Auftragsverarbeitungsvertrag (AVV)
Präambel
Dieser Vertrag zur Auftragsverarbeitung regelt die datenschutzrechtlichen Rechte und Pflichten zwischen dem Kunden als Verantwortlichem und dem Anbieter der MeisterTakt-Software als Auftragsverarbeiter. Er ist Bestandteil des SaaS-Hauptvertrags einschließlich der dazugehörigen Allgemeinen Geschäftsbedingungen und findet auf alle Verarbeitungen personenbezogener Daten Anwendung, die der Auftragsverarbeiter im Auftrag des Verantwortlichen erbringt.
1. Gegenstand, Umfang und Dauer
Der Auftragsverarbeiter übernimmt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO. Gegenstand der Verarbeitung ist die Bereitstellung, der Betrieb, die Wartung, der Support sowie die technische Absicherung der MeisterTakt-SaaS-Software für das Management von HR-, ERP- und CRM-Prozessen.
Die Verarbeitung erfolgt ausschließlich für die Dauer des Hauptvertrags und endet mit dessen Beendigung, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen des Verantwortlichen entgegenstehen. Dieser AVV gilt spätestens mit Annahme des Angebots, Abschluss des Bestellprozesses oder anderweitiger Beauftragung der Software als geschlossen.
2. Art, Zweck und Kategorien der Verarbeitung
Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Strukturieren, Bereitstellen, Auslesen, Verwenden, Ändern, Übermitteln im Rahmen der beauftragten Nutzung, Einschraenken, Löschen und Vernichten von Daten im Rahmen der Softwarenutzung.
Zweck der Verarbeitung ist ausschließlich die vertragsgemaesse Bereitstellung der MeisterTakt-Software, die Verwaltung von Nutzerkonten, der technische Support, die Fehleranalyse, die Datensicherung sowie die IT-Sicherheitsüberwachung. Der Auftragsverarbeiter verarbeitet die Daten nicht für eigene Zwecke, insbesondere nicht für Profiling, Produktforschung oder unangekuendigte Analysen.
- Datenkategorien: Stamm-, Kontakt-, Vertrags-, Kommunikations-, Nutzungs-, Organisations- und Dokumentendaten
- Typische personenbezogene Daten: Name, E-Mail-Adresse, Telefonnummer, Rolle, Benutzerkennung, dienstliche Adressdaten, Personal- und Vertragsdaten, Arbeitszeit- und Einsatzdaten, hochgeladene Dokumente sowie CRM-Daten
- Betroffene Personengruppen: Mitarbeiter, Bewerber, Ansprechpartner, Kunden, Interessenten, Lieferanten sowie sonstige Nutzer oder Kontakte des Verantwortlichen
3. Weisungsrecht und Verantwortlichkeit
Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung, die Zulässigkeit der Datenübermittlung an den Auftragsverarbeiter sowie die Wahrung der Rechte betroffener Personen verantwortlich. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht.
Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, weist er den Verantwortlichen hierauf unverzüglich hin und darf die Umsetzung bis zur Bestätigung oder Änderung der Weisung aussetzen.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten vertraulich zu behandeln und nur solchen Personen Zugriff zu gewähren, die zur Verarbeitung berechtigt sind, auf Vertraulichkeit verpflichtet wurden und zuvor angemessen zum Datenschutz unterwiesen wurden.
Der Auftragsverarbeiter fuehrt ein dem Leistungsumfang angemessenes Verarbeitungskonzept, setzt geeignete Sicherheitsmaßnahmen um, dokumentiert diese nachvollziehbar und unterstuetzt den Verantwortlichen bei der Erfuellung von Nachweis-, Auskunfts- und Reaktionspflichten nach der DSGVO.
Behoerdliche Anfragen oder Offenlegungspflichten werden dem Verantwortlichen, soweit rechtlich zulässig, unverzüglich mitgeteilt. Eine Herausgabe an Dritte erfolgt nur bei gesetzlicher Verpflichtung oder auf dokumentierte Weisung.
5. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft gemaeß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu gehoeren insbesondere:
- Zutritts-, Zugangs- und Zugriffskontrollen für Systeme, Konten und Daten
- Rollen- und Berechtigungskonzepte, Mandantentrennung sowie Protokollierung relevanter Zugriffe und Admin-Aktionen
- Verschlüsselung von Datenübertragungen nach dem Stand der Technik sowie sichere Passwort- und Authentifizierungsverfahren
- Datensicherungen, Wiederherstellungsverfahren, Notfallkonzepte und Maßnahmen zur Sicherstellung von Verfuegbarkeit und Belastbarkeit
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen
- Patch-, Update- und Schwachstellenmanagement sowie organisatorische Prozesse zur Behandlung von Sicherheitsvorfaellen
Der Auftragsverarbeiter darf die Maßnahmen an den technischen Fortschritt anpassen, solange das vereinbarte Schutzniveau nicht unterschritten wird.
6. Unterauftragsverhaeltnisse
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, zur Vertragserfuellung geeignete Unterauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter schließt mit diesen vertragliche Regelungen, die im Wesentlichen den Schutzpflichten dieses AVV entsprechen.
Zum aktuellen Stand werden insbesondere folgende Subdienstleister eingesetzt:
- Hetzner Online GmbH für Hosting- und Infrastrukturleistungen
- Cloudflare, Inc. für CDN-, Sicherheits- und Netzwerkinfrastrukturleistungen
- Stripe für Zahlungsabwicklung und abonnementsbezogene Abrechnungsprozesse
Wesentliche Änderungen bei Unterauftragsverarbeitern werden dem Verantwortlichen in geeigneter Form mitgeteilt. Sofern ein berechtigter datenschutzrechtlicher Grund vorliegt, kann der Verantwortliche einer solchen Änderung innerhalb angemessener Frist widersprechen.
7. Unterstuetzung und Mitwirkung
Der Auftragsverarbeiter unterstuetzt den Verantwortlichen im angemessenen Umfang bei der Erfuellung von Betroffenenrechten, bei der Beantwortung von Anfragen Aufsichtsbehoerden, bei Datenschutz-Folgenabschaetzungen sowie bei der Konsultation von Aufsichtsbehoerden nach Art. 35 und 36 DSGVO.
Soweit Leistungen über die vertraglich geschuldeten Standardleistungen hinausgehen, kann der Auftragsverarbeiter eine angemessene Vergütung verlangen, sofern dies vor Leistungserbringung transparent kommuniziert wird.
8. Kontrollrechte des Verantwortlichen
Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV und der gesetzlichen Datenschutzpflichten in angemessenem Umfang zu kontrollieren oder durch zur Verschwiegenheit verpflichtete Dritte kontrollieren zu lassen. Kontrollen sind rechtzeitig anzukuendigen, auf das erforderliche Maß zu beschraenken und haben die Betriebs- und Geschäftsgeheimnisse des Auftragsverarbeiters angemessen zu beruecksichtigen.
Der Auftragsverarbeiter kann den Nachweis seiner Compliance insbesondere durch aktuelle Dokumentationen, Selbstauskuenfte, Zertifizierungen, Auditberichte oder vergleichbare geeignete Nachweise erbringen.
9. Meldung von Datenschutzvorfaellen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten, ein erheblicher Sicherheitsvorfall oder ein Verdacht auf unbefugte Zugriffe im Zusammenhang mit den Auftragsdaten bekannt wird. Die Mitteilung erfolgt mit allen verfügbaren Informationen, die der Verantwortliche für eigene Melde- und Benachrichtigungspflichten benötigt.
10. Drittlandtransfers
Eine Verarbeitung in Staaten außerhalb der EU oder des EWR erfolgt nur, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden. Soweit Unterauftragsverarbeiter in Drittländern eingesetzt werden oder ein Zugriff aus Drittländern nicht ausgeschlossen werden kann, stellt der Auftragsverarbeiter geeignete Garantien wie Angemessenheitsbeschluesse oder Standardvertragsklauseln sicher.
11. Rückgabe und Löschung
Nach Beendigung des Hauptvertrags loescht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht. Gesetzlich erforderliche Restdaten werden bis zum Ablauf der Aufbewahrungsfrist gesperrt und anschließend gelöscht.
Soweit technisch möglich, unterstuetzt der Auftragsverarbeiter den Verantwortlichen bei der Migration oder Bereitstellung exportierbarer Datenformate im Rahmen der vereinbarten Leistungen.
12. Schlussbestimmungen
Im Fall von Widerspruechen zwischen diesem AVV und dem Hauptvertrag gehen die datenschutzrechtlichen Bestimmungen dieses AVV für die Verarbeitung personenbezogener Daten vor. Änderungen und Ergaenzungen dieses AVV beduerfen der Textform, soweit nicht zwingendes Recht eine strengere Form verlangt.