Auftragsverarbeitungsvertrag (AVV)

Vertragsparteien

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem Auftraggeber (nachfolgend „Verantwortlicher"), der sich bei DigiYourTime registriert, und der

DIGIROBE GmbH
Delmestraße 69
28199 Bremen, Deutschland
(nachfolgend „Auftragsverarbeiter")

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung der Software „DigiYourTime" zur digitalen Arbeitszeiterfassung. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Datenarten:

• Namen und E-Mail-Adressen der Mitarbeiter
• Arbeitszeiten (Ein- und Ausstempelzeiten)
• Vergütungsdaten: Stundenlohn und/oder monatliches Festgehalt der Mitarbeiter
• Beschäftigungsart (Vollzeit, Teilzeit, Minijob, Stundenlohn) und vertraglich vereinbarte Wochenstunden
• Urlaubsanspruch und Abwesenheiten (Urlaub, Krankheit, Sonstiges)
• Dienstplandaten
• Fahrzeugzuordnungen

Zweck der Verarbeitung ist die digitale Erfassung und Verwaltung von Arbeitszeiten, Dienstplänen und Abwesenheiten der Mitarbeiter des Verantwortlichen.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten
• alle zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten
• geeignete technische und organisatorische Maßnahmen zum Datenschutz umzusetzen
• den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung gegen geltendes Datenschutzrecht verstößt
• nach Beendigung des Vertrags alle personenbezogenen Daten zu löschen oder zurückzugeben

§ 4 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

• Verschlüsselung der Datenübertragung (TLS/HTTPS)
• Passwort-Hashing mit bcrypt
• Mandantentrennung: Jede Firma sieht ausschließlich ihre eigenen Daten
• Regelmäßige Datensicherungen
• Zugriffskontrolle durch rollenbasierte Rechtevergabe

§ 5 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting und Infrastruktur (Server in der EU)
• Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — Versand transaktionaler E-Mails (Passwort-Reset); Datenübermittlung in die USA auf Basis von Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung weiterer Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen, sodass dieser Widerspruch einlegen kann.

§ 6 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) im Rahmen des technisch Möglichen.

§ 7 Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens binnen 72 Stunden gemäß Art. 33 DSGVO, nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, um dem Verantwortlichen die Erfüllung seiner Meldepflicht zu ermöglichen.

§ 8 Weisungsrecht

Der Verantwortliche erteilt Weisungen grundsätzlich in Textform. In dringenden Fällen können Weisungen mündlich erteilt werden, sind jedoch unverzüglich schriftlich zu bestätigen. Weisungen erfolgen per E-Mail an: datenschutz@digirobe.com

§ 9 Laufzeit und Kündigung

Dieser Vertrag gilt für die Dauer des Nutzungsvertrags über DigiYourTime. Er endet automatisch mit Beendigung des Nutzungsvertrags. Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.