Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO für Minijobber- und Zeiterfassungsdaten in Erfasso.

Status dieses Dokuments

Entwurf zur Bereitstellung als AVV nach Art. 28 DSGVO. Vor dem Produktivstart ist dieser Vertrag anwaltlich zu prüfen; er ersetzt keine Rechtsberatung.

1. Vertragsparteien

Auftragsverarbeiter: Technikengel, Inhaber Luca Böhner (Einzelunternehmen), Wiesenstraße 11, 91322 Gräfenberg, Deutschland.

Verantwortlicher: der Kunde (Betrieb), der Erfasso zur Verarbeitung der Daten seiner Minijobber nutzt.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der SaaS-Bereitstellung von Erfasso. Die Dauer entspricht der Laufzeit des Nutzungsvertrags; nach Beendigung gelten die Regelungen zu Löschung und Rückgabe.

3. Art, Umfang und Zweck

Die Verarbeitung dient der Verwaltung von Minijobbern, Zeiteinträgen, Monatsübersichten, Warnungen und Exporten. Verarbeitet wird ausschließlich zur Erbringung der vereinbarten Leistung und nach dokumentierter Weisung des Verantwortlichen.

4. Datenarten und Kategorien betroffener Personen

Datenarten: Mitarbeiterstammdaten (Name), Stundenlohn, Arbeitstage, Zeiteinträge, Freitext-Notizen, Monatsabschlüsse, Export- und technische Accountdaten.

Betroffene Personen: Minijobber und Beschäftigte der Kunden-Betriebe.

5. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3)

Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung, verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, ergreift die Maßnahmen nach Art. 32 DSGVO und unterstützt den Verantwortlichen bei Betroffenenrechten sowie bei Pflichten nach Art. 33 bis 36.

6. Technische und organisatorische Maßnahmen (Art. 32)

Vorgesehen sind Zugriffsbeschränkungen, Mandanten-Isolation (Tenant-Trennung), verschlüsselte Transportwege (TLS), rollenbasierte Nutzung, BCrypt-Passwortspeicherung, Protokollierung sicherheitsrelevanter Ereignisse und regelmäßige Updates.

7. Unterauftragsverarbeiter (Art. 28 Abs. 4)

Eingesetzt werden: Hosting durch IONOS SE (Montabaur, Deutschland (EU)) sowie Stripe für die Zahlungsabwicklung. Weitere Unterauftragsverarbeiter werden vorab dokumentiert; der Verantwortliche kann widersprechen.

8. Löschung und Rückgabe nach Auftragsende

Nach Beendigung löscht oder anonymisiert der Auftragsverarbeiter die personenbezogenen Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Das Löschrecht einzelner Minijobber wird durch Anonymisierung der Klardaten umgesetzt.

9. Nachweise und Überprüfungen (Art. 28 Abs. 3 lit. h)

Der Auftragsverarbeiter stellt die zum Nachweis erforderlichen Informationen bereit und ermöglicht Überprüfungen. Der unterzeichnete AVV kann über info@swiftloom.de angefordert werden.