Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag“ oder „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus dem zwischen ihnen geschlossenen Hauptvertrag ueber die Nutzung der SaaS-Anwendung „EMP-Control“ (nachfolgend „Hauptvertrag“) ergeben. Er gilt fuer saemtliche Taetigkeiten, bei denen der Auftragsverarbeiter im Rahmen des Hauptvertrags personenbezogene Daten fuer den Verantwortlichen verarbeitet.

Auftraggeber und Auftragnehmer werden nachfolgend einzeln auch „Partei“ und gemeinsam „Parteien“ genannt.

(1) Gegenstand: Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der SaaS-Anwendung EMP-Control. Diese umfasst insbesondere Zeiterfassung, Personalplanung, Schichtplanung, Auswertung von Arbeitszeiten, Lohn- und Stammdatenverwaltung sowie damit verbundene Hosting-, Support- und Wartungsleistungen.

(2) Dauer: Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Eine Kuendigung des Hauptvertrags fuehrt automatisch zur Beendigung dieses AVV.

(3) Art und Zweck der Verarbeitung: Die Verarbeitung erfolgt zur Erfuellung der vertraglichen Pflichten aus dem Hauptvertrag, insbesondere zur Bereitstellung der Software-Funktionen, zur Erfuellung gesetzlicher Pflichten des Auftraggebers (z. B. nach dem Arbeitszeitgesetz) sowie zur technischen Wartung und Weiterentwicklung der Anwendung.

(1) Kategorien betroffener Personen:

• Mitarbeiterinnen und Mitarbeiter des Auftraggebers
• Bewerberinnen und Bewerber sowie ehemalige Beschaeftigte
• Administratoren und sonstige Nutzer der Anwendung beim Auftraggeber
• Ggf. weitere mit dem Auftraggeber in Beziehung stehende Personen (z. B. externe Mitarbeiter, Leiharbeitnehmer)

(2) Arten der verarbeiteten personenbezogenen Daten:

• Stammdaten (Vor- und Nachname, Anschrift, Geburtsdatum, Geburtsort, Staatsangehoerigkeit)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Beschaeftigungsdaten (Eintrittsdatum, Austrittsdatum, Arbeitsverhaeltnis, Stundenlohn, Wochenstunden, Position, Abteilung)
• Steuer- und sozialversicherungsrechtliche Daten (Steuer-ID, Sozialversicherungsnummer, Krankenkasse, Konfession, Steuerklasse)
• Bankverbindungsdaten (IBAN, BIC, Kontoinhaber)
• Arbeitszeitdaten (Stempel-Zeiten, Pausen, Schichten, Abwesenheiten, Urlaubsanspruch, Krankmeldungen)
• Schicht- und Planungsdaten (Verfuegbarkeiten, Schichtwuensche, zugewiesene Schichten)
• Hochgeladene Dokumente und digitale Unterschriften (z. B. Vertraege, Bescheinigungen)
• Zugangs- und Protokolldaten (Login-Zeitpunkte, IP-Adresse, Geraeteinformationen, Audit-Logs)
• Ggf. besondere Kategorien personenbezogener Daten gemaess Art. 9 DSGVO (z. B. Gesundheitsdaten im Zusammenhang mit Krankmeldungen, Schwerbehinderung) – nur soweit vom Auftraggeber aktiv erfasst.

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, es sei denn, er ist gesetzlich zu einer abweichenden Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). In diesem Fall teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gruenden des oeffentlichen Interesses verbietet.

(2) Weisungen des Auftraggebers werden grundsaetzlich durch den Hauptvertrag, diesen AVV und die in der Anwendung getroffenen Konfigurationen erteilt. Einzelweisungen koennen darueber hinaus in Textform (z. B. per E-Mail) erteilt werden. Muendliche Weisungen sind unverzueglich in Textform zu bestaetigen.

(3) Der Auftragnehmer informiert den Auftraggeber unverzueglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstoesst (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchfuehrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestaetigt oder geaendert wird.

Der Auftragnehmer verpflichtet sich,

• personenbezogene Daten ausschliesslich nach dokumentierten Weisungen des Auftraggebers zu verarbeiten;
• alle zur Datenverarbeitung befugten Personen zur Vertraulichkeit zu verpflichten oder darauf zu achten, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO);
• geeignete technische und organisatorische Massnahmen (TOMs) gemaess Art. 32 DSGVO zu ergreifen und diese regelmaessig zu ueberpruefen (siehe Anlage 1);
• Unterauftragsverhaeltnisse nur unter den Voraussetzungen des § 7 dieses Vertrags einzugehen;
• den Auftraggeber gemaess Art. 28 Abs. 3 lit. e DSGVO mit geeigneten technischen und organisatorischen Massnahmen bei der Erfuellung seiner Pflichten zur Beantwortung von Antraegen betroffener Personen (Art. 12–23 DSGVO) zu unterstuetzen;
• den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschaetzung, vorherige Konsultation) zu unterstuetzen;
• dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfuegung zu stellen und Ueberpruefungen einschliesslich Inspektionen, die vom Auftraggeber oder einem von diesem beauftragten Pruefer durchgefuehrt werden, zu ermoeglichen und dazu beizutragen (Art. 28 Abs. 3 lit. h DSGVO);
• personenbezogene Daten nach Beendigung der Erbringung der Verarbeitungsleistungen nach Wahl des Auftraggebers entweder zu loeschen oder zurueckzugeben, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten besteht (siehe § 10);
• im Rahmen seiner Moeglichkeiten und gesetzlichen Verpflichtungen einen Datenschutzbeauftragten zu benennen, sofern eine solche Pflicht besteht. Der Auftragnehmer ist aktuell nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Datenschutzanfragen koennen direkt an info@emp-control.de gerichtet werden.

(1) Der Auftraggeber ist im Rahmen dieses Vertrags „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO. Er traegt die Verantwortung fuer die Rechtmaessigkeit der Datenverarbeitung sowie fuer die Wahrung der Rechte der betroffenen Personen.

(2) Der Auftraggeber hat den Auftragnehmer unverzueglich und vollstaendig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmaessigkeiten in Bezug auf datenschutzrechtliche Bestimmungen feststellt.

(3) Der Auftraggeber benennt dem Auftragnehmer einen Ansprechpartner fuer datenschutzrechtliche Fragen, der in der Regel der bei der Registrierung angegebene Administrator-Account ist.

(4) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhaeltnisses erlangten Kenntnisse von Geschaeftsgeheimnissen und Datensicherheitsmassnahmen des Auftragnehmers vertraulich zu behandeln.

(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Loeschung, Auskunft oder Datenuebertragbarkeit direkt an den Auftragnehmer, leitet dieser die Anfrage unverzueglich an den Auftraggeber weiter, sofern eine Zuordnung zum Auftraggeber moeglich ist.

(2) Der Auftragnehmer unterstuetzt den Auftraggeber im Rahmen seiner Moeglichkeiten bei der Erfuellung der Anfragen und der Ausuebung der Rechte betroffener Personen, insbesondere durch Bereitstellung geeigneter Funktionen in der Anwendung (z. B. Datenexport, Loeschmoeglichkeit von Mitarbeiterprofilen).

(1) Der Auftraggeber stimmt der Beauftragung der in Anlage 2 genannten Unterauftragsverarbeiter zu. Dabei handelt es sich insbesondere um Hosting-, Infrastruktur- und kommunikationsbezogene Dienstleister.

(2) Der Auftragnehmer informiert den Auftraggeber rechtzeitig vor der Hinzuziehung oder dem Austausch eines weiteren Unterauftragsverarbeiters in Textform (z. B. per E-Mail oder durch Information in der Anwendung). Der Auftraggeber kann einer beabsichtigten Aenderung innerhalb von 14 Tagen ab Zugang der Information aus wichtigem datenschutzrechtlichen Grund widersprechen. Erfolgt kein Widerspruch in dieser Frist, gilt die Aenderung als genehmigt. Bei berechtigtem Widerspruch kann der Auftragnehmer den Vertrag mit angemessener Frist kuendigen.

(3) Der Auftragnehmer waehlt die Unterauftragsverarbeiter unter besonderer Beruecksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Massnahmen sorgfaeltig aus und schliesst mit ihnen einen Vertrag, der den Anforderungen des Art. 28 DSGVO entspricht. Insbesondere werden den Unterauftragsverarbeitern dieselben Pflichten auferlegt, die dem Auftragnehmer in diesem Vertrag obliegen.

(4) Findet eine Verarbeitung in einem Drittland statt, stellt der Auftragnehmer sicher, dass ein angemessenes Datenschutzniveau gemaess Art. 44 ff. DSGVO besteht (z. B. durch Standardvertragsklauseln, EU-US Data Privacy Framework oder einen Angemessenheitsbeschluss).

(5) Nicht als Unterauftragsverhaeltnis im Sinne dieses Paragraphen gelten Nebenleistungen, die der Auftragnehmer zur Hilfstaetigkeit in Anspruch nimmt (z. B. Telekommunikation, Reinigung, Wachschutz). Der Auftragnehmer bleibt jedoch verpflichtet, auch hier ein angemessenes Schutzniveau sicherzustellen.

(1) Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Massnahmen zur Sicherheit der Datenverarbeitung gemaess Art. 32 DSGVO. Die Massnahmen werden waehrend der Vertragsdauer aufrechterhalten.

(2) Der Auftragnehmer ist berechtigt, die Massnahmen technisch und organisatorisch weiterzuentwickeln, soweit das Schutzniveau gleichwertig oder hoeher bleibt. Wesentliche Aenderungen werden dokumentiert und dem Auftraggeber auf Anfrage offengelegt.

(1) Der Auftragnehmer meldet dem Auftraggeber unverzueglich, spaetestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO), die im Rahmen der Auftragsverarbeitung beim Auftragnehmer oder einem Unterauftragsverarbeiter eintritt.

(2) Die Meldung enthaelt mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit diese zum Zeitpunkt der Meldung verfuegbar sind. Fehlende Informationen werden nachgereicht, sobald sie verfuegbar sind.

(3) Der Auftragnehmer unterstuetzt den Auftraggeber bei der Erfuellung seiner Meldepflichten gegenueber Aufsichtsbehoerden (Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO).

(1) Nach Beendigung des Hauptvertrags wird der Auftragnehmer saemtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers entweder loeschen oder in einem gaengigen, maschinenlesbaren Format zurueckgeben. Der Auftraggeber kann seine Wahl bis zu 30 Tage nach Vertragsende ausueben. Trifft er innerhalb dieser Frist keine Wahl, werden die Daten vom Auftragnehmer geloescht.

(2) Bestehende gesetzliche Aufbewahrungspflichten des Auftragnehmers (z. B. handels- oder steuerrechtliche Pflichten) bleiben unberuehrt. Soweit eine Loeschung wegen solcher Aufbewahrungspflichten nicht moeglich ist, werden die Daten gesperrt und nur noch zur Erfuellung der gesetzlichen Pflichten verarbeitet.

(3) Der Auftragnehmer bestaetigt dem Auftraggeber auf Verlangen schriftlich oder in Textform die ordnungsgemaesse Loeschung bzw. Rueckgabe der Daten.

(4) Backups, in denen die Daten enthalten sind, werden im Rahmen der ueblichen Backup-Rotation automatisch ueberschrieben und spaetestens nach 90 Tagen vollstaendig geloescht.

(1) Der Auftraggeber hat das Recht, sich von der Einhaltung der in diesem Vertrag getroffenen Regelungen sowie der datenschutzrechtlichen Pflichten beim Auftragnehmer zu ueberzeugen. Er kann hierzu Auskuenfte einholen, vorhandene Zertifikate, Pruefberichte oder Selbstauskuenfte einsehen oder nach vorheriger Anmeldung mit angemessener Frist (in der Regel mindestens 14 Tage) waehrend der ueblichen Geschaeftszeiten ohne Stoerung des Betriebsablaufs Inspektionen durchfuehren.

(2) Der Auftragnehmer ist berechtigt, fuer den durch Audits oder Inspektionen beim Auftragnehmer entstehenden Aufwand des Auftragnehmers eine angemessene Vergueutung in Hoehe von 100 EUR pro Stunde zu verlangen, sofern das Audit nicht durch einen konkreten Anlass (z. B. Datenschutzverletzungen) gerechtfertigt ist.

(3) Soweit moeglich, kommt der Auftragnehmer seinen Mitwirkungspflichten in erster Linie durch Vorlage geeigneter Nachweise (Zertifizierungen, aktuelle Pruefberichte unabhaengiger Pruefstellen, Selbstauskuenfte, Bestaetigungen ueber TOMs) nach.

(1) Fuer die Haftung der Parteien gelten die Regelungen des Hauptvertrags sowie die gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.

(2) Im Aussenverhaeltnis gegenueber den betroffenen Personen haftet jede Partei nach Massgabe des Art. 82 DSGVO. Im Innenverhaeltnis halten sich die Parteien gegenseitig von Anspruechen frei, soweit eine Partei einen Schaden ueberwiegend zu vertreten hat.

(1) Aenderungen und Ergaenzungen dieses Vertrags und aller seiner Bestandteile beduerfen der Textform. Dies gilt auch fuer den Verzicht auf dieses Formerfordernis.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Luecke enthalten, so bleiben die uebrigen Bestimmungen davon unberuehrt. An die Stelle der unwirksamen Bestimmung tritt die gesetzlich zulaessige Regelung, die dem mit der unwirksamen Bestimmung verfolgten Zweck am naechsten kommt.

(3) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(4) Gerichtsstand ist, soweit gesetzlich zulaessig, der Sitz des Auftragnehmers.

(5) Bei Widersprueechen zwischen diesem AVV und Regelungen des Hauptvertrags gehen die Bestimmungen dieses AVV vor.

Dieser AVV wird zwischen dem Auftraggeber und dem Auftragnehmer dadurch geschlossen, dass der Auftraggeber die Allgemeinen Geschaeftsbedingungen sowie die Datenschutzhinweise im Rahmen der Registrierung bzw. der Nutzung der Anwendung EMP-Control akzeptiert. Auf Wunsch des Auftraggebers stellt der Auftragnehmer den Vertrag zusaetzlich als unterzeichnetes PDF-Dokument zur Verfuegung. Eine Anforderung kann formlos ueber info@emp-control.de erfolgen.