Startseite Features Preise Kontakt
Login Demo anfragen

Auftragsverarbeitungsvertrag (AV-Vertrag)

gemäß Art. 28 DSGVO, Stand: 25.06.2026

zwischen dem Kunden (nachfolgend „Verantwortlicher") und

Pegasus Copilot – Jannis Sternberg
E-Mail: support@pegasuscopilot.de
(nachfolgend „Auftragsverarbeiter")

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen auf Grundlage dieses Vertrages. Der Gegenstand der Verarbeitung ergibt sich aus der Nutzung der SaaS-Plattform „Pegasus Copilot" zur digitalen Abwesenheitsverwaltung und Personalorganisation.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (AGB). Nach Beendigung des Vertragsverhältnisses werden die Daten gemäß § 10 dieses Vertrages gelöscht.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Mitarbeiterstammdaten
  • Verwaltung von Abwesenheiten (Urlaub, Krankmeldungen, Sonderanträge)
  • Schichtplanung und Einsatzplanung
  • Dokumentenverwaltung (Arbeitsverträge, Bescheinigungen)
  • Benachrichtigungen und Genehmigungsworkflows
  • Erstellung von Berichten und Auswertungen

Zweck: Bereitstellung der vertraglich vereinbarten SaaS-Dienstleistung.

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

KategorieDatenRechtsgrundlage
Stammdaten Name, E-Mail-Adresse, Telefonnummer, Profilfoto, Benutzername Art. 6 Abs. 1 lit. b DSGVO
Beschäftigungsdaten Abteilung, Position, Rolle, Urlaubskontingent Art. 6 Abs. 1 lit. b DSGVO
Abwesenheitsdaten Urlaubsanträge, Sonderurlaub, Fortbildungen, Elternzeit Art. 6 Abs. 1 lit. b DSGVO
Gesundheitsdaten (Art. 9 DSGVO) Krankmeldungen (Zeitraum, ggf. AU-Bescheinigung) Art. 9 Abs. 2 lit. b DSGVO (Arbeitsrecht)
Schichtdaten Arbeitszeiten, Schichtzuweisungen Art. 6 Abs. 1 lit. b DSGVO
Dokumente Arbeitsverträge, Zeugnisse, Bescheinigungen Art. 6 Abs. 1 lit. b DSGVO

§ 4 Kreis der Betroffenen

Die Verarbeitung betrifft folgende Personengruppen:

  • Mitarbeiter und Beschäftigte des Verantwortlichen
  • Führungskräfte und Administratoren des Verantwortlichen

§ 5 Pflichten des Auftragsverarbeiters

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen gemäß Art. 29 DSGVO. Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)
  • Die gemäß § 6 genannten technisch-organisatorischen Maßnahmen einzuhalten (Art. 28 Abs. 3 lit. c DSGVO)
  • Unterauftragnehmer nur mit vorheriger Zustimmung des Verantwortlichen einzusetzen (Art. 28 Abs. 2 DSGVO)
  • Den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen
  • Den Verantwortlichen bei Datenschutzverletzungen unverzüglich zu informieren (Art. 33 Abs. 2 DSGVO)
  • Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
  • Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen

5.1 Weisungen

Weisungen des Verantwortlichen erfolgen grundsätzlich in Textform (z. B. E-Mail an support@pegasuscopilot.de). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung bis zur Klärung auszusetzen.

§ 6 Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter gewährleistet die folgenden Maßnahmen gemäß Art. 32 DSGVO:

6.1 Vertraulichkeit

  • Zutrittskontrolle: Serverstandort bei 24fire GmbH in deutschen Rechenzentren mit physischer Zugangskontrolle, Videoüberwachung und Zugangsprotokollierung
  • Zugangskontrolle: Authentifizierung über individuelle Benutzerkonten mit Passwortschutz; erzwungene Passwortänderung bei Erstanmeldung (needs_credential_change)
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Mitarbeiter, Führungskraft, Administrator) mit granularen Tab- und Funktionsberechtigungen; benutzerdefinierte Rollen mit individuellen Rechten
  • Trennungskontrolle: Mandantentrennung durch company_id auf Datenbankebene; jeder Kunde sieht ausschließlich eigene Daten

6.2 Integrität

  • Weitergabekontrolle: Verschlüsselte Datenübertragung via TLS/HTTPS; kein unverschlüsselter Datentransfer
  • Verschlüsselung at Rest: Personenbezogene Daten werden verschlüsselt gespeichert (Encryption at Rest auf Speicherebene). Backups werden ebenfalls verschlüsselt abgelegt
  • Pegasus Encryption (Dokumente & Gesundheitsdaten): Hochgeladene Dokumente – insbesondere Arbeitsunfähigkeitsbescheinigungen – sowie der Krankmeldungs-Grund werden mit AES-256-GCM verschlüsselt gespeichert. Die Entschlüsselungs-Schlüssel sind an die Authentifizierung (Passwörter) der berechtigten Nutzer gebunden; ein DB- oder Backup-Zugriff allein gibt die Inhalte nicht preis. Der Zugriff im laufenden Betrieb ist auf die berechtigten Personen der jeweiligen Firma beschränkt; ein protokollierter Notfallzugriff existiert ausschließlich für den Betreiber und ist durch eine offline gehaltene Passphrase geschützt (Art. 9 DSGVO – Gesundheitsdaten)
  • Eingabekontrolle: Audit-Logging aller relevanten Aktionen (Benutzeränderungen, Genehmigungen, Löschungen) mit Zeitstempel und Benutzer-ID

6.3 Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Hosting bei 24fire mit redundanter Infrastruktur in Deutschland; regelmäßige Backups der Datenbank
  • Wiederherstellbarkeit: Möglichkeit zur zeitnahen Wiederherstellung der Daten aus Backups
  • SLA: Angestrebte Verfügbarkeit von 99 % (siehe AGB § 4)

6.4 Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
  • Monitoring der Server- und Anwendungsprotokolle
  • Zeitnahe Installation von Sicherheitsupdates

6.5 Besondere Maßnahmen für Gesundheitsdaten (Art. 9 DSGVO)

  • Krankmeldungen sind nur für berechtigte Rollen (Führungskraft, Administrator) einsehbar
  • Mitarbeiter sehen ausschließlich ihre eigenen Krankmeldungen
  • Gesundheitsdaten werden nicht in E-Mail-Benachrichtigungen übertragen
  • Zugriff auf Gesundheitsdaten wird im Audit-Log protokolliert
  • Rechtsgrundlage: Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 BDSG (Beschäftigtendatenschutz)

§ 7 Unterauftragnehmer

Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein:

UnternehmenLeistungStandortDatenschutz
24fire GmbH Server-Hosting, Datenbankbetrieb Deutschland Datenschutzerklärung
Mollie B.V. Zahlungsabwicklung Niederlande (EU) Datenschutzerklärung

Der E-Mail-Versand (Bestätigungen, Benachrichtigungen) erfolgt über einen eigenen SMTP-Server unter der Domain pegasuscopilot.de.

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Einschaltung der oben genannten Unterauftragnehmer gemäß Art. 28 Abs. 2 DSGVO. Änderungen an der Liste der Unterauftragnehmer werden dem Verantwortlichen rechtzeitig (mindestens 14 Tage vorab) mitgeteilt. Der Verantwortliche kann innerhalb dieser Frist widersprechen. Bei Widerspruch steht dem Auftragsverarbeiter ein Sonderkündigungsrecht zu.

7.1 Drittstaatenübermittlung

Eine Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU/des EWR findet nicht statt. Sämtliche Datenverarbeitung erfolgt auf Servern in Deutschland. Sollte künftig eine Drittstaatenübermittlung erforderlich werden, erfolgt dies nur auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission oder unter Verwendung von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

§ 8 Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er hat insbesondere:

  • Die Einwilligung seiner Mitarbeiter zur Nutzung von Pegasus Copilot einzuholen, soweit erforderlich
  • Sicherzustellen, dass die Verarbeitung der Gesundheitsdaten (Krankmeldungen) auf einer gültigen Rechtsgrundlage beruht
  • Zugangsdaten vertraulich zu behandeln und den Zugang auf berechtigte Personen zu beschränken
  • Den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten feststellt

§ 9 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der technisch-organisatorischen Maßnahmen zu überprüfen. Dies kann erfolgen durch:

  • Einholung von Auskünften des Auftragsverarbeiters
  • Einsichtnahme in Zertifikate oder Prüfberichte
  • Vor-Ort-Kontrolle nach vorheriger Abstimmung (in der Regel mit einer Frist von 14 Tagen)

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Kontrollen und stellt die erforderlichen Informationen bereit.

§ 10 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Vertragsverhältnisses wird der Auftragsverarbeiter:

  • Sämtliche im Auftrag verarbeiteten personenbezogenen Daten löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht
  • Auf Wunsch des Verantwortlichen die Daten vor der Löschung in einem gängigen Format (CSV/JSON) exportieren und über einen gesicherten, verschlüsselten Downloadbereich übergeben
  • Die Löschung schriftlich bestätigen

Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 11 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet gegenüber betroffenen Personen für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht werden.

Gegenüber dem Verantwortlichen haftet der Auftragsverarbeiter nur für Schäden, die durch eine nicht ordnungsgemäße Erfüllung der ihm nach der DSGVO auferlegten Pflichten oder durch ein Handeln außerhalb oder entgegen den Weisungen des Verantwortlichen verursacht werden.

§ 12 Schlussbestimmungen

Dieser AV-Vertrag tritt mit Registrierung auf der Plattform Pegasus Copilot in Kraft und gilt für die Dauer des Vertragsverhältnisses.

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt das Recht der Bundesrepublik Deutschland.