- Meldung von Datenschutzverletzungen ohne unverzüglich, spätestens innerhalb von 24 Stunden
- Löschung oder Rückgabe der Daten nach Vertragsende (siehe § 9)
§ 6 Pflichten des Verantwortlichen (Kunde)
- Sicherstellung der Rechtmäßigkeit der Datenverarbeitung gegenüber den betroffenen Personen
- Erteilung schriftlicher Weisungen an Crewly bei Bedarf
- Information der Mitarbeiter:innen über die GPS-Standorterfassung sowie ggf. Abschluss einer Betriebsvereinbarung gemäß § 87 Abs. 1 Nr. 6 BetrVG
- Erteilung der Einwilligung der betroffenen Personen, soweit erforderlich
- Einhaltung der Aufbewahrungs- und Löschfristen
§ 7 Subunternehmer (Sub-Auftragsverarbeiter)
Der Verantwortliche stimmt der Hinzuziehung folgender Subunternehmer zu (Stand 29.04.2026):
| Anbieter | Standort | Zweck |
|---|---|---|
| Supabase, Inc. | USA / EU (Frankfurt) | Datenbank, Auth, Storage, Edge Functions |
| Hetzner Online GmbH | Deutschland | Hosting Frontend + Marketing-Site |
| Stripe Payments Europe Ltd. | Irland (Mutterkonzern USA) | Zahlungsabwicklung |
| united-domains AG | Deutschland | SMTP E-Mail-Versand |
| Resend, Inc. | USA | E-Mail-Inbound (Belege) |
| Apple Inc. | USA | APNs Push iOS |
| Google LLC | USA | FCM Push Android, Gemini AI Beleg-OCR |
| DATEV eG | Deutschland | DATEV-Format-Export Lohnabrechnung (optional) |
| Sentry GmbH / Sentry Inc. | Österreich / USA | Crash-Reporting, Performance-Monitoring |
| Vercel, Inc. | USA | Hosting Marketing-Website (optional) |
Änderungen oder Ergänzungen der Subunternehmer-Liste werden dem Verantwortlichen mit angemessener Vorlaufzeit (mind. 30 Tage) per E-Mail oder durch Update dieser Seite mitgeteilt. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen widersprechen; in diesem Fall steht ihm ein Sonderkündigungsrecht zu.
§ 8 Datenübermittlung in Drittländer
Soweit Daten in Drittländer (insbesondere USA) übermittelt werden, stützt sich die Übermittlung auf:
- EU-US Data Privacy Framework (soweit Anbieter zertifiziert ist)
- Standardvertragsklauseln (SCC) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO
- Ergänzende technische Maßnahmen (Verschlüsselung in Transit + at Rest)
Eine Transfer Impact Assessment (TIA) wurde durchgeführt und kann auf Anfrage zur Verfügung gestellt werden.
§ 9 Löschung und Rückgabe von Daten
Nach Beendigung des Hauptvertrags werden die Kundendaten innerhalb von 30 Tagen gelöscht. Vor der Löschung erhält der Kunde die Möglichkeit, einen vollständigen Datenexport (DSGVO-konform, maschinenlesbar) über die App-Funktion herunterzuladen. Gesetzliche Aufbewahrungsfristen (z.B. für Rechnungen 10 Jahre nach § 147 AO) bleiben unberührt.
§ 10 Kontrollrechte des Verantwortlichen
Crewly weist die Einhaltung der vereinbarten Pflichten in geeigneter Weise nach (z.B. durch Prüfberichte unabhängiger Dritter, ISO-Zertifikate der Subunternehmer). Eine physische Vor-Ort-Prüfung ist mit angemessener Vorlaufzeit (mind. 30 Tage) und nach vorheriger Abstimmung möglich.
§ 11 Haftung
Die Haftung der Parteien aus diesem AVV richtet sich nach Art. 82 DSGVO sowie nach den Haftungsregelungen des Hauptvertrags (Crewly-AGB § 9).
§ 12 Schlussbestimmungen
Änderungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Gültigkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Anbieters.
Anlage 1 — Technische und organisatorische Maßnahmen (TOM)
1. Vertraulichkeit
- Zutrittskontrolle: Gebäudezugang nur für befugte Personen (gilt für Hetzner-Rechenzentren in DE)
- Zugangskontrolle: Authentifizierung mit E-Mail + Passwort (Argon2-Hash), optional 2FA via TOTP
- Zugriffskontrolle: Row-Level-Security (RLS) auf allen Datenbank-Tabellen, Mandantentrennung nach company_id
- Trennungskontrolle: Strikte logische Trennung der Kundendaten
- Pseudonymisierung: User-IDs sind UUIDs, Sentry-Logs ohne E-Mail/IP
2. Integrität
- Weitergabekontrolle: TLS 1.3 für alle Verbindungen, Verschlüsselung at Rest
- Eingabekontrolle: Audit-Logs über alle sensiblen Operationen (Login, Datenexport, Subscription-Change)
3. Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: Tägliche automatische Backups (Supabase), Disaster Recovery Plan
- Wiederherstellbarkeit: Restore-Procedure dokumentiert
4. Verfahren zur regelmäßigen Überprüfung
- Datenschutz-Management: Interne Dokumentation (DSFA, Verarbeitungsverzeichnis)
- Incident-Response-Plan: Datenschutzverletzungen werden binnen 24h dem Verantwortlichen gemeldet
- Auftragskontrolle: Auswahl der Subunternehmer nach Datenschutz-Kriterien, regelmäßige Überprüfung
- Session-Timeout: 30 Minuten Inaktivität (DSGVO-konform, konfigurierbar)
- Rate Limiting: Brute-Force-Schutz auf Login + sensitiven Endpoints
Stand: 29. April 2026 · Version 1.0