Status dieses Dokuments
Entwurf zur Bereitstellung als AVV nach Art. 28 DSGVO. Vor dem Produktivstart ist dieser Vertrag anwaltlich zu prüfen; er ersetzt keine Rechtsberatung.
Rechtliches
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO für Minijobber- und Zeiterfassungsdaten in Erfasso.
Entwurf zur Bereitstellung als AVV nach Art. 28 DSGVO. Vor dem Produktivstart ist dieser Vertrag anwaltlich zu prüfen; er ersetzt keine Rechtsberatung.
Auftragsverarbeiter: Technikengel, Inhaber Luca Böhner (Einzelunternehmen), Wiesenstraße 11, 91322 Gräfenberg, Deutschland.
Verantwortlicher: der Kunde (Betrieb), der Erfasso zur Verarbeitung der Daten seiner Minijobber nutzt.
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der SaaS-Bereitstellung von Erfasso. Die Dauer entspricht der Laufzeit des Nutzungsvertrags; nach Beendigung gelten die Regelungen zu Löschung und Rückgabe.
Die Verarbeitung dient der Verwaltung von Minijobbern, Zeiteinträgen, Monatsübersichten, Warnungen und Exporten. Verarbeitet wird ausschließlich zur Erbringung der vereinbarten Leistung und nach dokumentierter Weisung des Verantwortlichen.
Datenarten: Mitarbeiterstammdaten (Name), Stundenlohn, Arbeitstage, Zeiteinträge, Freitext-Notizen, Monatsabschlüsse, Export- und technische Accountdaten.
Betroffene Personen: Minijobber und Beschäftigte der Kunden-Betriebe.
Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung, verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, ergreift die Maßnahmen nach Art. 32 DSGVO und unterstützt den Verantwortlichen bei Betroffenenrechten sowie bei Pflichten nach Art. 33 bis 36.
Vorgesehen sind Zugriffsbeschränkungen, Mandanten-Isolation (Tenant-Trennung), verschlüsselte Transportwege (TLS), rollenbasierte Nutzung, BCrypt-Passwortspeicherung, Protokollierung sicherheitsrelevanter Ereignisse und regelmäßige Updates.
Eingesetzt werden: Hosting durch IONOS SE (Montabaur, Deutschland (EU)) sowie Stripe für die Zahlungsabwicklung. Weitere Unterauftragsverarbeiter werden vorab dokumentiert; der Verantwortliche kann widersprechen.
Nach Beendigung löscht oder anonymisiert der Auftragsverarbeiter die personenbezogenen Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Das Löschrecht einzelner Minijobber wird durch Anonymisierung der Klardaten umgesetzt.
Der Auftragsverarbeiter stellt die zum Nachweis erforderlichen Informationen bereit und ermöglicht Überprüfungen. Der unterzeichnete AVV kann über info@swiftloom.de angefordert werden.