Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO im Zusammenhang mit der Nutzung der HR-Software Arbeit360.

1. Vertragsparteien

Auftraggeber / Verantwortlicher
Das jeweils registrierte Unternehmen, das Arbeit360 nutzt (nachfolgend „Auftraggeber“).

Auftragsverarbeiter
Arbeit360
Inhaber: Adam Ioan-Alexandru
Häldenstr. 32
74248 Ellhofen
Deutschland

E-Mail: kontakt@arbeit360.de

2. Gegenstand des Vertrags

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung und Nutzung der cloudbasierten HR-Software Arbeit360.

Dieser Vertrag gilt für alle Tätigkeiten, bei denen Beschäftigten-, Nutzer- oder sonstige personenbezogene Daten durch Arbeit360 im Auftrag des Auftraggebers verarbeitet werden.

3. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags bzw. der aktiven Nutzung der Plattform Arbeit360.

Nach Beendigung des Nutzungsvertrags gelten die Regelungen dieses AVV fort, soweit sie Löschung, Rückgabe, Nachweis oder gesetzliche Aufbewahrungspflichten betreffen.

4. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der technischen Bereitstellung, Verwaltung und Nutzung der HR-Software Arbeit360.

Typische Verarbeitungszwecke:

Mitarbeiterverwaltung
Benutzer- und Rollenverwaltung
Urlaubs- und Abwesenheitsmanagement
Zeiterfassung und Arbeitszeitverwaltung
Aufgaben- und Organisationsmanagement
Dokumentenverwaltung / digitale Personalakte
Kommunikation und Support im Zusammenhang mit der Plattform
Datensicherung, Fehleranalyse und IT-Sicherheit

5. Art der personenbezogenen Daten

Je nach gebuchten Modulen und tatsächlicher Nutzung können insbesondere folgende Daten verarbeitet werden:

Stammdaten (z. B. Vorname, Nachname)
Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer, Anschrift)
Beschäftigtendaten (z. B. Rolle, Abteilung, Standort, Eintrittsdatum)
Arbeitszeitdaten und Schichtdaten
Abwesenheits-, Urlaubs- und Krankmeldedaten
Aufgaben-, Organisations- und Protokolldaten
Dokumente und Dateianhänge, sofern Upload-Funktionen genutzt werden
Login-, Zugriffs- und technische Nutzungsdaten

6. Kategorien betroffener Personen

Mitarbeiter und Beschäftigte des Auftraggebers
Bewerber, sofern Recruiting-Funktionen genutzt werden
Ansprechpartner und Nutzerkonten des Auftraggebers
Sonstige Personen, deren Daten durch den Auftraggeber in der Plattform verarbeitet werden

7. Weisungsrecht des Auftraggebers

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Verpflichtung zur Verarbeitung besteht.

Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

Hält der Auftragsverarbeiter eine Weisung des Auftraggebers für datenschutzrechtlich unzulässig, wird er den Auftraggeber hierauf unverzüglich hinweisen.

8. Pflichten des Auftragsverarbeiters

Verarbeitung der Daten nur im Rahmen dieses Vertrags und der Weisungen des Auftraggebers
Wahrung der Vertraulichkeit und Verpflichtung berechtigter Personen auf Vertraulichkeit
Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM)
Unterstützung des Auftraggebers bei Betroffenenrechten, Sicherheitsvorfällen und datenschutzrechtlichen Pflichten
Information des Auftraggebers bei Datenschutzverstößen oder Verdacht auf unbefugte Zugriffe
Nachweis der Einhaltung der vertraglichen und gesetzlichen Anforderungen auf angemessene Anfrage

9. Pflichten des Auftraggebers

Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
Der Auftraggeber prüft, ob die Nutzung von Arbeit360 für seine Zwecke datenschutzrechtlich zulässig ist.
Der Auftraggeber bleibt Verantwortlicher im Sinne der DSGVO.
Der Auftraggeber hat Arbeit360 unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten feststellt.

10. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen.

Beispiele für umgesetzte Maßnahmen:

Zugriffsbeschränkung und rollenbasierte Berechtigungen
Passwort-Hashing und abgesicherte Authentifizierung
SSL/TLS-Verschlüsselung bei Datenübertragung
Schutz vor unbefugtem Zugriff auf Systeme und Datenbanken
CSRF-Schutz, Session-Schutz und Eingabevalidierung
Protokollierung sicherheitsrelevanter Ereignisse
Datensicherungen / Backups
Verfügbarkeits- und Wiederherstellungsmaßnahmen
Trennung von Daten nach Mandanten / Kunden, soweit technisch vorgesehen

Der Auftragsverarbeiter kann die TOM bei technischem Fortschritt anpassen, sofern das Schutzniveau nicht unterschritten wird.

11. Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen, soweit dies für Hosting, Infrastruktur, technische Bereitstellung oder Support erforderlich ist.

Der Auftragsverarbeiter informiert den Auftraggeber über wesentliche Änderungen bei Unterauftragsverarbeitern in geeigneter Form.

Derzeit eingesetzte bzw. typische Unterauftragsverarbeiter / Kategorien:

Hosting- und Infrastruktur-Dienstleister (z. B. IONOS)
Mail-/SMTP-Dienstleister für System- und Kontakt-E-Mails, sofern eingesetzt
Technische Sicherheits- oder Anti-Bot-Dienste, sofern datenschutzrechtlich erforderlich und zulässig eingebunden

Mit Unterauftragsverarbeitern werden – soweit erforderlich – Verträge gemäß Art. 28 DSGVO geschlossen.

12. Verarbeitung in Drittländern

Eine Verarbeitung personenbezogener Daten in einem Drittland erfolgt nur, wenn die gesetzlichen Voraussetzungen nach Kapitel V DSGVO erfüllt sind.

Soweit Daten in Drittländer übermittelt werden, erfolgt dies nur auf Basis geeigneter Garantien, insbesondere anerkannter Standardvertragsklauseln oder anderer zulässiger Mechanismen.

13. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen des Zumutbaren dabei, Anträge betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch zu bearbeiten.

Gehen entsprechende Anfragen direkt beim Auftragsverarbeiter ein, wird dieser sie – soweit rechtlich zulässig – unverzüglich an den Auftraggeber weiterleiten.

14. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden, die Daten des Auftraggebers betreffen.

Die Information umfasst – soweit verfügbar – insbesondere Art der Verletzung, betroffene Datenkategorien, mögliche Auswirkungen und bereits ergriffene oder vorgeschlagene Maßnahmen.

15. Kontrollrechte / Nachweise

Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags und der datenschutzrechtlichen Anforderungen in angemessenem Umfang zu prüfen oder prüfen zu lassen.

Dies erfolgt grundsätzlich nach vorheriger Ankündigung, während üblicher Geschäftszeiten und unter Berücksichtigung berechtigter Geheimhaltungs- und Sicherheitsinteressen des Auftragsverarbeiters.

Der Auftragsverarbeiter kann geeignete Nachweise, Eigenerklärungen, TOM-Beschreibungen, Verträge oder vergleichbare Unterlagen bereitstellen.

16. Rückgabe und Löschung von Daten

Nach Beendigung der vertraglichen Leistungen wird der Auftragsverarbeiter personenbezogene Daten des Auftraggebers nach dessen Wahl zurückgeben oder löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Technisch bedingte Sicherungskopien und Backup-Daten können für einen begrenzten Zeitraum fortbestehen, werden jedoch weiterhin geschützt und nach Ablauf üblicher Backup-Zyklen gelöscht oder überschrieben.

17. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass nur solche Personen Zugriff auf personenbezogene Daten erhalten, die zur Durchführung dieses Vertrags erforderlich eingebunden sind und zuvor auf Vertraulichkeit verpflichtet wurden.

18. Haftung

Die Haftung richtet sich nach den gesetzlichen Vorschriften sowie den Vereinbarungen im zugrunde liegenden Nutzungsvertrag bzw. in den AGB, soweit diese wirksam einbezogen wurden.

19. Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform, soweit nicht eine strengere Form gesetzlich vorgeschrieben ist.

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Dieser AVV ergänzt den Nutzungsvertrag zwischen Auftraggeber und Auftragsverarbeiter.

Hinweis: Dieser AVV ist als praxistaugliche Website-/SaaS-Version für Arbeit360 formuliert. Bei individuellen Kundenanforderungen, besonderen Datenkategorien oder komplexen Integrationen sollte zusätzlich eine juristische Prüfung erfolgen.