AV-Vertrag (Auftragsverarbeitung)

Vertrag über die Verarbeitung von Daten im Auftrag

Die Parteien — Auftragnehmer und Verantwortlicher — schließen einen Vertrag zur Verarbeitung von Daten im Auftrag im Zusammenhang mit der Nutzung der Software „Zeiterfassung.APP“ auf Mietbasis und vereinbaren folgendes:

§ 1 Präambel

(1) Der Verantwortliche beauftragt den Auftragnehmer mit der Verarbeitung personenbezogener Daten unter Beachtung nachfolgender Regelungen.

(2) Im Rahmen der Leistungserbringung nach dem Hauptvertrag ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten des Verantwortlichen umgeht. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Daten des Verantwortlichen zur Durchführung des Hauptvertrags.

§ 2 Gegenstand des Auftrags und Konkretisierung des Auftragsinhalts

(1) Bei dem Hauptvertrag handelt es sich um den Software-Mietvertrag für die Zeiterfassungs-Software „Zeiterfassung.APP“, auf den hier verwiesen wird.

(2) Der Auftrag umfasst ausschließlich die in Anhang 1 beschriebene Dienstleistung (= Gegenstand der Auftragstätigkeit). Art und Zweck der vorgesehenen Verarbeitung personenbezogener Daten sowie die Art der Daten und die Kategorien betroffener Personen ergeben sich aus Anhang 1 dieser Vereinbarung.

(3) Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Eine — auch nur teilweise — Verlagerung der Dienstleistung oder eine Auftragserfüllung außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(4) Die Auftragserledigung durch den Auftragnehmer in Privatwohnungen erfolgt nur mit vorheriger schriftlicher Zustimmung durch den Verantwortlichen nach Vorlage eines Sicherheitskonzepts. Grundsätzlich ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicherzustellen; dies gilt auch für die Maßnahmen nach Art. 32 DSGVO.

§ 3 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Beurteilung der datenschutzrechtlichen Zulässigkeit der Auftragsverarbeitung gemäß Art. 6 Abs. 1 DSGVO, der Einhaltung gesetzlicher Bestimmungen des Datenschutzes sowie für die Wahrung der Rechte der Betroffenen gemäß Art. 12 bis 22 DSGVO verantwortlich. Der Auftragnehmer ist verpflichtet, alle Anfragen, sofern sie erkennbar ausschließlich an den Verantwortlichen gerichtet sind, unverzüglich an diesen weiterzuleiten.

(2) Der Verantwortliche erteilt alle Weisungen schriftlich oder in Textform. Er hat das Recht, dem Auftragnehmer Weisungen über Art, Umfang und Verfahren der Datenverarbeitung oder diesbezügliche Änderungen zu erteilen.

(3) Der Verantwortliche informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(4) Der Verantwortliche ist verpflichtet, die für die Leistungserbringung erforderlichen Angaben, Daten, Schriftstücke und Datenbestände dem Auftragnehmer rechtzeitig in der im Einzelnen vereinbarten Form zur Verfügung zu stellen.

(5) Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebs- und Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Vertrages bestehen.

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

(2) Der Auftragnehmer ist für die Beurteilung der Zulässigkeit der Auftragsverarbeitung mitverantwortlich.

(3) Er bestellt gegebenenfalls einen Datenschutzbeauftragten und teilt dessen Kontaktdaten mit.

(4) Der Auftragnehmer verarbeitet personenbezogene Daten nur nach Weisung des Verantwortlichen, sofern nicht zwingende gesetzliche Vorschriften etwas anderes verlangen.

(5) Alle Weisungen werden dokumentiert, um nachträgliche Änderungen auszuschließen.

§ 5 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer sichert gemäß Art. 32 DSGVO ein angemessenes Schutzniveau (Vertraulichkeit, Integrität, Verfügbarkeit) zu.

(2) Die Details zu den Maßnahmen finden sich in Anhang 2.

(3) Er gewährleistet, dass nur berechtigte Personen Zugriff haben.

(4) Er sorgt für Datensicherung gegen Verlust und Malware.

(5) Zur Risikobewertung ermittelt er Schutzbedarf und Schadenswahrscheinlichkeit.

(6) Anpassungen der Maßnahmen werden dokumentiert.

(7) Wartungen erfolgen nur nach Ankündigung und in gesicherter, verschlüsselter Form.

§ 6 Datengeheimnis und Vertraulichkeit

(1) Der Auftragnehmer behandelt alle vertraulichen Informationen als Betriebs- und Geschäftsgeheimnisse, auch nach Projektende.

(2) Er verpflichtet seine Mitarbeiter schriftlich zur Verschwiegenheit.

(3) Er verwendet die Daten nur für den Auftrag und trennt sie von anderen Datenbeständen.

(4) Kopien werden nur auf Weisung erstellt, ausgenommen gesetzliche Backups.

(5) Mitarbeiter gelten als anvertraute Personen nach § 203 StGB und werden entsprechend geschult.

§ 7 Unterstützung des Verantwortlichen

(1) Auskünfte an Dritte erteilt er nur mit schriftlicher Zustimmung des Verantwortlichen.

(2) Er reagiert umgehend auf Anfragen, damit Fristen eingehalten werden können.

(3) Betroffenenanfragen leitet er unverzüglich weiter und unterstützt bei der Erfüllung der Betroffenenrechte.

(4) Er befolgt Weisungen zur Berichtigung, Löschung oder Einschränkung von Daten.

(5) Er benennt einen Ansprechpartner für Auskunftspflichten.

(6) Er unterstützt bei Datenschutz-Folgenabschätzungen und Verzeichnisführung nach Art. 30 DSGVO.

§ 8 Weitere Auftragnehmer

(1) Subunternehmer dürfen nur nach Zustimmung des Verantwortlichen eingesetzt werden.

(2) Der Auftragnehmer informiert den Verantwortlichen über Name, Anschrift und Tätigkeit des Subunternehmers und wählt ihn sorgfältig aus.

(3) Drittstaaten-Subaufträge sind nur bei Einhaltung der Art. 44 ff. DSGVO zulässig.

(4) Die vorliegenden Regelungen gelten auch für Subunternehmer; der Verantwortliche kann Kontrollen durchführen.

(5) Schriftliche Verträge, regelmäßige Prüfungen und Haftungsregelungen sind sicherzustellen.

§ 9 Aufsichtsbehörden und Verstöße

(1) Ermittlungen durch Behörden werden unverzüglich an den Verantwortlichen gemeldet.

(2) Störungen und Datenschutzverletzungen meldet der Auftragnehmer sofort.

(3) Meldungen erfolgen nach Art. 33 Abs. 3 DSGVO; er unterstützt bei Meldepflichten nach Art. 33/34 DSGVO.

(4) Meldungen an Behörden erfolgen nur auf Weisung des Verantwortlichen.

(5) Er unterstützt bei Behördenkonsultationen.

§ 10 Löschung und Rückgabe von Daten

(1) Berichtigung, Löschung und Sperrung erfolgen nur auf Weisung des Verantwortlichen.

(2) Test- und Ausschussmaterial wird nach DIN 66399 vernichtet und nachgewiesen.

(3) Daten werden migrierbar übergeben oder so gelöscht, dass Rekonstruktion ausgeschlossen ist.

(4) Nach Abschluss erhält und löscht der Auftragnehmer Unterlagen und Datensätze gemäß Weisung; der Nachweis erfolgt in Textform.

(5) Längere Speicherung als vereinbart ist untersagt.

(6) Gesetzliche Aufbewahrungsfristen werden eingehalten und Daten datenschutzkonform gesperrt.

§ 11 Kontrollpflichten

(1) Der Verantwortliche darf während der Betriebszeiten Kontrollen zur Einhaltung der Datenschutz- und Sicherheitsvorgaben durchführen.

(2) Der Auftragnehmer unterstützt diese Kontrollen.

(3) Er liefert auf Anforderung alle Nachweise und gewährt Einsicht.

§ 12 Beginn und Ende des Vertrages

(1) Die Laufzeit entspricht der des Hauptvertrages.

(2) Der Verantwortliche kann bei schwerwiegenden Verstößen jederzeit ohne Frist kündigen.

§ 13 Schlussbestimmungen

Sollten einzelne Bestimmungen unwirksam sein, bleibt der Rest des Vertrags wirksam. Änderungen bedürfen der Schriftform.

Anhang 1: Auflistung der beauftragten Dienstleistungen

• Bereitstellung einer On-Premises-Zeiterfassungs-Software („Zeiterfassung.APP“)
• Support-Dienstleistungen (Anfragen, Fehleranalyse)
• Personalstammdaten (Name, Geburtsdatum, Abteilung, Urlaubsanspruch etc.)
• Arbeitszeiten, Projektzeiten, Urlaub, Krankheit, Termine
• Projektstammdaten (Kunde, Auftrag, Arbeitsschritt)
• Betroffene: Freie Mitarbeiter, Lohn- und Gehaltsempfänger, Kunden
• Zweck: Zeiterfassung, monatliche Stundenzettel, Auswertung für Lohnabrechnung und Projektcontrolling
• Weitere Auftragnehmer: Surfplanet GmbH (Server-Housing, Am Springborn 1, 51063 Köln)

Anhang 2: Technische und organisatorische Maßnahmen

Zutrittskontrolle zum Server

Maßnahmen, die geeignet sind, unbefugten Zutritt zu Datenverarbeitungsanlagen zu verhindern (z. B. Alarmanlage, biometrische Sperren, Videoüberwachung). Serverstandort: Am Springborn 1, 51063 Köln.

Zugangskontrolle

Maßnahmen zur Zugangskontrolle (Benutzerrechte, Passwortmanagement, VPN, Firewalls).

Zugriffskontrolle

Rollen- und Berechtigungskonzepte, Protokollierung, Daten-Trennung.

Weitergabekontrolle

VPN-Tunneling, Daten-Anonymisierung/Pseudonymisierung, E-Mail-Verschlüsselung, Dokumentation.

Eingabekontrolle

Protokollierung von Eingaben, Änderungen und Löschungen zur Nachvollziehbarkeit.

Auftragskontrolle

Sorgfältige Auswahl von Subunternehmern, schriftliche Weisungen, Kontrollrechte, Vertragsstrafen.

Verfügbarkeitskontrolle

USV, Klimatisierung, Backup- & Recovery-Konzepte, Notfallpläne.

Trennungsgebot

Physikalische und logische Mandantentrennung, Pseudonymisierung, Zweckkennzeichnung.

Anhang 3: Geheimhaltung

Verpflichtungserklärung zur Verpflichtung auf besondere Geheimhaltungspflichten — wird im Rahmen des Vertragsschlusses individuell erzeugt und unterzeichnet.

© 2026 TempoBill GmbH