Horalis
← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO

Art. 1 – Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch [FIRMENNAME] („Auftragsverarbeiter“) im Auftrag des Kunden („Auftraggeber“) im Rahmen der Nutzung der SaaS-Lösung Horalis.

Der AVV gilt für die Dauer des Hauptvertrages. Nach dessen Beendigung richtet sich die weitere Verarbeitung nach Art. 9 dieses Vertrages.

Art. 2 – Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Bereitstellung der Horalis-Plattform. Dies umfasst insbesondere:

  • Zeiterfassung: Erfassung, Speicherung und Auswertung von Arbeitszeiten der Mitarbeiter des Auftraggebers
  • Urlaubsverwaltung: Bearbeitung und Genehmigung von Urlaubsanträgen
  • Krankmeldungsverwaltung: Erfassung und Verwaltung von Abwesenheiten
  • Reservierungsverwaltung: Buchung von Arbeits- und Parkplätzen
  • Berichtswesen: Erstellung von Auswertungen und Exporten

Art. 3 – Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

  • Stammdaten: Vor- und Nachname, E-Mail-Adresse
  • Arbeitszeiten: Stempelzeiten, Pausenzeiten, Überstunden
  • Urlaubstage: Urlaubsanträge, Genehmigungsstatus, Resturlaubskontingent
  • Krankmeldungen und sonstige Abwesenheiten
  • Stellenbuchungen und Standortinformationen
  • Rolleninformationen: Zugriffsrechte und Funktionen innerhalb des Systems

Art. 4 – Kategorien betroffener Personen

Von der Verarbeitung betroffen sind ausschließlich Mitarbeiter des Auftraggebers, die vom Auftraggeber als Nutzer in das System eingetragen werden, sowie Administratoren und Verwaltungspersonal des Auftraggebers.

Art. 5 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers hin zu verarbeiten
  • Zur Verschwiegenheit über alle im Rahmen des Vertrages bekanntgewordenen Daten
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe Art. 7)
  • Die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (siehe Art. 6)
  • Den Auftraggeber bei der Wahrnehmung der Rechte betroffener Personen zu unterstützen
  • Den Auftraggeber bei der Einhaltung seiner datenschutzrechtlichen Pflichten zu unterstützen
  • Nach Abschluss der Verarbeitungstätigkeit alle personenbezogenen Daten zu löschen oder zurückzugeben
  • Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen

Art. 6 – Unterauftragsverarbeiter

Der Auftraggeber erteilt seine allgemeine Genehmigung für den Einsatz der folgenden Unterauftragsverarbeiter:

Supabase Inc.

Leistung: Datenbankhosting, Authentifizierung, Dateispeicher
Serverstandort: Frankfurt am Main, Deutschland (AWS eu-central-1)

Vercel Inc.

Leistung: Hosting der Webanwendung und Serverless Functions
Serverstandort: Frankfurt am Main, Deutschland (fra1)

Stripe Inc.

Leistung: Zahlungsabwicklung und Rechnungsstellung
EU-Niederlassung; Verarbeitung im Rahmen des EU-U.S. Data Privacy Frameworks

Der Auftragsverarbeiter informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf Unterauftragsverarbeiter und gibt dem Auftraggeber damit die Möglichkeit, Einwände zu erheben.

Art. 7 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:

  • Verschlüsselung: TLS 1.3 für alle Datenübertragungen, AES-256 für Daten im Ruhezustand, bcrypt für Passwörter
  • Zugriffskontrolle: Row-Level Security (RLS) auf Datenbankebene, rollenbasierte Zugriffsverwaltung mit vier Berechtigungsebenen
  • Verfügbarkeit: Automatische Backups mit Point-in-Time Recovery, 99,9% Uptime-Garantie
  • Belastbarkeit: Automatische Skalierung, Monitoring und Alerting rund um die Uhr
  • Datentrennung: Mandantentrennung auf Datenbankebene, jedes Unternehmen hat ausschließlich Zugriff auf eigene Daten
  • Protokollierung: Revisionssichere Protokollierung sicherheitsrelevanter Ereignisse

[PLATZHALTER: Detaillierte TOM-Dokumentation nach Rechtsberatung ergänzen]

Art. 8 – Rechte der Betroffenen

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen (Art. 15–22 DSGVO).

Wenden sich betroffene Personen direkt an den Auftragsverarbeiter, wird dieser den Auftraggeber unverzüglich informieren und den Antrag an ihn weiterleiten.

Art. 9 – Löschung und Rückgabe

Nach Beendigung des Hauptvertrages hat der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben.

Der Auftraggeber hat das Recht, vor Löschung einen Datenexport zu beantragen. Die Löschung erfolgt innerhalb von [PLATZHALTER: FRIST] nach Vertragsende. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

Art. 10 – Kontroll- und Prüfungsrechte

Der Auftraggeber hat das Recht, die Einhaltung der Vorschriften über den Datenschutz und die vertraglichen Vereinbarungen beim Auftragsverarbeiter in angemessenem Umfang selbst oder durch einen beauftragten Dritten zu kontrollieren.

Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Audits, einschließlich Inspektionen.

Kontrollmaßnahmen sind dem Auftragsverarbeiter mit angemessenem Vorlauf anzukündigen. [PLATZHALTER: Ankündigungsfrist und weitere Details nach Rechtsberatung ergänzen]

Stand: [DATUM]