Zum Inhalt springen
U1-Optimierer

Auftragsverarbeitungsvertrag (AVV)

Stand: April 2026 · gemäß Art. 28 DSGVO

Vertragsparteien

Auftragsverarbeiter

Bluefield IT Solutions GmbH

Gauss Allee 1, 82008 Unterhaching, Deutschland

E-Mail: datenschutz@u1-optimierer.de

Auftraggeber

Das jeweilige Kundenunternehmen bzw. Partnerbüro, das sich über die Plattform u1-optimierer.de registriert und die Dienste des Auftragsverarbeiters nutzt (nachfolgend „Auftraggeber").

Dieser Vertrag wird im Rahmen der Registrierung auf der Plattform ausdrücklich einbezogen und durch Bestätigung in Textform geschlossen. Er ergänzt die Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters.

1Gegenstand, Dauer und Art der Verarbeitung

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers gemäß Art. 28 Abs. 3 DSGVO.

Gegenstand der Auftragsverarbeitung ist die Nutzung der SaaS-Plattform U1-Optimierer, über welche der Auftraggeber pseudonymisierte Entgeltdaten seiner Mitarbeitenden hochlädt und verarbeiten lässt, um wirtschaftlich sinnvolle U1-Tarifkonstellationen und Erstattungssätze zu ermitteln.

Die Verarbeitung erfolgt für die Dauer der Vertragsbeziehung zwischen den Parteien. Nach Beendigung des Vertrags gelten die Regelungen in Ziffer 10 (Löschung und Rückgabe).

Die Art der Verarbeitung umfasst insbesondere: Erhebung, Speicherung, Strukturierung, Analyse, Auswertung sowie Erstellung von Berichten und Exportdokumenten auf Basis der übermittelten Entgeltdaten.

Der Umfang der Auftragsverarbeitung umfasst zudem die im Rahmen der Plattformnutzung verarbeiteten Nutzerkonto- und Kommunikationsdaten des Auftraggebers, soweit diese für die Erbringung der vertraglich geschuldeten Leistungen erforderlich sind.

2Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich im Auftrag und nach Weisung des Auftraggebers zu folgenden Zwecken:

  • Tarifvergleich und Ermittlung des optimalen U1-Erstattungssatzes je Krankenkasse
  • Berechnung des wirtschaftlichen Einsparpotenzials für den Auftraggeber
  • Antragsvorbereitung und Erstellung von Berichts- und Exportdokumenten (PDF-Reporting)
  • Bereitstellung der Analyseergebnisse im Nutzerkonto des Auftraggebers

Eine Verarbeitung der Daten zu anderen Zwecken — insbesondere zu eigenen Zwecken des Auftragsverarbeiters — erfolgt nicht. Eine Zusammenführung mit Daten anderer Auftraggeber ist ausgeschlossen.

Die durch die Plattform berechneten Analyse- und Optimierungsergebnisse dienen ausschließlich der Entscheidungsunterstützung des Auftraggebers. Eine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO gegenüber den betroffenen Beschäftigten erfolgt nicht; sämtliche Maßnahmen auf Basis der Analyseergebnisse werden vom Auftraggeber eigenverantwortlich und auf eigene Initiative getroffen.

3Art der personenbezogenen Daten und Kategorien betroffener Personen

Kategorien betroffener Personen

Betroffene Personen sind Arbeitnehmerinnen und Arbeitnehmer des Auftraggebers (einschließlich ggf. geringfügig Beschäftigter), deren Entgeltdaten der Auftraggeber auf der Plattform verarbeiten lässt.

Verarbeitete Datenkategorien

Je nach Upload und Kontokonfiguration werden insbesondere folgende pseudonymisierte Entgeltdaten verarbeitet:

  • Mitarbeiter-Bezeichner (Kürzel, Pseudonym oder sonstiger nicht unmittelbar personenbezogener Identifikator)
  • Jahresbruttolohn
  • Krankheitstage bzw. Arbeitsfehltage
  • Beschäftigungstyp (z. B. Vollzeit, Teilzeit, geringfügig)
  • Aktuelle Krankenkasse des Mitarbeitenden
  • Berechnete optimale Tarif- und Krankenkassenkonstellation
  • Berechnetes Einsparpotenzial

Zusätzlich können im Rahmen der Plattformnutzung Kontaktdaten von Ansprechpartnern des Auftraggebers, insbesondere Name und E-Mail-Adresse, verarbeitet werden, soweit dies für die Nutzung der Plattform, die Authentifizierung, die Kommunikation oder die Bereitstellung der Leistungen erforderlich ist.

Vor- und Nachnamen von Mitarbeitenden werden vom Auftragsverarbeiter nicht gespeichert. Sollten solche Daten versehentlich in einer Upload-Datei enthalten sein, werden sie im Upload- und Vorverarbeitungsschritt ausgesondert und nicht in die Analyse übernommen. Der Auftraggeber ist ausdrücklich aufgefordert, statt Klarnamen Kürzel oder Pseudonyme zu verwenden.

4Pflichten und Rechte des Auftraggebers

Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO für die Verarbeitung der Beschäftigtendaten im Verhältnis zu seinen Mitarbeitenden. Er trägt die Verantwortung für die Rechtmäßigkeit der Übermittlung der Daten an den Auftragsverarbeiter.

Dem Auftraggeber obliegen insbesondere folgende Pflichten:

  • Sicherstellung einer geeigneten Rechtsgrundlage für die Übermittlung der Beschäftigtendaten (z. B. Art. 6 Abs. 1 lit. b oder lit. f DSGVO i. V. m. § 26 BDSG)
  • Information der betroffenen Beschäftigten über die Verarbeitung, soweit gesetzlich erforderlich
  • Unverzügliche Meldung von Änderungen an den Weisungen sowie an den zu verarbeitenden Datenkategorien
  • Dokumentation erteilter Weisungen
  • Prüfung und Abnahme der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters

Der Auftraggeber hat das Recht, die Einhaltung der DSGVO und dieses Vertrags durch den Auftragsverarbeiter jederzeit zu überprüfen (Kontrollrechte gemäß Ziffer 11).

Soweit übermittelte Daten besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten in Form von Krankheitstagen oder Arbeitsfehltagen, enthalten, stellt der Auftraggeber sicher, dass eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO, insbesondere in Verbindung mit § 26 Abs. 3 BDSG, besteht.

5Weisungsgebundenheit des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Weisungen des Auftraggebers können schriftlich (einschließlich per E-Mail) oder über die in der Plattform vorgesehenen Konfigurationsmöglichkeiten erteilt werden. Die im Rahmen der Nutzung der Plattform vorgenommenen Einstellungen sowie der Upload von Daten gelten als dokumentierte Weisung.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder sonstiges anzuwendendes Datenschutzrecht verstößt, informiert er den Auftraggeber unverzüglich.

Soweit die vom Auftraggeber übermittelten Daten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten — insbesondere Gesundheitsdaten in Form von Krankheitstagen oder Arbeitsfehltagen — verarbeitet der Auftragsverarbeiter diese ausschließlich auf explizite Weisung des Auftraggebers, ausschließlich zu den in § 2 genannten Zwecken und unter denselben technischen und organisatorischen Schutzmaßnahmen wie alle übrigen personenbezogenen Daten.

6Vertraulichkeitspflichten

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Zugang zu personenbezogenen Daten ist auf diejenigen Personen beschränkt, die ihn zur Erfüllung der vertraglichen Leistungen benötigen (Need-to-know-Prinzip). Alle Mitarbeitenden und eingesetzten Auftragnehmer des Auftragsverarbeiters, die Zugang zu personenbezogenen Daten des Auftraggebers haben, sind schriftlich auf die Vertraulichkeit verpflichtet.

Die Vertraulichkeitspflicht gilt über die Beendigung des Vertragsverhältnisses hinaus.

7Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen werden regelmäßig überprüft, bewertet und aktualisiert.

Vertraulichkeit

  • Verschlüsselung in der Übertragung: Alle Datentransfers zwischen Client und Server erfolgen ausschließlich über TLS 1.2 oder höher (HTTPS). Unverschlüsselte HTTP-Verbindungen werden auf HTTPS umgeleitet.
  • Verschlüsselung im Ruhezustand: Datenbankvolumes und Backups werden mittels AES-256 verschlüsselt auf den Speichermedien des Hosting-Dienstleisters abgelegt.
  • Zugriffskontrolle: Zugang zu Produktionssystemen und Datenbanken ist rollenbasiert (RBAC) geregelt. Zugänge werden nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) vergeben. Multi-Faktor-Authentifizierung ist für administrative Zugänge verpflichtend.
  • Pseudonymisierung: Mitarbeiterdaten werden ohne Klarnamen (nur Kürzel/Pseudonyme) verarbeitet. Die Zuordnung zwischen Pseudonym und tatsächlicher Person verbleibt beim Auftraggeber.
  • Passwortsicherheit: Passwörter von Nutzern werden ausschließlich als gesalzener Hash (bcrypt) gespeichert. Klartext-Passwörter werden zu keinem Zeitpunkt persistiert.

Integrität

  • Audit-Logs: Sicherheitsrelevante Ereignisse (Login, Fehlversuche, Datenexporte, Statusänderungen) werden protokolliert und für mindestens 90 Tage aufbewahrt.
  • Eingabevalidierung: Alle Eingaben werden serverseitig validiert. Upload-Daten werden gegen eine definierte Whitelist zulässiger Felder geprüft.

Verfügbarkeit und Belastbarkeit

  • Backup-System: Automatisierte tägliche Datenbank-Backups mit Aufbewahrung für mindestens 7 Tage. Backups werden verschlüsselt und geografisch redundant gespeichert.
  • Monitoring: Einsatz von Systemüberwachung mit automatisierten Alarmen bei Ausfällen oder ungewöhnlichem Verhalten.
  • Wiederherstellungsverfahren: Dokumentierte Prozesse zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall.

Überprüfung, Bewertung und Evaluierung

  • Regelmäßige interne Überprüfung der Sicherheitsmaßnahmen und Zugriffsrechte
  • Sicherheitsupdates für eingesetzte Software und Abhängigkeiten werden zeitnah eingespielt
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs

8Unterauftragsverarbeiter

Abs. 1 — Genehmigte Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter ein, denen der Auftraggeber hiermit generell zustimmt. Der Auftragsverarbeiter verpflichtet seine Unterauftragsverarbeiter vertraglich auf die Einhaltung der datenschutzrechtlichen Anforderungen dieser Vereinbarung.

AnbieterGeschäftssitzVerarbeitungsortZweckDrittlandtransfer
Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, DeutschlandDeutschland (EU)Hosting der Anwendungsserver und Datenbankbetrieb (PostgreSQL)Nein
1&1 Internet SE (IONOS)¹Elgendorfer Str. 57, 56410 Montabaur, DeutschlandDeutschland (EU)SMTP-Relay für transaktionale E-Mails (Produktiv-Versandweg)Nein

1 IONOS Auftragsverarbeitungsvertrag: ionos.de/terms-gtc/auftragsverarbeitung/

Abs. 2 — Änderungsverfahren

Der Auftragsverarbeiter informiert den Auftraggeber über beabsichtigte Änderungen bei der Hinzuziehung neuer oder bei der Auswechslung bestehender Unterauftragsverarbeiter spätestens 4 Wochen vor dem geplanten Einsatz in Textform, sodass dem Auftraggeber die Möglichkeit verbleibt, dieser Änderung zu widersprechen. Der Auftraggeber kann einem Wechsel aus wichtigem Grund widersprechen. Ein Widerspruch ist innerhalb von 2 Wochen nach Zugang der Benachrichtigung in Textform zu erklären.

Abs. 3 — Eigenständig Verantwortliche im Zahlungsverkehr

Für die Zahlungsabwicklung wird Stripe, Inc. (185 Berry Street, Suite 550, San Francisco, CA 94107, USA) eingesetzt. Stripe handelt dabei als eigenständig Verantwortlicher im Sinne der DSGVO und nicht als weisungsgebundener Auftragsverarbeiter im Rahmen dieses AVV. Die Verarbeitung personenbezogener Daten durch Stripe richtet sich nach dessen Datenschutzerklärung:

An Stripe werden ausschließlich die für die Zahlungsabwicklung erforderlichen Daten übermittelt (insbesondere: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsbetrag). Eine weitergehende Verarbeitung von Entgeltdaten der Beschäftigten des Auftraggebers durch Stripe erfolgt nicht.

9Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen des Möglichen dabei, seinen Pflichten zur Beantwortung von Anfragen betroffener Personen nachzukommen, die folgende Rechte geltend machen:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)

Entsprechende Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Auftraggeber weitergeleitet, sodass dieser seinen gesetzlichen Pflichten zur fristgerechten Beantwortung nachkommen kann.

Der Auftragsverarbeiter unterstützt den Auftraggeber ferner bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung, Meldung von Datenpannen).

10Löschung und Rückgabe nach Vertragsende

Nach Beendigung der Auftragsverarbeitung — gleich aus welchem Grund — sind alle personenbezogenen Daten des Auftraggebers auf Wahl des Auftraggebers entweder zurückzugeben oder zu löschen, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

Kontobezogene Analysedaten werden auf ausdrücklichem Wunsch des Auftraggebers oder spätestens innerhalb von 30 Tagen nach Vertragsende bzw. Kontoauflösung aus den aktiven Systemen gelöscht.

Backups werden spätestens 37 Tage nach Vertragsende vollständig gelöscht. Diese Frist ergibt sich aus dem 7-tägigen Backup-Rotationszyklus (das letzte Backup entsteht bis zu 7 Tage vor Vertragsende) zuzüglich des 30-tägigen Aufbewahrungszyklus. Während dieser Übergangszeit werden die in den Backups enthaltenen personenbezogenen Daten nicht aktiv verarbeitet und sind nicht über die Plattform zugänglich.

Der Auftraggeber hat das Recht, vor der Löschung einen Datenexport im JSON- oder CSV-Format über die Plattform zu veranlassen. Der Auftragsverarbeiter bestätigt dem Auftraggeber auf Anfrage die vollständige Löschung schriftlich.

11Nachweispflichten und Kontrollrechte

Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Auftraggeber oder einen vom Auftraggeber beauftragten Prüfer.

Zu diesem Zweck kann der Auftraggeber insbesondere:

  • Schriftliche Auskünfte zu den eingesetzten TOMs und Unterauftragsverarbeitern anfordern
  • Vorlage aktueller Nachweise zu Zertifizierungen oder Audits verlangen (soweit vorhanden)
  • Nach vorheriger angemessener Ankündigung und unter Berücksichtigung berechtigter Betriebs- und Geschäftsgeheimnisse Vor-Ort-Kontrollen oder Remote-Audits durchführen oder durch Dritte durchführen lassen

Audits sind dem Auftragsverarbeiter mindestens 4 Wochen im Voraus schriftlich anzukündigen. Sie sind auf die für die Auftragsverarbeitung relevanten Bereiche zu beschränken und dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen. Die Kosten von Vor-Ort-Kontrollen trägt grundsätzlich der Auftraggeber.

Datenpannen (Art. 33 DSGVO) werden dem Auftraggeber vom Auftragsverarbeiter unverzüglich nach interner Kenntnisnahme — spätestens innerhalb von 24 Stunden — in Textform mitgeteilt. Die Mitteilung enthält zumindest: Art der Verletzung, betroffene Datenkategorien und -mengen (soweit bekannt), voraussichtliche Folgen sowie ergriffene oder vorgeschlagene Abhilfemaßnahmen. Der Auftragsverarbeiter stellt dem Auftraggeber alle Informationen zur Verfügung, die für eine Bewertung sowie eine etwaige Meldung nach Art. 33 und 34 DSGVO erforderlich sind.

12Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO sowie den ergänzend anwendbaren gesetzlichen Haftungsvorschriften. Eine weitergehende Haftungsbeschränkung erfolgt nur, soweit gesetzlich zulässig.

Schäden, die darauf beruhen, dass der Auftraggeber unrichtige, unvollständige oder rechtswidrige Weisungen erteilt hat, gehen zu Lasten des Auftraggebers.

13Schlussbestimmungen

Anwendbares Recht

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des internationalen Privatrechts.

Gerichtsstand

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist München, Deutschland, soweit der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Rangverhältnis

Im Falle von Widersprüchen zwischen diesem AVV und den Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters gehen die Regelungen dieses AVV vor, soweit es um datenschutzrechtliche Fragen geht.

Schriftform und Änderungen

Änderungen oder Ergänzungen dieses Vertrags bedürfen der Textform. Der Auftragsverarbeiter behält sich das Recht vor, diesen Vertrag bei wesentlichen Änderungen der gesetzlichen Anforderungen oder der Verarbeitungstätigkeiten anzupassen. Der Auftraggeber wird über Änderungen spätestens 4 Wochen vor Inkrafttreten in Textform informiert. Widerspricht der Auftraggeber einer Änderung nicht innerhalb von 2 Wochen nach Zugang der Mitteilung, gilt die Änderung als angenommen. Auf diese Rechtsfolge wird in der Änderungsmitteilung ausdrücklich hingewiesen.

Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrags unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit des Vertrags im Übrigen unberührt. Die Parteien verpflichten sich, an Stelle der unwirksamen oder undurchführbaren Bestimmung eine dem wirtschaftlichen Zweck möglichst nahestehende wirksame Regelung zu vereinbaren.

Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag wenden Sie sich bitte an: datenschutz@u1-optimierer.de