Auftrags-verarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: 9. Juli 2025

zwischen

dem Verantwortlichen (nachfolgend "Auftraggeber")
- dem Kunden der ZenTime-Software -

und

dem Auftragsverarbeiter (nachfolgend "Auftragnehmer")
ZenSoftware Solutions UG (haftungsbeschränkt)
Mergelheide 14a
33758 Schloß Holte-Stukenbrock

Inhaltsverzeichnis

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

1.1 Gegenstand
Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der cloudbasierten Zeiterfassungssoftware "ZenTime" durch den Auftragnehmer, bei der personenbezogene Daten der Mitarbeiter des Auftraggebers verarbeitet werden.

1.2 Dauer
Die Dauer dieses Auftragsverarbeitungsvertrages (AVV) richtet sich nach der Laufzeit des zwischen den Parteien geschlossenen Hauptvertrages (Software-Nutzungsvertrag).

1.3 Geltungsbereich
Dieser AVV gilt für alle Tätigkeiten, bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

§ 2 Art und Zweck der Verarbeitung

2.1 Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Mitarbeiterstammdaten
  • Erfassung und Verarbeitung von Arbeitszeitdaten (Check-in/Check-out)
  • Verwaltung von Pausenzeiten
  • Verwaltung von Abwesenheiten (Urlaub, Krankheit)
  • Berechnung von Arbeitszeiten und Überstunden
  • Erstellung von Berichten und Exporten
  • Schichtplanung und -verwaltung
  • QR-Code-basierte Zeiterfassung
  • Standorterfassung (nur bei ausdrücklicher Aktivierung)
  • Bereitstellung von Analysefunktionen

2.2 Der Zweck der Verarbeitung ist:

  • Digitale Arbeitszeiterfassung gemäß § 16 Abs. 2 ArbZG
  • Personalverwaltung und -planung
  • Lohnabrechnung (Datenbereitstellung)
  • Compliance mit arbeitsrechtlichen Vorschriften
  • Betriebliche Auswertungen und Optimierungen

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können folgende Kategorien personenbezogener Daten verarbeitet werden:

Stammdaten:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Mitarbeiter-ID
  • Profilbild (optional)
  • Abteilung/Position

Arbeitszeitdaten:

  • Check-in/Check-out Zeitstempel
  • Pausenzeiten
  • Arbeitszeitsalden
  • Überstunden/Minusstunden
  • Schichtpläne

Abwesenheitsdaten:

  • Urlaubstage
  • Krankheitstage
  • Sonstige Abwesenheiten
  • Krankmeldungen (Dokumente)

Technische Daten:

  • IP-Adressen (für Sicherheitszwecke)
  • Geräte-Identifikatoren (bei Kiosk-Nutzung)
  • Standortdaten (nur bei Aktivierung)
  • Zugriffsprotokoll

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO):
Gesundheitsdaten können im Rahmen der Krankmeldungsfunktion verarbeitet werden (Arbeitsunfähigkeitsbescheinigungen).

§ 4 Kreis der Betroffenen

Von der Auftragsverarbeitung betroffen sind:

  • Mitarbeiter des Auftraggebers
  • Freie Mitarbeiter/Freelancer des Auftraggebers
  • Praktikanten und Auszubildende
  • Leiharbeitnehmer
  • Sonstige für den Auftraggeber tätige Personen

§ 5 Pflichten des Auftragnehmers

5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers. Eine Verarbeitung zu eigenen Zwecken ist untersagt.

5.2 Der Auftragnehmer verpflichtet sich:

  • Die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO zu wahren
  • Die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO zu gewährleisten
  • Den Auftraggeber bei der Erfüllung der Betroffenenrechte zu unterstützen
  • Ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen
  • Bei Datenschutz-Folgenabschätzungen mitzuwirken

5.3 Der Auftragnehmer hat einen Datenschutzbeauftragten benannt, sofern gesetzlich erforderlich. Kontaktdaten werden dem Auftraggeber auf Anfrage mitgeteilt.

5.4 Die Mitarbeiter des Auftragnehmers wurden zur Vertraulichkeit verpflichtet und in den Datenschutz eingewiesen.

§ 6 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

Zutrittskontrolle:

  • Hosting in ISO 27001 zertifizierten Rechenzentren
  • Zutrittskontrolle durch den Hosting-Provider

Zugangskontrolle:

  • Individuelle Benutzerkonten mit sicheren Passwörtern
  • Automatische Sitzungsbeendigung bei Inaktivität
  • Verschlüsselte Passwort-Speicherung

Zugriffskontrolle:

  • Rollenbasierte Berechtigungskonzepte
  • Minimalprinzip bei Zugriffsrechten
  • Protokollierung von Administratorzugriffen
  • Regelmäßige Überprüfung der Berechtigungen

Weitergabekontrolle:

  • Verschlüsselte Datenübertragung (TLS 1.2 oder höher)
  • Sichere API-Authentifizierung
  • Protokollierung von Datenexporten

Eingabekontrolle:

  • Protokollierung von Dateneingaben und -änderungen
  • Unveränderbare Audit-Logs
  • Versionierung wichtiger Datensätze

Verfügbarkeitskontrolle:

  • Tägliche automatisierte Backups
  • Backup-Aufbewahrung für 30 Tage
  • Georedundante Speicherung
  • Disaster-Recovery-Plan
  • Regelmäßige Wiederherstellungstests

Trennungskontrolle:

  • Mandantenfähige Architektur
  • Logische Datentrennung auf Datenbankebene
  • Separate Verschlüsselungsschlüssel pro Kunde

Verschlüsselung:

  • Verschlüsselung sensitiver Daten (z.B. IBAN) in der Datenbank
  • TLS-Verschlüsselung für alle Verbindungen
  • Verschlüsselte Backups

§ 7 Unterauftragsverarbeiter

7.1 Der Auftragnehmer ist berechtigt, folgende Unterauftragsverarbeiter einzusetzen:

Unternehmen Leistung Standort
Amazon Web Services EMEA SARL Hosting, Datenspeicherung Frankfurt, Deutschland
one.com E-Mail-Versand EU
OpenAI, LLC AI-Assistenz (optional) USA*

* Datenübermittlung auf Basis von Standardvertragsklauseln

7.2 Der Auftragnehmer stellt sicher, dass alle Unterauftragsverarbeiter vertraglich zur Einhaltung der Datenschutzbestimmungen verpflichtet werden.

7.3 Änderungen bei Unterauftragsverarbeitern werden dem Auftraggeber mit einer Frist von 4 Wochen mitgeteilt. Der Auftraggeber kann binnen 2 Wochen widersprechen.

§ 8 Kontrollrechte des Auftraggebers

8.1 Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzbestimmungen zu kontrollieren.

8.2 Kontrollen können erfolgen durch:

  • Schriftliche Auskünfte des Auftragnehmers
  • Einholung von Zertifikaten und Nachweisen
  • Fragebögen zur Selbstauskunft
  • Nach vorheriger Ankündigung: Vor-Ort-Kontrollen

8.3 Der Auftragnehmer verpflichtet sich:

  • Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen
  • Bei Kontrollen angemessen mitzuwirken
  • Nachweise über getroffene Maßnahmen zu erbringen

8.4 Vor-Ort-Kontrollen:

  • Sind mindestens 14 Tage im Voraus anzukündigen
  • Dürfen den Geschäftsbetrieb nicht unverhältnismäßig stören
  • Sind auf max. einen Arbeitstag pro Jahr begrenzt
  • Kosten trägt der Auftraggeber

§ 9 Mitteilung bei Datenschutzverletzungen

9.1 Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, über:

  • Verletzungen des Schutzes personenbezogener Daten
  • Verdacht auf Datenschutzverletzungen
  • Verstöße gegen datenschutzrechtliche Bestimmungen
  • Unregelmäßigkeiten bei der Verarbeitung

9.2 Die Meldung enthält mindestens:

  • Art der Verletzung
  • Kategorien und Anzahl betroffener Personen
  • Kategorien und Anzahl betroffener Datensätze
  • Zeitpunkt und Dauer der Verletzung
  • Ergriffene Maßnahmen
  • Empfohlene Maßnahmen zur Schadensbegrenzung

9.3 Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Meldepflichten gegenüber Aufsichtsbehörden und Betroffenen.

§ 10 Weisungsrecht des Auftraggebers

10.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

10.2 Die Nutzung der Software gemäß Nutzungsvertrag gilt als Weisung. Darüber hinausgehende Weisungen bedürfen der Textform.

10.3 Weisungsberechtigte Personen:

  • Auftraggeber: Administratoren des Kundenaccounts
  • Auftragnehmer: Geschäftsführung und Datenschutzbeauftragter

10.4 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen geltendes Recht verstößt.

§ 11 Löschung und Rückgabe von Daten

11.1 Nach Beendigung des Auftragsverhältnisses:

  • 30 Tage Frist für Datenexport durch den Auftraggeber
  • Anschließende Löschung der Produktivdaten
  • Backups werden nach regulärem Backup-Zyklus (30 Tage) gelöscht
  • Gesamte Löschfrist: max. 60 Tage nach Vertragsende

11.2 Ausnahmen von der Löschpflicht:

  • Gesetzliche Aufbewahrungspflichten (z.B. § 16 ArbZG - 2 Jahre)
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

11.3 Die Löschung wird dem Auftraggeber auf Anfrage schriftlich bestätigt.

11.4 Test- und Ausschussmaterial wird unverzüglich gelöscht oder datenschutzgerecht vernichtet.

§ 12 Haftung

12.1 Für die Haftung der Parteien gelten die Regelungen des Hauptvertrages.

12.2 Der Auftragnehmer haftet gegenüber Betroffenen nicht für Schäden, die diese aufgrund einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleiden, sofern der Schaden nicht auf ein pflichtwidriges Verhalten des Auftragnehmers zurückzuführen ist.

12.3 Soweit der Auftraggeber gegenüber Betroffenen Schadensersatz leistet, bleibt ein Rückgriff gegenüber dem Auftragnehmer unberührt.

§ 13 Schlussbestimmungen

13.1 Dieser AVV tritt mit Unterzeichnung in Kraft und gilt für die Dauer des Hauptvertrages.

13.2 Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

13.3 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

13.4 Es gilt deutsches Recht. Gerichtsstand ist Bielefeld.

13.5 Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag haben die Regelungen dieses AVV Vorrang in Bezug auf datenschutzrechtliche Aspekte.

Vertragsabschluss

Dieser AVV wird elektronisch zwischen den Parteien geschlossen. Mit der Nutzung der ZenTime-Software und Akzeptanz der AGB gilt dieser AVV als vereinbart.

Auftragnehmer:
ZenSoftware Solutions UG (haftungsbeschränkt)
vertreten durch Dr. Kevin Krause
Geschäftsführer