Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO für Zeittel

Stand: 2026-04-19 · Version 1.0.0

zwischen

Amtro UG (haftungsbeschränkt), Knaackstr. 31, 10405 Berlin, E-Mail: info@amtro.de, Telefon: +49 15562 353691, Amtsgericht Charlottenburg, HRB 285846 B – nachfolgend „Auftragsverarbeiter“ –

und

dem jeweiligen Kunden von Zeittel – nachfolgend „Verantwortlicher“ –

1. Gegenstand und Dauer

1.1 Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der Software „Zeittel“.

1.2 Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags über die Nutzung von Zeittel. Dieser Vertrag endet spätestens mit vollständiger Beendigung der Auftragsverarbeitung.

2. Art und Zweck der Verarbeitung

2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten, um dem Verantwortlichen die Nutzung von Zeittel als System zur Zeiterfassung, Verwaltung, Auswertung und zum Export von Zeitdaten zu ermöglichen.

2.2 Die Verarbeitung umfasst insbesondere das Speichern, Strukturieren, Auslesen, Bereitstellen, Übermitteln, Exportieren, Protokollieren, Löschen und sonstige technische Verarbeiten personenbezogener Daten im Rahmen der vereinbarten Funktionen.

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Kategorien personenbezogener Daten können insbesondere sein: a) Stammdaten von Beschäftigten und sonstigen Nutzern, b) Kontaktdaten, c) Organisations- und Zuordnungsdaten, d) Zeiterfassungsdaten, Pausen, Abwesenheiten und zugehörige Änderungsdaten, e) PIN-bezogene Daten in gehashter Form, f) Geräte- und Zuordnungsdaten im Zusammenhang mit der Stempeluhr, g) Protokoll- und Auditdaten, soweit sie im Kundenkonto anfallen.

3.2 Betroffene Personengruppen können insbesondere sein: a) Beschäftigte des Verantwortlichen, b) sonstige dem Verantwortlichen zugeordnete Nutzer, c) Ansprechpartner des Verantwortlichen.

4. Weisungsgebundenheit

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht.

4.2 Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

4.3 Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für datenschutzrechtlich unzulässig, weist er den Verantwortlichen unverzüglich darauf hin.

5. Pflichten des Verantwortlichen

5.1 Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung, insbesondere für das Bestehen einer Rechtsgrundlage, die Erfüllung von Informationspflichten und die Wahrung der Rechte betroffener Personen verantwortlich.

5.2 Der Verantwortliche bleibt im Verhältnis zu den betroffenen Personen allein verantwortliche Stelle, soweit dieser Vertrag nichts Abweichendes regelt.

5.3 Der Verantwortliche hat den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der datenschutzrechtlichen Prüfung der Auftragsergebnisse feststellt.

6. Vertraulichkeit und Zugriffsberechtigung

6.1 Der Auftragsverarbeiter stellt sicher, dass Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6.2 Der Zugang zu personenbezogenen Daten ist auf diejenigen Personen beschränkt, die diese Daten zur Erfüllung der vertraglichen Pflichten benötigen.

7. Technische und organisatorische Maßnahmen

7.1 Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten unter Berücksichtigung von Art. 32 DSGVO.

7.2 Die zum Zeitpunkt des Vertragsschlusses bestehenden technischen und organisatorischen Maßnahmen sind in Anlage 1 beschrieben.

7.3 Der Auftragsverarbeiter ist berechtigt, technische und organisatorische Maßnahmen weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

8. Unterstützungspflichten

8.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei dessen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten.

8.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, soweit dies erforderlich und zumutbar ist.

9. Meldung von Datenschutzverletzungen

9.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten bekannt wird.

9.2 Die Information enthält, soweit möglich, die dem Auftragsverarbeiter vorliegenden Angaben zur Art der Verletzung, zu den betroffenen Daten und Personengruppen sowie zu den bereits ergriffenen oder vorgeschlagenen Maßnahmen.

10. Nachweis und Kontrollen

10.1 Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen.

10.2 Nachweise können insbesondere durch geeignete Dokumentationen, Selbstauskünfte, Auszüge aus Sicherheitskonzepten oder vergleichbare Nachweise erbracht werden.

10.3 Vor-Ort-Kontrollen und Audits durch den Verantwortlichen oder einen von ihm beauftragten Prüfer sind nach angemessener Vorankündigung, zu üblichen Geschäftszeiten und unter Berücksichtigung berechtigter Geheimhaltungs- und Sicherheitsinteressen des Auftragsverarbeiters zulässig, soweit sie erforderlich sind und kein milderes Mittel ausreicht.

10.4 Der Verantwortliche trägt die Kosten einer durch ihn veranlassten Prüfung, soweit die Prüfung keinen vom Auftragsverarbeiter zu vertretenden erheblichen Verstoß nachweist.

11. Unterauftragsverarbeiter

11.1 Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen.

11.2 Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in geeigneter Form, sodass der Verantwortliche die Möglichkeit hat, aus wichtigem datenschutzrechtlichem Grund zu widersprechen.

11.3 Zum Zeitpunkt des Vertragsschlusses setzt der Auftragsverarbeiter folgende Kategorien bzw. konkret benannte Unterauftragsverarbeiter ein: a) Hosting-Infrastruktur: Hetzner Online GmbH, Deutschland, b) technischer E-Mail-Versanddienst für transaktionale System-E-Mails per SMTP, soweit dieser im Rahmen des Betriebs eingesetzt wird.

11.4 Der Auftragsverarbeiter stellt sicher, dass mit Unterauftragsverarbeitern vertragliche Regelungen geschlossen werden, die ein dem vorliegenden Vertrag entsprechendes Datenschutzniveau gewährleisten.

12. Drittlandverarbeitung

12.1 Eine Verarbeitung in Drittstaaten erfolgt nur, soweit dies vertraglich vorgesehen, gesetzlich zulässig und durch geeignete Garantien abgesichert ist.

12.2 Sofern der Auftragsverarbeiter Unterauftragsverarbeiter in Drittstaaten einsetzt, wird er die hierfür erforderlichen datenschutzrechtlichen Voraussetzungen sicherstellen.

13. Löschung und Rückgabe nach Vertragsende

13.1 Nach Beendigung der vertraglichen Leistungen wird der Auftragsverarbeiter dem Verantwortlichen für 30 Tage die Möglichkeit einräumen, die Daten zu exportieren, soweit dem keine technischen oder rechtlichen Gründe entgegenstehen.

13.2 Nach Ablauf dieser Frist löscht oder anonymisiert der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen, soweit keine gesetzliche Aufbewahrungspflicht oder berechtigte Sicherheits-, Backup- oder Nachweisinteressen entgegenstehen.

13.3 Gesetzliche Aufbewahrungspflichten oder Datensicherungen, die technisch nicht sofort überschrieben werden, bleiben unberührt; die betreffenden Daten werden jedoch nicht mehr für andere Zwecke verarbeitet.

14. Schlussbestimmungen

14.1 Im Übrigen gelten die Regelungen des Hauptvertrags, soweit sie diesem Vertrag nicht widersprechen.

14.2 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

14.3 Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform, soweit keine strengere Form gesetzlich erforderlich ist.

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

1. Zutrittskontrolle — Hosting in professioneller Rechenzentrumsinfrastruktur über den eingesetzten Hosting-Anbieter.

2. Zugangskontrolle — Authentifizierung für Benutzerkonten; Passwortspeicherung nicht im Klartext; rollenbezogene Berechtigungen im System; technisch notwendige Sitzungs- und Schutzmechanismen.

3. Zugriffskontrolle — Rollenmodell im System; Beschränkung des Zugriffs auf Daten nach Zuständigkeit und Berechtigung; administrative Zugriffe nur nach betrieblicher Erforderlichkeit.

4. Weitergabekontrolle — Übertragung der Anwendung über HTTPS/TLS; E-Mail-Versand nur im jeweils technisch vorgesehenen Rahmen.

5. Eingabekontrolle — Protokollierung wesentlicher Änderungen an Zeiteinträgen und zugehörigen Vorgängen über Audit-Mechanismen innerhalb des Systems.

6. Verfügbarkeitskontrolle — Betrieb auf Serverinfrastruktur mit Datensicherungs- und Wiederanlaufprozessen; technische Maßnahmen zur Fehleranalyse und Betriebsstabilität.

7. Trennungsgebot — Mandantenbezogene Zuordnung von Daten im Kundenkonto; Verarbeitung im Rahmen der jeweiligen Organisationszugehörigkeit.

8. Belastbarkeit und Wiederherstellbarkeit — Einsatz von Datensicherungen und betrieblichen Wiederherstellungsprozessen nach Maßgabe des aktuellen Betriebs.