Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen des Nutzungsvertrages über die Software heyKumpel (nachfolgend „Hauptvertrag"). Er gilt zwischen dem Kunden als Verantwortlichem und dem Anbieter als Auftragsverarbeiter und wird mit Abschluss des Hauptvertrages wirksam.

Parteien

Auftragsverarbeiter: CreateBetter.Design, Inhaber Christian Radmann-Bender, Im Holzwinkel 6, 53819 Neunkirchen-Seelscheid (Anbieter von heyKumpel).

Verantwortlicher: der Kunde, der heyKumpel im Rahmen seines Unternehmens nutzt und über die Zwecke und Mittel der Verarbeitung der eingegebenen Beschäftigtendaten entscheidet.

Inhalt

Gegenstand und Dauer
Art, Zweck und Umfang der Verarbeitung
Weisungsrecht
Pflichten des Auftragsverarbeiters
Technische und organisatorische Maßnahmen (TOM)
Unterauftragsverarbeiter
Unterstützung des Verantwortlichen
Meldung von Datenschutzverletzungen
Kontrollrechte und Nachweise
Löschung und Rückgabe
Haftung
Schlussbestimmungen

§ 1 Gegenstand und Dauer

(1) Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zum Zweck der Erbringung der im Hauptvertrag vereinbarten Leistungen (Arbeitszeiterfassung als Software-as-a-Service).

(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages. Eine Kündigung des Hauptvertrages gilt zugleich als Kündigung dieses AVV. Eine isolierte Kündigung dieses AVV ist ausgeschlossen, soweit die Verarbeitung für die Erbringung des Hauptvertrages erforderlich ist.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Zweck: Erfassung, Speicherung, Verwaltung und Auswertung von Arbeitszeiten der Beschäftigten des Verantwortlichen.

(2) Art der Daten: Stammdaten der Beschäftigten (z. B. Name), Arbeitszeitdaten (Beginn, Ende, Dauer, Pausen, Anwesenheit), projekt-/kundenbezogene Zuordnung von Zeiten sowie zugehörige Zeitstempel.

(3) Kategorien betroffener Personen: Beschäftigte des Verantwortlichen (Mitarbeiterinnen und Mitarbeiter) sowie die für die Verwaltung benannten Nutzer des Verantwortlichen.

(4) Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt. Eine Übermittlung in Drittländer erfolgt nicht.

§ 3 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen des Hauptvertrages und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.

(2) Weisungen werden grundsätzlich in Textform erteilt. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter

verarbeitet die Daten nur weisungsgebunden und zweckgebunden;
verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen;
ergreift die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe § 5 und Anlage TOM);
setzt weitere Auftragsverarbeiter nur unter den Voraussetzungen des § 6 ein;
unterstützt den Verantwortlichen nach Maßgabe von § 7;
löscht oder gibt die Daten nach Beendigung des Auftrags gemäß § 10 zurück;
stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung (§ 9).

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Diese umfassen insbesondere:

Verschlüsselung & Übertragungssicherheit: Übertragung ausschließlich verschlüsselt per SSL/TLS (HTTPS).
Vertraulichkeit / Zugriffskontrolle: Zugang zur Anwendung über persönliche, passwortlose Anmeldung (Magic-Link); rollenbasierte Zugriffsrechte; keine Weitergabe von Zugangsdaten.
Mandantentrennung: Daten jedes Kunden sind logisch von den Daten anderer Kunden getrennt; ein kundenübergreifender Zugriff ist ausgeschlossen.
Zutrittskontrolle: Betrieb in einem Rechenzentrum in Deutschland mit kontrolliertem physischem Zutritt (über den Hosting-Anbieter, siehe § 6).
Integrität: Arbeitszeiten werden mit serverseitigem Zeitstempel erfasst; nachträgliche Änderungen sind nachvollziehbar.
Verfügbarkeit & Belastbarkeit: regelmäßige Datensicherungen; Maßnahmen zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall.
Überprüfung: regelmäßige Überprüfung und Aktualisierung der Maßnahmen entsprechend dem Stand der Technik.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche stimmt dem Einsatz des folgenden Unterauftragsverarbeiters zu:

Hosting / Rechenzentrum: ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland (Serverstandort Deutschland).

(2) Der Auftragsverarbeiter informiert den Verantwortlichen rechtzeitig über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichen Grund widersprechen.

(3) Mit jedem Unterauftragsverarbeiter bestehen vertragliche Regelungen, die ein dem vorliegenden AVV entsprechendes Schutzniveau gewährleisten.

§ 7 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen und Zumutbaren bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).

§ 8 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden. Die Meldung enthält die nach Art. 33 DSGVO erforderlichen Angaben, soweit verfügbar.

§ 9 Kontrollrechte und Nachweise

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zum Nachweis der Einhaltung der in diesem AVV festgelegten Pflichten erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen. Überprüfungen sind rechtzeitig anzukündigen und so durchzuführen, dass der Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigt wird.

§ 10 Löschung und Rückgabe

Nach Abschluss der Verarbeitungstätigkeiten löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach Unionsrecht oder nationalem Recht eine Verpflichtung zur Speicherung besteht. Der Verantwortliche hat die Möglichkeit, seine Daten vor der Löschung innerhalb einer angemessenen Frist zu exportieren.

§ 11 Haftung

Für die Haftung gilt Art. 82 DSGVO. Im Verhältnis der Parteien untereinander gelten ergänzend die Haftungsregelungen des Hauptvertrages (AGB), soweit datenschutzrechtlich zulässig.

§ 12 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.

(2) Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

Stand: Juni 2026. Eine unterschriebene Ausfertigung dieses AVV stellen wir auf Anfrage gerne zur Verfügung.