← Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: 14. Juni 2026

zwischen dem Auftraggeber (nachfolgend „Verantwortlicher")

— der registrierte gantt400-Nutzer bzw. Team-/Mandanten-Inhaber, der personenbezogene Daten Dritter (z. B. eingeladener Team-Mitglieder) über die Plattform verarbeitet —

und dem Auftragnehmer (nachfolgend „Auftragsverarbeiter")

BeyondWega UG (haftungsbeschränkt)
Auf dem Kamp 74
28865 Lilienthal, Deutschland
E-Mail: datenschutz@gantt400.com

— nachfolgend gemeinsam „Parteien" —

§ 1 Gegenstand und Dauer

1. Dieser AVV regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der Plattform „gantt400".
2. Dieser AVV wird mit der Nutzung der Team-/Mandanten-Funktionen (insbesondere der Einladung weiterer Mitglieder) wirksam und gilt für die Dauer des Nutzungsverhältnisses (vgl. AGB § 8). Er endet automatisch mit Beendigung des Hauptvertrags und vollständiger Löschung aller im Auftrag verarbeiteten Daten.
3. Die Einzelheiten der Verarbeitung, insbesondere Art, Zweck und Umfang, ergeben sich aus den nachfolgenden Bestimmungen und der Leistungsbeschreibung in den AGB (§ 3).

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

• Speicherung und Bereitstellung der vom Verantwortlichen eingegebenen Projekt-, Planungs- und Chronik-Daten
• Verwaltung der Team-Zusammenarbeit (Mitgliedschaften, Rollen, Einladungen) im Auftrag des Verantwortlichen
• Versand von Einladungs- und Benachrichtigungs-E-Mails an vom Verantwortlichen benannte Personen

Die Verarbeitung erfolgt ausschließlich gemäß den Weisungen des Verantwortlichen (vgl. § 5).

§ 3 Art der personenbezogenen Daten

Datenkategorie	Beispielfelder	Herkunft
Kontaktdaten	E-Mail-Adresse eingeladener Team-Mitglieder	Eingabe durch den Verantwortlichen
Mitgliedschaftsdaten	Rollen-/Berechtigungszuordnung im Team	Eingabe durch den Verantwortlichen
Inhaltsdaten	Projekt-/Aufgaben-/Chronik-Einträge, soweit personenbezogene Angaben enthalten	Eingabe durch den Verantwortlichen

Hinweis: gantt400 verarbeitet keine Finanz-, Zahlungs- oder Käuferdaten und ruft keine Daten über externe Verkaufs-Schnittstellen ab. Maßgeblich sind ausschließlich die vom Verantwortlichen selbst eingegebenen Daten.

§ 4 Kategorien betroffener Personen

• Vom Verantwortlichen eingeladene Team-Mitglieder
• Sonstige natürliche Personen, soweit der Verantwortliche personenbezogene Daten über sie in Projekt-/Chronik-Inhalte einträgt

§ 5 Pflichten und Weisungen

5.1 Weisungsgebundenheit

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der gantt400-Plattform inkl. der Konfiguration der Team-/Mandanten-Funktionen stellt die Weisung des Verantwortlichen dar.
2. Sofern der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen (Art. 28 Abs. 3 S. 3 DSGVO).

5.2 Pflichten des Verantwortlichen

1. Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass er berechtigt ist, die eingegebenen personenbezogenen Daten an gantt400 zu übermitteln.
2. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

Vertraulichkeit

• Zutrittskontrolle: Server-Infrastruktur bei Hetzner Online GmbH (zertifizierte Rechenzentren, ISO 27001) in Falkenstein, Deutschland
• Zugangskontrolle: Eigene Authentifizierung von gantt400 mit serverseitigem bcrypt-Passwort-Hashing; Sitzungsverwaltung über HMAC-signiertes, HttpOnly-Session-Cookie
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept, mandantenfähige Datentrennung (jeder Mandant sieht nur seine eigenen Daten)
• Trennungskontrolle: Logische Mandantentrennung auf Datenbankebene mittels Row-Level Security (transaktionslokaler tenant_id-Kontext)

Integrität

• Weitergabekontrolle: TLS-Verschlüsselung (TLSv1.2/1.3) für alle Datenübertragungen
• Eingabekontrolle: Protokollierung relevanter Datenänderungen, soweit eingerichtet

Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: Regelmäßige Datenbank-Backups
• Wiederherstellbarkeit: Dokumentiertes Backup-Restore-Verfahren

Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Überprüfung der TOMs und Anpassung an den Stand der Technik

§ 6a Vertraulichkeitspflicht

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

§ 7 Unterauftragsverarbeiter

1. Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

   Unterauftragsverarbeiter	Zweck	Standort	Transfergrundlage
   Hetzner Online GmbH	Server-Hosting, Datenbank	Falkenstein, Deutschland	Nicht erforderlich (EU)
   Resend, Inc. (ab Aktivierung transaktionaler E-Mails)	Transaktionale E-Mails (Einladungen, Benachrichtigungen)	USA	EU-US Data Privacy Framework

2. Der Verantwortliche stimmt dem Einsatz der vorstehend genannten Unterauftragsverarbeiter zu.
3. Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, innerhalb von 14 Tagen nach Mitteilung aus wichtigem Grund Widerspruch einzulegen.
4. Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).

§ 8 Meldepflichten bei Datenschutzverletzungen

1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (in der Regel innerhalb von 24 Stunden) nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
2. Die Meldung enthält mindestens:
   • Art der Verletzung
   • Betroffene Datenkategorien und ungefähre Anzahl betroffener Datensätze
   • Wahrscheinliche Folgen
   • Ergriffene oder vorgeschlagene Abhilfemaßnahmen
3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von dessen Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und gegenüber den betroffenen Personen (Art. 34 DSGVO).

§ 9 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung:

1. Bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte (Art. 15–22 DSGVO)
2. Bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO), soweit erforderlich

§ 10 Löschung und Rückgabe

1. Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche im Auftrag verarbeiteten personenbezogenen Daten entweder zurückgeben oder innerhalb von 30 Tagen löschen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO; vgl. AGB § 9). Trifft der Verantwortliche innerhalb der Frist keine Wahl, werden die Daten gelöscht.
2. Innerhalb der 30-Tage-Frist kann der Verantwortliche einen Datenexport (Rückgabe) über die gantt400-Plattform anfordern.
3. Die Löschung wird auf Anfrage des Verantwortlichen bestätigt.

§ 11 Kontroll- und Nachweispflichten

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
2. Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO). Der Verantwortliche kündigt Vor-Ort-Prüfungen mit angemessener Frist (mindestens 14 Tage) an.
3. Als Nachweis können auch geeignete Zertifizierungen oder aktuelle Prüfberichte unabhängiger Stellen dienen.

§ 12 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der Art. 82 ff. DSGVO in Verbindung mit den Haftungsregelungen der AGB (§ 6).

§ 13 Schlussbestimmungen

1. Bei Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen geht dieser AVV vor, soweit der Gegenstand den Datenschutz betrifft.
2. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand richtet sich nach § 12 der AGB.
3. Änderungen dieses AVV bedürfen der Textform.

Sprachversionen

Im Falle von Abweichungen zwischen der deutschen und einer etwaigen englischen Fassung dieses AVV ist die deutsche Fassung maßgeblich.

---

← Zurück zur Startseite