Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO

zwischen dem Kunden der SaaS-Plattform SL-UP (nachfolgend „Auftraggeber") und

Software und Büroservice Christine Schremmer
Odenwaldring 13, 63500 Seligenstadt
E-Mail: info@sl-up.com
(nachfolgend „Auftragsverarbeiter")

§ 1 Gegenstand und Dauer

Gegenstand dieses Auftragsverarbeitungsvertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform SL-UP zur Abwesenheitsverwaltung, Schichtplanung und Zeiterfassung.

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des zwischen den Parteien geschlossenen Hauptvertrages über die Nutzung von SL-UP. Dieser AVV endet automatisch mit Beendigung des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Erbringung der vertraglich vereinbarten SaaS-Leistungen, insbesondere:

• Verwaltung von Abwesenheiten und Urlaubsanträgen
• Verwaltung von Schichtplänen und Schichtzuweisungen
• Zeiterfassung (Ein-/Ausstempelzeiten, Pausen, Arbeitsarten)
• Bereitstellung von Reports und Auswertungen
• Benutzerverwaltung und Zugriffssteuerung

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

• Stammdaten: Name, Vorname, E-Mail-Adresse, Benutzername, Abteilungszugehörigkeit
• Beschäftigungsdaten: Urlaubsanspruch, Eintrittsdatum, Rolle im System
• Abwesenheitsdaten: Urlaub, Krankheit, Homeoffice, sonstige Abwesenheitsarten, Datum und Dauer
• Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Krankheitstage, AU-/Krankheitsnachweise und Abwesenheitsanhänge, soweit diese Funktionen vom Auftraggeber genutzt werden. Diagnosen, Arztdaten und medizinische Detailangaben sind nicht vorgesehen und sollen nicht in Freitexten oder Anhängen hinterlegt werden.
• Zeiterfassungsdaten: Ein- und Ausstempelzeiten, Pausenzeiten, Arbeitsart (Büro, Homeoffice, Remote)
• Kommunikationsdaten: IP-Adressen, Browser-Informationen, Session-Daten, Zugriffszeiten

§ 4 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind folgende Kategorien von Personen:

• Beschäftigte des Auftraggebers (Mitarbeiter, Angestellte)
• Führungskräfte und Administratoren des Auftraggebers

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich zu folgenden Maßnahmen:

• Weisungsgebundenheit: Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), einschließlich der Übermittlung in Drittländer.
• Vertraulichkeit: Alle Personen, die Zugang zu personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht (Art. 28 Abs. 3 lit. b DSGVO).
• Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gem. Art. 32 DSGVO (siehe § 7 dieses Vertrages).
• Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und Datenübertragbarkeitspflichten gegenüber betroffenen Personen (Art. 28 Abs. 3 lit. e DSGVO).
• Löschung nach Vertragsende: Nach Beendigung der Auftragsverarbeitung werden alle personenbezogenen Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).
• Audits und Inspektionen: Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).

§ 6 Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gem. Art. 28 Abs. 2 DSGVO. Folgende Unterauftragsverarbeiter werden derzeit eingesetzt:

• Hetzner Online GmbH – Hosting und Serverinfrastruktur, Rechenzentren in Deutschland (ISO 27001 zertifiziert)
• Stripe Inc. – Zahlungsabwicklung, Datenverarbeitung in EU-Rechenzentren (EU-US Data Privacy Framework)
• Cloudflare Inc. (San Francisco, USA) – CDN, DDoS-Schutz und Bot-Schutz (Turnstile) auf der Login-Seite. Cloudflare agiert als Auftragsverarbeiter (Art. 28 DSGVO) für den CDN- und Bot-Schutz-Dienst. Alle HTTP-Anfragen laufen über Cloudflare-Infrastruktur (SSL-Terminierung am Edge). Rechtsgrundlage für den Drittlandtransfer: EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO) sowie EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914/EU) als ergänzende Garantie nach Art. 46 Abs. 2 lit. c DSGVO. Das Cloudflare Data Processing Addendum (DPA) ist abgeschlossen. Transfer Impact Assessment (TIA) dokumentiert.
• Hetzner SMTP – transaktionaler E-Mail-Versand, Rechenzentren in Deutschland (AVV, EU/EWR)
• Apple Inc. (Cupertino, USA) – Zustellung von Push-Benachrichtigungen der iOS-App über den Apple Push Notification service (APNs). Verarbeitet wird ausschließlich ein pseudonymes Geräte-Token sowie der Benachrichtigungsinhalt; nur relevant, wenn Nutzer Push-Benachrichtigungen in der iOS-App aktiviert haben (Opt-in). Rechtsgrundlage für den Drittlandtransfer: EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln als ergänzende Garantie.
• Google Ireland Ltd. / Google LLC – Google Tag Manager/Analytics auf öffentlichen Marketing-Seiten nur nach Analytics-Einwilligung sowie YouTube-Nocookie-Videos nur nach separater Aktivierung externer Medien; kein Tracking im eingeloggten Portal. Rechtsgrundlage für den Drittlandtransfer: EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln als ergänzende Garantie.

Über beabsichtigte Änderungen bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern wird der Auftraggeber mindestens 14 Tage vorab per E-Mail informiert. Der Auftraggeber hat das Recht, gegen solche Änderungen innerhalb von 14 Tagen nach Mitteilung schriftlich Einspruch zu erheben. Wird kein Einspruch erhoben, gilt die Zustimmung als erteilt. Im Fall eines berechtigten Einspruchs, dem der Auftragsverarbeiter nicht abhelfen kann, steht dem Auftraggeber ein außerordentliches Kündigungsrecht zu.

Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem AVV festgelegt. Sub-AV-Verträge werden dem Auftraggeber auf Anfrage zugänglich gemacht (Art. 28 Abs. 2 Satz 2 DSGVO).

Für den Fall, dass Unterauftragsverarbeiter in Drittländern außerhalb des EWR tätig sind, werden geeignete Garantien nach Art. 44 ff. DSGVO sichergestellt (EU-US DPF und/oder EU-Standardvertragsklauseln gem. Durchführungsbeschluss 2021/914/EU). Die vollständige Sub-AV-Liste mit Garantien ist im Trust-Center einsehbar.

§ 7 Technisch-Organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gem. Art. 32 DSGVO implementiert. Das vollständige TOM-Dokument ist einsehbar unter: sl-up.com/tom.php (auf Anfrage auch als PDF erhältlich unter info@sl-up.com).

Zutrittskontrolle

Physischer Schutz durch Hosting bei Hetzner Online GmbH in ISO 27001 zertifizierten Rechenzentren in Deutschland mit Zutrittskontrollsystemen, Videoüberwachung und Sicherheitspersonal.

Zugangskontrolle

Schutz vor unbefugter Systemnutzung durch individuelle Benutzerkonten mit Passwortschutz, optionale Zwei-Faktor-Authentifizierung (2FA), automatisches Session-Management mit Timeout und Sperrung nach fehlgeschlagenen Anmeldeversuchen.

Zugriffskontrolle

Sicherstellung, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen können, durch rollenbasierte Berechtigungen (Superadmin, Admin, Manager, Mitarbeiter), strenge Mandantentrennung und Prinzip der minimalen Rechte.

Weitergabekontrolle

Schutz bei Datenübertragung durch TLS-Verschlüsselung aller Verbindungen (HTTPS), verschlüsselte API-Kommunikation und sichere Zahlungsabwicklung über Stripe.

Eingabekontrolle

Nachvollziehbarkeit von Dateneingaben durch Audit-Log mit Protokollierung von Änderungen, Zeitstempel bei allen Datenoperationen und CSRF-Token-Schutz bei allen Schreiboperationen.

Verfügbarkeitskontrolle

Schutz gegen zufällige Zerstörung oder Verlust durch tägliche automatisierte Backups, Monitoring der Systemverfügbarkeit und angestrebte Verfügbarkeit von 99 % im monatlichen Durchschnitt.

Trennungsgebot

Getrennte Verarbeitung von Daten verschiedener Auftraggeber durch konsequente Mandantentrennung per tenant_id auf Datenbankebene, isolierte Datenbereiche pro Mandant und keine mandantenübergreifende Dateneinsicht.

§ 8 Informationspflichten und Kontrollrechte

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, damit der Auftraggeber die gesetzliche Meldefrist von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO) einhalten kann.

Die Meldung enthält mindestens:

• Art der Verletzung und betroffene Datenkategorien
• Ungefähre Anzahl betroffener Personen und Datensätze
• Voraussichtliche Folgen und ergriffene Abhilfemaßnahmen
• Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung der Pflichten gem. Art. 32 bis 36 DSGVO, insbesondere bei:

• Sicherstellung der Verarbeitungssicherheit
• Meldung von Datenschutzverletzungen an die Aufsichtsbehörde
• Benachrichtigung betroffener Personen
• Durchführung von Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO

Hinweis zur Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Der Auftraggeber ist als Verantwortlicher verpflichtet, für Verarbeitungen mit voraussichtlich hohem Risiko (insb. Gesundheitsdaten via Kranken-Absencen, AU-/Krankheitsnachweise, Abwesenheitsanhänge, Zeiterfassung und Beschäftigtendaten) eine DSFA zu prüfen bzw. durchzuführen. Der Auftragsverarbeiter stellt ein DSFA-Muster für SL-UP-Kunden aktiv im Onboarding sowie jederzeit unter info@sl-up.com bereit (Art. 28 Abs. 3 lit. f DSGVO). Die TOM-Dokumentation und eine Liste der verarbeiteten Datenkategorien stehen im TOM-Dokument zur Verfügung.

Der Auftraggeber hat das Recht, die Einhaltung dieses AVV durch Audits oder Inspektionen (auch durch beauftragte Dritte) zu überprüfen. Der Auftragsverarbeiter stellt hierfür die erforderlichen Informationen bereit und gewährt angemessenen Zugang. Audits sind mit angemessener Vorlaufzeit anzukündigen.

§ 9 Laufzeit und Kündigung

Dieser Auftragsverarbeitungsvertrag tritt mit Abschluss des Hauptvertrages in Kraft und endet automatisch mit dessen Beendigung.

Bei Beendigung des Hauptvertrages wird der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers entweder zurückgeben oder datenschutzkonform löschen. Die Löschung bzw. Rückgabe erfolgt innerhalb von 30 Tagen nach Vertragsende.

Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Verlangen schriftlich.

Bestehende gesetzliche Aufbewahrungspflichten (z. B. § 147 AO für Rechnungsdaten) bleiben hiervon unberührt.

§ 10 Geltung des Schweizer Datenschutzgesetzes (nDSG)

Für Auftraggeber mit Sitz in der Schweiz gilt dieser Vertrag ergänzend als Auftragsbearbeitungsvertrag im Sinne des Schweizer Datenschutzgesetzes (nDSG, in Kraft seit 01.09.2023). Der Auftragsverarbeiter verpflichtet sich zur Einhaltung der einschlägigen Bestimmungen des nDSG, insbesondere zur Unterstützung bei der Erfüllung von Betroffenenrechten nach Art. 25 und 32 nDSG sowie zur Meldung von Datenschutzverletzungen. Zuständige Aufsichtsbehörde für Auftraggeber in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB, www.edoeb.admin.ch).

Vertragsschluss

Dieser AVV wird durch die Nutzung der SaaS-Plattform SL-UP in Verbindung mit der Zustimmung zu den Allgemeinen Geschäftsbedingungen geschlossen. Er gilt als angenommen mit Beginn der Nutzung der Plattform.

Auftragsverarbeiter:
Software und Büroservice Christine Schremmer
Odenwaldring 13, 63500 Seligenstadt
E-Mail: info@sl-up.com