Auftragsverarbeitungsvereinbarung (AVV)

Präambel

Diese Auftragsverarbeitungsvereinbarung („AVV“) wird geschlossen zwischen dem Kunden, der die Plattform CoLeLa nutzt („Verantwortlicher“ oder „Auftraggeber“), und

KeyScan IT Solutions UG (haftungsbeschränkt)
Lars Wellendorf
Salinenstraße 19
99086 Erfurt
E-Mail: info@keyscan-it.de
Telefon: +49 (0) 361 74973-255

(„Auftragsverarbeiter“ oder „Auftragnehmer“).

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform CoLeLa. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Gegenstand dieser AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der CoLeLa-Plattform, die folgende Leistungen umfasst:

• Digitale Arbeitszeiterfassung und -verwaltung
• Abwesenheits- und Urlaubsverwaltung
• Mitarbeiterverwaltung (Stammdaten, Abteilungen, Standorte)
• Reporting und Auswertungen
• Wirtschaftsgüterverwaltung (Assets) inkl. Umsatzzuordnung
• Rollenverwaltung und Berechtigungssteuerung
• Benachrichtigungen (E-Mail, Push-Notifications)

1.2 Dauer

Die Vereinbarung gilt für die Dauer des Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer über die Nutzung der CoLeLa-Plattform. Sie endet automatisch mit Beendigung des Hauptvertrags (Kündigung des Abonnements), sofern keine gesetzlichen Aufbewahrungsfristen einer sofortigen Löschung entgegenstehen.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen der CoLeLa-Plattform. Die Art der Verarbeitung umfasst:

• Erhebung und Speicherung von Mitarbeiter-Stammdaten
• Erfassung und Berechnung von Arbeitszeiten, Überstunden und Pausen
• Verwaltung von Abwesenheitsanträgen und Urlaubskontingenten
• Zuordnung von Mitarbeitern zu Abteilungen, Standorten und Wirtschaftsgütern
• Erstellung von Berichten und Auswertungen
• Versand transaktionaler Benachrichtigungen (E-Mail, Push)
• Authentifizierung und Autorisierung von Benutzern

§ 3 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

• Mitarbeiter und Angestellte des Auftraggebers
• Aushilfen, Praktikanten und freie Mitarbeiter des Auftraggebers
• Administratoren und Teamleiter des Auftraggebers

§ 4 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Stammdaten: Vorname, Nachname, E-Mail-Adresse, Personalnummer
• Beschäftigungsdaten: Abteilung, Standort/Kostenstelle, Rolle, Stellenanteil, Eintrittsdatum, Austrittsdatum
• Arbeitszeitdaten: Stempelzeiten (Ein-/Ausstempeln), Pausenzeiten, Überstundensaldo
• Abwesenheitsdaten: Urlaubstage, Krankheitstage, Abwesenheitsanträge und -genehmigungen, Vertretungsregelungen
• Vergütungsdaten: Monatsgehalt (sofern im Kostenprofil hinterlegt), Urlaubsanspruch
• Organisationsdaten: Zuordnung zu Wirtschaftsgütern, Umsatzanteile
• Technische Daten: IP-Adresse, Browser-Informationen, Push-Subscription-Daten
• Authentifizierungsdaten: Passwort-Hashes, Anmeldetoken
• Dokumentendaten: Hochgeladene Dokumente (sofern Feature genutzt)

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

• personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
• alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen (siehe § 7);
• den Auftraggeber unverzüglich zu informieren, wenn nach seiner Auffassung eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt;
• den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen;
• den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung);
• nach Beendigung der Verarbeitung alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht;
• dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung zu stellen und Überprüfungen/Audits zu ermöglichen.

§ 6 Unterauftragsverarbeiter

Der Auftragnehmer bedient sich zur Erbringung der vertraglich vereinbarten Leistungen folgender Unterauftragsverarbeiter. Der Auftraggeber stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Abschluss dieser AVV zu.

Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informieren, wobei der Auftraggeber die Möglichkeit hat, gegen derartige Änderungen Einspruch zu erheben.

Mit allen Unterauftragsverarbeitern wurden Auftragsverarbeitungsverträge gemäß Art. 28 Abs. 4 DSGVO geschlossen. Für den Datentransfer in die USA wird das EU-US Data Privacy Framework als Transfermechanismus genutzt.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

7.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verschlüsselte Datenübertragung mittels TLS/SSL (HTTPS)
• Passwörter werden ausschließlich als kryptografische Hashes gespeichert (bcrypt)
• Mandantentrennung: Strikte Datenisolation zwischen Kunden auf Datenbankebene
• Rollenbasiertes Berechtigungssystem mit granularen Scopes (Eigene, Abteilung, Standort, Alle)
• Authentifizierung über signierte JWT-Tokens mit begrenzter Gültigkeitsdauer
• Zugriff auf Produktionssysteme ist auf autorisiertes Personal beschränkt

7.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Eingabevalidierung auf Server- und Client-Seite
• Schutz gegen SQL-Injection durch parametrisierte Abfragen (ORM)
• Schutz gegen Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF)
• Automatisierte Code-Reviews und Sicherheitsprüfungen

7.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Hosting auf einer hochverfügbaren Cloud-Infrastruktur (Vercel Edge Network)
• Datenbank-Hosting mit automatischen Backups und Point-in-Time-Recovery (Neon)
• Automatische Skalierung bei erhöhter Last
• Monitoring der Systemverfügbarkeit

7.4 Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

• Regelmäßige automatische Datenbank-Backups
• Wiederherstellungsverfahren sind dokumentiert und getestet
• Versionierung des Anwendungscodes mit Rollback-Möglichkeit

7.5 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
• Automatische Bereinigung temporärer und verwaister Daten (Cron-Jobs)
• Protokollierung sicherheitsrelevanter Ereignisse

§ 8 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat. Die Meldung enthält mindestens:

• eine Beschreibung der Art der Verletzung
• die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
• eine Beschreibung der wahrscheinlichen Folgen
• eine Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen

Die Meldung erfolgt per E-Mail an die dem Auftragnehmer bekannte Kontaktadresse des Auftraggebers. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 9 Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Der Auftraggeber kann vor der Löschung einen Export seiner Daten anfordern.

Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Der Auftragnehmer bestätigt die vollständige Löschung auf Anfrage schriftlich.

§ 10 Weisungsrecht des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich oder in elektronischer Form (E-Mail) erteilt werden.

Die Nutzung der CoLeLa-Plattform durch den Auftraggeber und dessen Konfiguration der Plattform (z.B. Aktivierung von Features, Rollenvergabe, Einrichtung von Abteilungen und Standorten) gelten als dokumentierte Weisungen im Sinne dieser Vereinbarung.

§ 11 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

Inspektionen einschließlich Überprüfungen können nach angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten durchgeführt werden, ohne den Betriebsablauf des Auftragnehmers unverhältnismäßig zu stören.

§ 12 Schlussbestimmungen

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Erfurt.