Auftragsverarbeitungsvertrag (AVV)

Der Verantwortliche nutzt die SaaS-Plattform Klok (klok-zeiterfassung.de) zur digitalen Zeiterfassung und Workforce-Verwaltung in seinem Unternehmen. Im Rahmen dieser Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten der Beschäftigten des Verantwortlichen auf dessen Weisung.

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die datenschutzrechtlichen Pflichten und Rechte der Parteien gemäß Art. 28 DSGVO und ist Bestandteil der zwischen den Parteien geschlossenen Nutzungsvereinbarung über die Klok-Plattform.

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen ausschließlich im Rahmen des Betriebs der Klok-Plattform zum Zweck der:

• digitalen Arbeitszeiterfassung (An-/Abmeldung, Pausenerfassung, Schichtzeiten)
• Verwaltung von Dienstplänen und Schichtplanung
• Verwaltung von Abwesenheiten (Urlaub, Krankheit, sonstige Abwesenheiten)
• Berechnung von Arbeitsstunden und Zeitkonten
• Bereitstellung von Mitarbeiter-Zugängen (Web-App, Terminal)
• Technischer Administration und Support

(2) Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

(3) Dieser Vertrag gilt für die gesamte Laufzeit der Nutzungsvereinbarung zwischen den Parteien.

(1) Kategorien betroffener Personen:

• Beschäftigte (Arbeitnehmer, Minijobber, Teilzeitkräfte) des Verantwortlichen
• Ggf. Praktikanten und Auszubildende

(2) Kategorien personenbezogener Daten:

(3) Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, es sei denn, der Verantwortliche erfasst im Freitextfeld oder in Abwesenheitstypen ausdrücklich Gesundheitsdaten (z.B. Krankmeldungen). In diesem Fall liegt die datenschutzrechtliche Verantwortung für die Rechtmäßigkeit dieser Verarbeitung beim Verantwortlichen.

(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, eine rechtliche Verpflichtung nach Unionsrecht oder dem Recht eines Mitgliedstaats schreibt eine andere Verarbeitung vor.

(2) Weisungen können schriftlich (auch per E-Mail) oder über die Konfigurationseinstellungen der Klok-Plattform erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich darüber. Der Auftragsverarbeiter ist berechtigt, die Ausführung der Weisung bis zur Klärung auszusetzen.

(4) Die Erteilung von Weisungen ist für den Verantwortlichen kostenfrei, soweit sie im Rahmen des normalen Nutzungsbetriebs liegen. Weisungen, die einen erheblichen Zusatzaufwand verursachen, können gesondert berechnet werden.

Der Auftragsverarbeiter verpflichtet sich:

1. die personenbezogenen Daten ausschließlich im Rahmen des vertraglich festgelegten Zwecks und auf Weisung des Verantwortlichen zu verarbeiten;
2. sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zu ergreifen (siehe Anlage 1);
4. die Bedingungen gemäß Art. 28 Abs. 2 und 4 DSGVO für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (siehe § 6 und Anlage 2);
5. alle erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen zu ermöglichen und zu unterstützen (Art. 28 Abs. 3 lit. h DSGVO);
6. den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, eine Weisung verstoße gegen die DSGVO oder andere Datenschutzvorschriften;
7. den Verantwortlichen bei der Einhaltung seiner Pflichten aus Art. 32–36 DSGVO zu unterstützen;
8. den Verantwortlichen unverzüglich – möglichst innerhalb von 72 Stunden – zu informieren, wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 DSGVO);
9. nach Beendigung der Verarbeitungsleistungen alle personenbezogenen Daten gemäß dem in § 12a festgelegten Verfahren zu löschen oder zurückzugeben;

(1) Der Verantwortliche ist verantwortlich für die Rechtmäßigkeit der Datenverarbeitung im Sinne von Art. 6 DSGVO, insbesondere für das Bestehen einer geeigneten Rechtsgrundlage.

(2) Der Verantwortliche informiert seine Beschäftigten gemäß Art. 13 DSGVO über die Verarbeitung ihrer Daten durch die Klok-Plattform. Der Auftragsverarbeiter stellt hierfür eine Informationsvorlage zur Verfügung.

(3) Der Verantwortliche erteilt Weisungen in dokumentierter Form und benennt eine oder mehrere weisungsberechtigte Person(en).

(4) Der Verantwortliche überprüft die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters vor Beginn der Verarbeitung und danach regelmäßig.

(5) Bei Betroffenenanfragen informiert der Verantwortliche den Auftragsverarbeiter, sofern dieser zur Erfüllung der Anfrage mitwirken muss.

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zur Inanspruchnahme von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO, vorbehaltlich der nachfolgenden Regelungen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen mit einer Ankündigungsfrist von mindestens 28 Tagen. Der Verantwortliche kann innerhalb von 28 Tagen schriftlich Einspruch erheben.

(3) Zum Zeitpunkt des Vertragsabschlusses sind folgende Unterauftragsverarbeiter genehmigt:

(4) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter denselben Datenschutzverpflichtungen unterliegen wie in diesem Vertrag festgelegt (Art. 28 Abs. 4 DSGVO).

(5) Eine aktuelle Liste aller Unterauftragsverarbeiter ist unter datenschutz@fatec.io erhältlich.

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen (Art. 15–22 DSGVO), insbesondere bei:

• Auskunftsersuchen (Art. 15): Bereitstellung der gespeicherten Daten in exportierbarem Format
• Berichtigungsanfragen (Art. 16): Korrektur unrichtiger Daten auf Weisung
• Löschanfragen (Art. 17): Löschung von Daten auf Weisung
• Einschränkungsanfragen (Art. 18): Einschränkung der Verarbeitung auf Weisung
• Datenübertragbarkeit (Art. 20): Datenexport in maschinenlesbarem Format (CSV/JSON)

(2) Wenden sich Betroffene direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

(3) Der Auftragsverarbeiter ist berechtigt, für die Unterstützung bei Betroffenenanfragen, die über den normalen Betrieb hinausgehen, eine angemessene Vergütung zu verlangen.

(1) Der Auftragsverarbeiter ergreift gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die detaillierte TOM-Dokumentation ist als Anlage 1 beigefügt.

(2) Wesentliche Maßnahmen umfassen:

• Verschlüsselung: TLS 1.2+ bei der Übertragung, AES-256 im Ruhezustand
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept, Mandantentrennung
• Authentifizierung: Gehashte Passwörter (bcrypt), gehashte PINs (PBKDF2)
• Verfügbarkeit: Tägliche Backups, redundante Infrastruktur
• Auditierbarkeit: Supabase SOC 2 Type II, Vercel ISO 27001 und SOC 2 Type 2

(3) Der Auftragsverarbeiter ist berechtigt, die TOMs weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

(2) Die Meldung enthält mindestens:

• Art der Verletzung
• Betroffene Datenkategorien und Anzahl der betroffenen Personen (soweit bekannt)
• Wahrscheinliche Folgen der Verletzung
• Ergriffene oder vorgeschlagene Maßnahmen

(3) Eine Meldung durch den Auftragsverarbeiter an Aufsichtsbehörden oder Betroffene erfolgt nur auf ausdrückliche Weisung des Verantwortlichen, es sei denn, der Auftragsverarbeiter ist hierzu gesetzlich verpflichtet.

(1) Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Bestimmungen und dieses Vertrags zu überprüfen. Kontrollen sind mit einer Ankündigungsfrist von mindestens 5 Werktagen schriftlich anzukündigen.

(2) Kontrollen können durchgeführt werden durch:

• Schriftliche Fragebögen und Dokumentenanforderungen (bevorzugt)
• Vorlage aktueller Zertifikate und Auditberichte (z.B. SOC 2 Report)
• Vor-Ort-Prüfungen (maximal einmal jährlich, Kosten trägt der Verantwortliche)

(3) Der Auftragsverarbeiter weist Prüfungen Dritter, die Wettbewerber des Auftragsverarbeiters sind, zurück.

(1) Dieser Vertrag beginnt mit der Unterzeichnung (bzw. digitalen Annahme) und läuft für die Dauer der Nutzungsvereinbarung über die Klok-Plattform.

(2) Er endet automatisch mit Beendigung der Nutzungsvereinbarung.

(3) Das Verfahren zur Löschung und Rückgabe personenbezogener Daten bei Vertragsende richtet sich nach § 12a dieses Vertrags.

(4) Der Auftragsverarbeiter übermittelt nach Abschluss des Löschprozesses gemäß § 12a proaktiv eine schriftliche Löschbestätigung.

(1) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie auf Weisung des Verantwortlichen zurück (Art. 28 Abs. 3 S. 2 lit. g DSGVO). Der Löschprozess erfolgt in vier Phasen:

• Phase 1 – Exportzeitraum (Tag 0–30): Der Verantwortliche erhält Lesezugriff auf alle Daten und kann einen vollständigen Self-Service-Export durchführen (CSV, JSON, PDF). Der Auftragsverarbeiter erinnert an Tag 0, 14 und 25 per E-Mail an die Exportmöglichkeit und die fortbestehenden gesetzlichen Aufbewahrungspflichten des Verantwortlichen (§147 AO, §257 HGB, §16 ArbZG).
• Phase 2 – Sperrung (Tag 31–60): Alle Zugänge werden gesperrt. Daten bleiben erhalten. Reaktivierung auf Anfrage möglich.
• Phase 3 – Anonymisierung (Tag 61–90): Personenbezogene Identifikatoren werden irreversibel anonymisiert. Zeiterfassungsdaten mit gesetzlicher Aufbewahrungspflicht werden in anonymisierter Form archiviert.
• Phase 4 – Löschbestätigung (ab Tag 90): Der Auftragsverarbeiter übermittelt proaktiv eine schriftliche Löschbestätigung. Backup-Löschung erfolgt innerhalb weiterer 30 Tage.

(2) Gesetzliche Aufbewahrungspflichten: Soweit gesetzliche Vorschriften eine längere Speicherung erfordern, werden die betroffenen Daten in anonymisierter Form aufbewahrt. Dies betrifft insbesondere:

• Arbeitszeitnachweise: 2 Jahre (§16 Abs. 2 ArbZG, §17 Abs. 2 MiLoG)
• Lohnsteuerlich relevante Zeitdaten: 6 Jahre (§41 Abs. 1 S. 9 EStG)
• Nachweise für steuerfreie Zuschläge (§3b EStG): 8–10 Jahre (§147 AO)
• Urlaubssalden: 3 Jahre (§195 BGB)

Die anonymisierten Archivdaten enthalten keine personenbezogenen Daten im Sinne der DSGVO (ErwG. 26).

(3) Der Auftragsverarbeiter weist den Verantwortlichen ausdrücklich darauf hin, dass der Verantwortliche als Arbeitgeber eigene Aufbewahrungspflichten hat (§147 AO, §257 HGB, §16 ArbZG). Der Verantwortliche ist verpflichtet, die hierfür erforderlichen Daten innerhalb der Export-Phase (Phase 1) zu sichern.

(4) Die Löschung erstreckt sich auf die Produktionsdatenbank, sämtliche Backups (innerhalb von 30 Tagen nach Produktionslöschung) und Supabase Storage. Der Auftragsverarbeiter veranlasst die Löschung bei allen Unterauftragsverarbeitern.

(5) Beim Ausscheiden einzelner Beschäftigter gilt: Der Verantwortliche initiiert die Deaktivierung über das Admin-Panel. Nach 30 Tagen erfolgt die automatische Anonymisierung personenbezogener Identifikatoren (Name, E-Mail, PIN). Zeiterfassungsdaten verbleiben anonymisiert für die Dauer der jeweiligen Aufbewahrungsfrist. Der Verantwortliche kann vor Ablauf der 30 Tage einen Datenexport des Mitarbeiterdatensatzes durchführen.

(1) Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO (Art. 82 DSGVO) sowie der zwischen den Parteien geschlossenen Nutzungsvereinbarung.

(2) Jede Partei haftet für Schäden, die durch eine ihr zurechenbare Verletzung der Pflichten aus diesem Vertrag oder der DSGVO entstehen.

(3) Hat der Auftragsverarbeiter nachgewiesen, dass er für einen Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich ist, ist er von der Haftung befreit (Art. 82 Abs. 3 DSGVO).

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform (E-Mail genügt).

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(3) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist Leipzig.

(4) Bei Widersprüchen zwischen diesem Vertrag und der Nutzungsvereinbarung hat dieser Vertrag in datenschutzrechtlichen Fragen Vorrang.

Alle US-Anbieter sind unter dem EU-US Data Privacy Framework zertifiziert und haben zusätzlich EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 abgeschlossen.

Bei Wegfall des Angemessenheitsbeschlusses zum EU-US Data Privacy Framework greifen die vereinbarten Standardvertragsklauseln (SCCs) automatisch als alleinige Übermittlungsgrundlage gemäß Art. 46 Abs. 2 lit. c DSGVO.

Änderungen dieser Liste werden dem Verantwortlichen mit mindestens 28 Tagen Vorlauf per E-Mail mitgeteilt.