Auftragsverarbeitungsvertrag

Gemäß Art. 28 DSGVO (Datenschutz-Grundverordnung)

Verantwortlicher

[KUNDENNAME]

[KUNDENSTRASSE]

[PLZ ORT], Deutschland

vertreten durch [PLACEHOLDER]

Auftragsverarbeiter

Packteam24.de Power GmbH

Am Altenwerder Kirchtal 1–3

21129 Hamburg, Deutschland

vertreten durch Przemyslaw Topolnicki, Geschäftsführer

§ 1 Einleitung, Geltungsbereich, Definitionen

1.1 Diese Vereinbarung regelt die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters (nachfolgend gemeinsam „Parteien") im Rahmen der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.

1.2 Diese Vereinbarung findet Anwendung auf alle Tätigkeiten, bei denen der Auftragsverarbeiter, seine Beschäftigten oder von ihm beauftragte Unterauftragnehmer personenbezogene Daten des Verantwortlichen verarbeiten.

1.3 In dieser Vereinbarung verwendete Begriffe sind im Sinne ihrer Definition in der DSGVO zu verstehen.

§ 2 Gegenstand und Dauer der Verarbeitung

2.1 Der Auftragsverarbeiter führt folgende Verarbeitungstätigkeiten durch: Erheben/Erfassen, Speichern, Nutzen etc. von Mitarbeiterdaten und Zeiterfassungsdaten von Mitarbeitern und Administratoren des Verantwortlichen zum Zweck der Zeit- und Anwesenheitserfassung.

2.2 Die Verarbeitung läuft unbefristet bis zur Kündigung dieser Vereinbarung oder des Hauptvertrages durch eine der Parteien.

§ 3 Art und Zweck der Datenverarbeitung

3.1 Der Verantwortliche nutzt die B2B-SaaS-Lösung „Workflex360 Time" des Auftragsverarbeiters. Dies umfasst Zeiterfassung (Web/Mobile/Kiosk), NFC-Check-in/Check-out sowie optional punktuellen GPS bei Zeiterfassungsereignissen.

3.2 Die Verarbeitung erfolgt durch: Erheben, Erfassen, Speichern, Auslesen, Nutzen, Übermitteln innerhalb des Tenants, Einschränken, Löschen sowie Führen von Sicherheits- und Systemprotokollen.

3.3 Die Verarbeitung dient den Zwecken der Zeit- und Anwesenheitserfassung, der Dokumentation, der internen Verwaltung und der Prozessoptimierung für den Verantwortlichen.

3.4 Folgende Kategorien personenbezogener Daten werden verarbeitet:

Mitarbeiter-ID
Name/Kürzel der Mitarbeiter
Zuordnungen (Abteilung/Standort/Position)
Zeiterfassungsereignisse (Zeitstempel, NFC-Tag-ID, Terminal-ID)
Optional: punktuelle GPS-Koordinaten bei Zeiterfassungsereignissen
Administratorenkontodaten (Name, geschäftliche E-Mail-Adresse)
Optional: Push-Tokens für mobile Push-Benachrichtigungen

3.5 Von der Verarbeitung betroffen sind: Mitarbeiter des Verantwortlichen und Administratoren des Verantwortlichen (B2B-Kontext).

§ 4 Pflichten des Auftragsverarbeiters

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder gemäß Weisungen des Verantwortlichen.

4.2 Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen Datenschutzvorschriften bekannt sind und er die Grundsätze einer ordnungsgemäßen Datenverarbeitung einhält.

4.3-4.9 Der Auftragsverarbeiter verpflichtet sich zur Wahrung der Vertraulichkeit, Schulung des Personals, Unterstützung des Verantwortlichen bei der Führung des Verarbeitungsverzeichnisses und der Durchführung von Datenschutz-Folgenabschätzungen.

4.10 Die Auftragsverarbeitung erfolgt grundsätzlich in Deutschland bzw. innerhalb EU/EWR (Cloud-Infrastruktur: Hetzner Online GmbH). Ein Transfer in Drittländer erfolgt nur unter Einhaltung geeigneter Garantien gemäß Kapitel V DSGVO.

§ 5 Technische und organisatorische Maßnahmen

Die in Anlage 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie stellen das vom Auftragsverarbeiter geschuldete Minimum dar.

§ 6-16 Weitere Bestimmungen

Die Vereinbarung enthält weitere Bestimmungen zu: Berichtigung, Löschung und Sperrung von Daten (§6), Unterauftragsverhältnissen (§7), Rechten und Pflichten des Verantwortlichen (§8), Mitteilungspflichten (§9), Weisungen (§10), Beendigung des Auftrags (§11), Vergütung (§12), Haftung (§13-13b), Vertragsstrafe (§14), außerordentlichem Kündigungsrecht (§15) sowie sonstigen Bestimmungen (§16).

Anlage 1 - Technische und organisatorische Maßnahmen

Zutrittskontrolle: Physischer Zugang zu Rechenzentren nur für autorisiertes Personal
Zugangskontrolle: RBAC, MFA für Administratoren, automatische Sperrung
Zugriffskontrolle: Mandantentrennung, Protokollierung aller Zugriffe
Weitergabekontrolle: TLS ≥ 1.2, Verschlüsselung ruhender Daten
Eingabekontrolle: Vollständige Protokollierung, unveränderliche Audit-Logs, 90 Tage Aufbewahrung
Verfügbarkeitskontrolle: Tägliche Backups, geo-redundante Speicherung, RTO/RPO ≤ 24h
Incident Response: Erste Reaktion ≤ 2 Stunden

Anlage 2 - Genehmigte Unterauftragnehmer

Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Deutschland

Leistungsumfang: Cloud-Hosting und Backup-Dienste in Deutschland oder EU

Apple Inc. (APNs)

One Apple Park Way, Cupertino, CA 95014, USA

Leistungsumfang: Zustellung von Push-Benachrichtigungen an iOS-Geräte

Status: optional / nur bei Aktivierung durch den Verantwortlichen

Google LLC (FCM)

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Leistungsumfang: Zustellung von Push-Benachrichtigungen an Android-Geräte

Status: optional / nur bei Aktivierung durch den Verantwortlichen

Zahlungsdienstleister (PSP)

Stripe / Paddle / Lemon Squeezy

Leistungsumfang: Zahlungsabwicklung

Status: optional / nur bei Aktivierung durch den Verantwortlichen

Anlage 3 - Weisungsberechtigte Personen

1. Weisungsberechtigt (Verantwortlicher):

[PLACEHOLDER_NAME], [PLACEHOLDER_FUNKTION], [PLACEHOLDER_EMAIL]

2. Weisungsempfangsberechtigt (Auftragsverarbeiter):

Workflex360 – Datenschutz / Support
privacy@workflex360.com

Dieser Auftragsverarbeitungsvertrag ist Bestandteil des SaaS-Hauptvertrages Workflex360 Time.