Suche
Kontakt

Kategorien

Auftragsverarbeitungsvereinbarung (“AVV”)

Präambel

Diese Auftragsverarbeitungsvereinbarung (“AVV”) ist in dem Vertrag über die Bereitstellung sowohl von Timemaster Produkten on-premises als auch für einen Timemaster Cloud Service (einzeln und zusammen nachfolgend “Timemaster Produkte” genannt) und damit zusammenhängender sonstiger Services sowie Dienstleistungen enthalten (nachfolgend auch “Vertrag” bezeichnet). Diese AVV ist somit zugleich ein fester Bestandteil eines schriftlich (auch in elektronischer Form) geschlossenen Vertrags zwischen der vertragschließenden Timemaster GmbH (als Auftragsverarbeiter – nachfolgend “Timemaster” genannt) und dem Kunden . Beide, Timemaster und der Kunde werden nachfolgend gemeinsam “Vertragsparteien” oder einzeln “Partei” bezeichnet. Die Vertragsparteien sind sich einig, dass der Kunde auch seinen verbundenen Unternehmen die Nutzung von lizenzierten Timemaster Produkten gemäß den Bestimmungen des jeweiligen Vertrags gestatten kann. Da in einem solchen Fall auch personenbezogene Daten von verbundenen Unternehmen des Kunden durch Timemaster verarbeitet werden, gilt diese AVV für die folgenden Szenarien:

  • Der Kunde ist der einzige Verantwortliche im Hinblick auf die personenbezogenen Daten, die Timemaster für die Auftragsverarbeitung zugänglich gemacht werden.
  • Neben dem Kunden nutzen auch seine verbundenen Unternehmen die lizenzierten Timemaster Produkte. Der Kunde und seine verbundenen Unternehmen sind jeweils allein oder gemeinsam verantwortlich.
  • Der Kunde ist hinsichtlich der eigenen personenbezogenen Daten Verantwortlicher und hinsichtlich der personenbezogenen Daten seiner verbundenen Unternehmen Auftragsverarbeiter. Aus der Sicht seiner verbundenen Unternehmen ist Timemaster ein Unterauftragsverarbeiter des Kunden.
  • Der Kunde ist nur Auftragsverarbeiter seiner verbundenen Unternehmen und Timemaster ist Unterauftragsverarbeiter hinsichtlich der personenbezogenen Daten.

Ungeachtet der vorstehenden Fallgruppen ist der Kunde unter dieser AVV stets der zentrale und direkte operative Ansprechpartner für Timemaster. Soweit Timemaster in diesem Zusammenhang personenbezogene Daten verarbeitet, gelten hierfür die Bedingungen dieser AVV. Für die Zurverfügungstellung der Timemaster Produkte gemäß dem Vertrag ist der Einsatz von Unterauftragsverarbeitern notwendig. Insoweit ist dem Kunden bewusst, dass Timemaster die Timemaster Produkte nicht ohne Unterauftragsverarbeiter erbringen kann. Der Einsatz der Unterauftragsverarbeiter richtet sich nach Ziffer 6 dieser AVV.

§ 1 Gegenstand dieser AVV

  1. Gesetzliche Grundlage: Mit dieser AVV soll die Einhaltung von Art. 28 Abs. 3 und Abs. 4 DSGVO sichergestellt werden. Soweit im Rahmen dieser AVV nicht ausdrücklich abweichend definiert, haben die verwendeten Begriffe, z. B. „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ oder „Pseudonymisierung“, dieselbe Bedeutung wie in Art. 4 DSGVO. Im Übrigen gelten die Definitionen aus dem Vertrag in dieser AVV entsprechend. Diese AVV ist im Lichte der Bestimmungen der DSGVO auszulegen. Diese AVV darf nicht in einer Weise ausgelegt werden, die den in der DSGVO vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

  2. Pflichten des Kunden: Der Kunde stellt die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz nach den Bestimmungen der DSGVO sicher. Dabei wird er geeignete Vorkehrungen und Maßnahmen treffen, um insbesondere die Rechtmäßigkeit der Weitergabe von Daten des Kunden und / oder seiner verbundenen Unternehmen an Timemaster, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Timemaster-Produkte sowie die Wahrung der Rechte der Betroffenen, deren Daten bei der Nutzung der Timemaster Produkte verarbeitet werden, sicherzustellen.

§ 2 Beschreibung der Verarbeitung

Den konkreten Leistungsumfang vereinbaren die Vertragsparteien im Vertrag. Die in Betracht kommenden Leistungen umfassen regelmäßig Sachverhalte im Sinne der Auftragsverarbeitung von personenbezogenen Daten. Das gilt entsprechend für eine (Fern-) Prüfung und (Fern-) Wartung automatisierter Verfahren oder dem Einsatz von Datenverarbeitungsanlagen, sofern dabei ein Zugriff auf personenbezogene Daten des Kunden nicht ausgeschlossen werden kann. Die Einzelheiten der relevanten Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für welche die personenbezogenen Daten im Auftrag verarbeitet werden, sind in AVV-Anhang I – Beschreibung der Verarbeitung aufgeführt.

§ 3 Technische und organisatorische Maßnahmen

  1. Gewährleistung der Datensicherheit: Timemaster hat die Grundsätze ordnungsgemäßer Datenverarbeitung zu beachten und ihre Einhaltung zu überwachen (vgl. Art. 5 DSGVO). Timemaster versichert, dass Timemaster die Regelungen der Art. 28 Abs. 3 lit. c), 32 DSGVO einhält. Timemaster hat hierzu angemessene Maßnahmen der Datensicherheit getroffen und gewährleistet unter fortlaufender Vornahme ggf. erforderlicher Anpassungen ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Zur Bestimmung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Auftragsverarbeitung, insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder der unbefugten Offenlegung von beziehungsweise dem unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden, verbunden sind. Hierbei werden der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen fortlaufend berücksichtigt.

  2. Dokumentation und Vorlage der Maßnahmen: Timemaster ergreift mindestens die in AVV-Anhang II – technische und organisatorische Maßnahmen aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

  3. Aktueller Stand der Technik und technische Anpassungen: Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es Timemaster gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dieser AVV festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen der technischen und organisatorischen Maßnahmen sind zu dokumentieren und dem Kunden auf geeignete Weise anzuzeigen (z. B. über ein über die Website von Timemaster zugängliches Online-Portal). Durch diese Anzeige räumt Timemaster dem Kunden die Möglichkeit ein, diesen Änderungen innerhalb von sechs (6) Wochen in Schrift- oder Textform zu widersprechen. Der Kunde ist nur dann zum Widerspruch berechtigt, wenn die Änderungen nicht den Anforderungen des § 3 Ziffer 1 und § 3 Ziffer 2 dieser AVV entsprechen. Widerspricht der Kunde den Änderungen nicht oder nicht berechtigt innerhalb der Widerspruchsfrist, gilt die Zustimmung zu den Änderungen nach Fristablauf als erteilt. Im Falle eines berechtigten Widerspruchs kann Timemaster den Teil der Leistungserbringung aussetzen, der von dem berechtigten Widerspruch des Kunden betroffen ist.

§ 4 Weisungsbefugnis

  1. Dokumentierte Weisung: Timemaster wird personenbezogene Daten des Kunden nur nach dokumentierter Weisung des Kunden verarbeiten, es sei denn, Timemaster ist gesetzlich zur Verarbeitung dieser Daten verpflichtet oder vertraglich nach dieser AVV dazu berechtigt. Der Vertrag einschließlich dieser AVV stellt eine dokumentierte Weisung des Kunden dar.

  2. Bestimmtheit und Form der Weisung: Soweit nicht ausdrücklich in dieser AVV abweichend vereinbart, sind Weisungen bestimmt zu erteilen (Gebot der Weisungsklarheit). Weisungen müssen schriftlich oder in Textform erteilt werden.

  3. Umsetzbarkeit der Weisung: Timemaster wird auf Kosten des Kunden die Umsetzbarkeit einer Weisung innerhalb einer angemessenen Zeit prüfen und dem Kunden das Ergebnis der Prüfung in Textform mitteilen. Weisungen des Kunden, die eine Abweichung zu den im Vertrag oder dieser AVV festgelegten Leistungen darstellen, werden als Antrag auf Vertragsänderung behandelt. Die vertraglichen Verpflichtungen aus dem Vertrag bleiben während des Zeitraums der Prüfung unberührt. Von Timemaster bestätigte Weisungen werden in gemeinsamer Abstimmung der Vertragsparteien innerhalb eines angemessenen Zeitraums umgesetzt. Wenn Timemaster durch die Umsetzung der Weisung ein Mehraufwand entsteht, ist dieser vom Kunden zu vergüten. Timemaster wird sich im Rahmen des Zumutbaren bemühen, Weisungen des Kunden, die als Antrag auf Vertragsänderung zu qualifizieren sind, umzusetzen, soweit sie insbesondere datenschutzrechtlich erforderlich und technisch möglich sind bzw. keine Änderungen der Timemaster-Produkte erfordern. Wenn eine der vorgenannten Ausnahmen zutrifft, wird Timemaster den Kunden hierüber in Textform informieren. Für den Fall, dass keine Einigung über eine Vertragsänderung möglich ist, bleiben die Pflichten aus dem Vertrag bestehen.

  4. Benachrichtigung bei Rechtswidrigkeit: Timemaster wird den Kunden unverzüglich informieren, wenn Timemaster der Meinung ist, eine Weisung sei rechtswidrig. Diese Hinweispflicht beinhaltet keine umfassende rechtliche Prüfung. Timemaster ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.

  5. Rechte der betroffenen Personen: Auskünfte an von der Auftragsverarbeitung betroffene Personen oder an Dritte darf Timemaster nur nach vorheriger Weisung des Kunden erteilen. Soweit sich eine betroffene Person diesbezüglich unmittelbar an Timemaster wendet, wird Timemaster dieses Ersuchen unverzüglich an den Kunden weiterleiten.

  6. Regress: Sollte Timemaster infolge der Umsetzung einer rechtswidrigen Weisung einem begründeten Haftungsanspruch ausgesetzt sein, kann er sich insoweit beim Kunden schadlos halten.

§ 5 Verpflichtung zur Vertraulichkeit

  1. Daten- und Fernmeldegeheimnis: Timemaster und jede Timemaster unterstellte Person, die Zugang zu den verarbeiteten personenbezogenen Daten hat, sind zur Vertraulichkeit verpflichtet, insbesondere gemäß den Bestimmungen der Art. 5 Abs. 1 lit. f), Art. 28 Abs. 3 lit. b), Art. 29 und Art. 32 Abs. 4 DSGVO sowie des § 3 TTDSG. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung dieser AVV fort.

  2. Unterweisung aller zur Auftragsverarbeitung eingesetzten Personen: Timemaster stellt durch geeignete Maßnahmen, wie insbesondere regelmäßige Schulungen zum Datenschutz, sicher, dass die ihm unterstellten und zur Verarbeitung von personenbezogenen Daten befugten Personen mit den einschlägigen Bestimmungen zum Datengeheimnis und Fernmeldegeheimnis vertraut sind.

§ 6 Beauftragung von Unterauftragsverarbeitern

  1. Begriff des Unterauftragsverarbeiters: Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung von Hauptleistungen aus dem Vertrag beziehen. Nicht hierzu gehören allgemein anfallende Nebenleistungen im täglichen Geschäftsbetrieb von Timemaster, die Timemaster etwa als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice der internen IT oder die Entsorgung von Unterlagen und Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen des internen Geschäftsbetriebs in Anspruch nimmt. Timemaster ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Sicherheit der Daten des Kunden auch bei solchen ausgelagerten Nebenleistungen angemessene und rechtskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
  2. Voraussetzungen der Zulässigkeit der Beauftragung: Die Beauftragung von Unterauftragsverarbeitern ist nur nach schriftlicher Zustimmung des Kunden zulässig.
    Allgemeine Anforderungen: Beauftragt Timemaster einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Kunden), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für Timemaster gemäß dieser AVV gelten. Timemaster stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen Timemaster entsprechend dieser AVV und gemäß der DSGVO unterliegt. Timemaster stellt dem Kunden auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann Timemaster den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
  3. Gegenwärtige Unterauftragsverarbeiter: Timemaster besitzt die allgemeine Genehmigung des Kunden für die Beauftragung von folgenden Unterauftragsverarbeitern:
    • ELV Elektronik AG, Maiburger Straße 29-36, 26789 Leer
    • eQ-3 Elektronik GmbH, Maiburger Straße 36, 26789 Leer
    Bezogen auf den Einsatz dieser Unterauftragsverarbeiter gilt die Zustimmung des Kunden mit Abschluss dieser AVV als erteilt.
  4. Weitere Unterauftragsverarbeiter: Die weitere Auslagerung auf Unterauftragsverarbeiter oder der Wechsel bestehender Unterauftragsverarbeiter sind unter den Voraussetzungen des § 6 Ziffer 2 dieser AVV auch ohne ausdrückliche Zustimmung des Kunden zulässig, soweit Timemaster dem Kunden die Auslagerung auf (andere) Unterauftragsverarbeiter eine angemessene Zeit vorab (z. B. über die Website von Timemaster zugängliches Online-Portal) anzeigt und die nachfolgenden Regelungen erfüllt sind :
    Timemaster stellt dem Kunden eine aktualisierte Liste zur Verfügung, welche alle Unterauftragsverarbeiter, die auf die personenbezogenen Daten des Kunden zugreifen, sowie die von ihnen erbrachten begrenzten oder ergänzenden Dienstleistungen auflistet. Durch die Anzeige räumt Timemaster dem Kunden die Möglichkeit ein, diesen Änderungen innerhalb von sechs (6) Wochen zu widersprechen. Der Kunde ist nur dann zum Widerspruch berechtigt, wenn die Änderungen nicht den Anforderungen des § 6 Ziffer 2 dieser AVV entsprechen. Widerspricht der Kunde den Änderungen nicht oder nicht berechtigt in Schrift- oder Textform innerhalb der Widerspruchsfrist, gilt die Zustimmung zu den Änderungen nach Fristablauf als erteilt. Im Falle eines berechtigten Widerspruchs kann Timemaster den Einsatz des geänderten Unterauftragsverarbeiters aussetzen, der von dem berechtigten Widerspruch des Kunden betroffen ist. Für den Fall, dass der Kunde dem Einsatz auch nach Rücksprache mit Timemaster widerspricht, kann Timemaster wählen, ob er den Unterauftragsverarbeiter nicht beauftragt oder den Vertrag mit einer Frist von zwei (2) Monaten schriftlich kündigt. Diese Regelung ergänzt die Kündigungsregelung im Vertrag.
  5. Geltung der Bestimmungen dieser AVV auch für Unterauftragsverarbeiter: Auf Verlangen des Kunden wird Timemaster dem Kunden Informationen über relevante datenschutzrechtliche Verpflichtungen des Unterauftragsverarbeiters zur Verfügung stellen, die unter anderem die Gewährung des erforderlichen Zugangs zu den einschlägigen Vertragsdokumenten umfasst. Timemaster wird seine Unterauftragsverarbeiter regelmäßig überprüfen und wird auf Aufforderung des Kunden die Einhaltung des Datenschutzrechts und der Verpflichtungen des Unterauftragsverarbeiters aus dem mit ihm abgeschlossenen Auftragsverarbeitungsvertrag bestätigen. Nur bei Vorliegen berechtigter Gründe ist der Kunde berechtigt, Timemaster Weisungen zu erteilen, weitere Prüfungen vorzunehmen, die Timemaster im Rahmen des Zulässigen durchführen wird.”

§ 7 Pflichten und Rechte des Kunden

Wahrung der Rechte der betroffenen Personen: Der Kunde ist zur Wahrung der Rechte der betroffenen Personen (Art. 12 ff. DSGVO bzw. §§ 32 ff. BDSG), zur Ergreifung technischer und organisatorischer Maßnahmen, zur Meldung und Benachrichtigung bei Datenschutzverletzungen, zur Zusammenarbeit mit der Aufsichtsbehörde (Art. 32 bis 36 DSGVO) sowie zur Qualitätssicherung (Art. 28 Abs. 1 DSGVO) verpflichtet. Bei der Einhaltung der Pflichten unterstützt Timemaster den Kunden. In diesem Zusammenhang stellt Timemaster ihm sämtliche Informationen bereit, soweit der Kunde über diese Informationen nicht selbst verfügt. Timemaster ist nicht verpflichtet, Informationen zum Zweck der Unterstützung zu beschaffen, über die er seinerseits nicht verfügt. Timemaster unterstützt den Kunden wie folgt:

  1. Wahrung der Rechte der betroffenen Personen: Die Wahrung der Rechte der betroffenen Personen obliegt dem Kunden. Soweit erforderlich, unterstützt Timemaster den Kunden im Falle der Ausübung von Rechten durch die betroffenen Personen.

  2. Technische und organisatorische Maßnahmen: Timemaster unterstützt den Kunden bei der Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine zeitnahe Feststellung von relevanten Verletzungsereignissen ermöglichen. Der Kunde hat hierbei insbesondere in geeigneter und dem Schutzbedarf angemessener Form sicherzustellen, dass die von Timemaster bereitgestellten Timemaster-Produkte sowie die damit verbundenen technischen Schnittstellen gegen unbefugten Zugriff gesichert werden (z. B. durch Vergabe lediglich temporär gültiger Zugangskennungen und/oder regelmäßige Passwortänderungen und/oder Beschränkungen des zugriffsberechtigten IP-Adress-Bereichs oder andere vergleichbare Maßnahmen).

  3. Meldepflicht und Benachrichtigungspflicht: Im Falle der Verletzung des Schutzes von personenbezogenen Daten durch Timemaster ist Timemaster verpflichtet, den Kunden im Hinblick auf dessen Meldepflicht gegenüber der zuständigen Aufsichtsbehörde und Benachrichtigungspflicht gegenüber den betroffenen Personen zu unterstützen. Im Fall einer schwerwiegenden Betriebsstörung, bei Verdacht auf Datenschutzverletzungen oder bei Verletzungen dieser AVV, gleich ob diese durch den Kunden, einen Dritten oder Timemaster verursacht wurden, hat Timemaster den Kunden unverzüglich und vollständig über Zeitpunkt, Art und Umfang der betroffenen personenbezogenen Daten zu informieren. Dem Kunden sind sämtliche relevanten Informationen zur Erfüllung der Meldepflicht gegenüber der Aufsichtsbehörde unverzüglich zur Verfügung zu stellen.

  4. Zusammenarbeit mit der Aufsichtsbehörde: Die Vertragsparteien arbeiten mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben im Rahmen des Erforderlichen sowie nach den nachfolgenden Grundsätzen zusammen:

    a) Kontrollhandlungen bei Timemaster oder beim Kunden:

    A) Timemaster informiert den Kunden unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf den Vertrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung von personenbezogenen Daten bei der Auftragsverarbeitung bei Timemaster ermittelt.

    B) Soweit der Kunde seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei Timemaster ausgesetzt ist, hat ihn Timemaster nach besten Kräften zu unterstützen.

    b) Datenschutz-Folgenabschätzung: Soweit eine gesetzliche Pflicht des Kunden zur Erstellung einer Datenschutz-Folgenabschätzung besteht, unterstützt ihn Timemaster bei der Vornahme der Datenschutz-Folgenabschätzung sowie bei einer etwaig erforderlichen vorherigen Konsultation der Aufsichtsbehörde im erforderlichen Umfang. Dies beinhaltet insbesondere die Übermittlung erforderlicher Angaben bzw. die Offenlegung notwendiger Dokumente auf entsprechendes Verlangen des Kunden.

  5. Dokumentation und Einhaltung:

    a) Prüfungen: Die Vertragsparteien müssen die Einhaltung dieser Klauseln nachweisen können. Timemaster bearbeitet Anfragen des Kunden bezüglich der Verarbeitung von Daten gemäß dieser AVV unverzüglich und in angemessener Weise. Timemaster stellt dem Kunden alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in dieser AVV festgelegten und unmittelbar aus der DSGVO hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Kunden gestattet Timemaster ebenfalls die Prüfung der unter dieser AVV fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Prüfung kann der Kunde einschlägige Informationen und Zertifizierungen von Timemaster berücksichtigen. Der Kunde kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Timemaster kann der Prüfung durch einen unabhängigen Prüfer widersprechen, wenn der vom Kunden ausgewählte Prüfer in einem Wettbewerbsverhältnis zu Timemaster steht oder nicht auf die Einhaltung der Vertraulichkeit verpflichtet wurde. Die Kosten von Prüfungen gemäß diesem Abschnitt sind vom Kunden zu tragen.

    b) Dokumentation: Der Nachweis der Dokumentation der technischen und organisatorischen Maßnahmen kann insbesondere auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder durch einen geeigneten Nachweis über ein IT-Sicherheits- oder Datenschutzaudit erfolgen.

    c) Name und Anschrift des Datenschutzbeauftragten des Auftragnehmers

Rechtsanwalt Heiko Janssen
Janssen & Enninga Notar und Rechtsanwälte
Julianenburger Str. 19
26603 Aurich
Tel.: 04941/97440
E-Mail: datenschutz@timemaster.de

§ 8 Löschung oder Rückgabe nach Abschluss der Verarbeitung

  1. Löschung oder Rückgabe: Die Löschung und Rückgabe der personenbezogenen Daten richtet sich nach den Bestimmungen in AVV-Anhang I – Beschreibung der Verarbeitung und den vertraglichen Bestimmungen.

  2. Aufbewahrungsfristen: Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch Timemaster entsprechend den jeweiligen gesetzlichen Aufbewahrungsfristen über das Ende dieser AVV hinaus aufzubewahren. Timemaster kann sie zu seiner Entlastung nach Ende dieser AVV dem Kunden übergeben.

  3. Kosten: Zusätzliche Kosten, die durch von diesem Abschnitt abweichende bzw. darüberhinausgehende Weisungen des Kunden entstehen, hat der Kunde zu tragen.

§ 9 Haftung

  1. Externe Haftung: Der Kunde und Timemaster haften jeweils für Schäden betroffener Personen gemäß Art. 82 DSGVO (externe Haftung).

  2. Interne Haftung: Jede Partei ist berechtigt, von der jeweils anderen Partei den Teil der Entschädigung zurückzufordern, der dem Teil der Verantwortung des anderen für den Schaden entspricht (interne Haftung).

  3. Haftungsvereinbarung: Hinsichtlich der internen Haftung – und ohne Auswirkung auf die externe Haftung gegenüber den betroffenen Personen – vereinbaren die Vertragsparteien, dass ungeachtet der hierin enthaltenen Bestimmungen die Haftung von Timemaster für die Verletzung dieser AVV den in dem Vertrag vereinbarten Haftungsbeschränkungen unterliegt. Der Kunde stellt Timemaster von allen Ansprüchen und Schäden frei, die über die Haftungsbeschränkungen des Vertrags hinausgehen, sofern Timemaster diese im Zusammenhang mit Ansprüchen der betroffenen Personen aufgrund einer angeblichen Verletzung von Bestimmungen der DSGVO oder dieser AVV erlitten hat.

§ 10 Schlussbestimmungen

  1. Ersetzungsklausel; Änderungen und Ergänzungen:

    a) Diese AVV tritt mit Abschluss des Vertrags in Kraft und ersetzt mit ihrem Inkrafttreten in ihrem Anwendungsbereich sämtliche etwaig bestehenden Vereinbarungen zur Auftragsverarbeitung zwischen den Vertragsparteien.

    b) Soweit nicht ausdrücklich abweichend geregelt, bedürfen Änderungen und Ergänzungen zu dieser AVV sowie alle Nebenabreden zu ihrer Wirksamkeit der Schriftform oder Textform.

    c) Unbeschadet der Bestimmungen in Abschnitt 3 (Aktueller Stand der Technik und technische Anpassungen) sowie Abschnitt 6 (Weitere Unterauftragsverarbeiter) ist Timemaster berechtigt, die Bestimmungen dieser AVV zu ändern oder zu ergänzen, soweit hierdurch das bei Vertragsschluss vereinbarte Äquivalenzverhältnis in Bezug auf wesentliche Vertragsbestandteile nicht negativ berührt wird und die Änderungen für den Kunden zumutbar sind. Die Anpassungsbefugnis erstreckt sich hierbei insbesondere auf Änderungen in Bezug auf (i) technische Entwicklungen, (ii) Änderungen der rechtlichen Rahmenbedingungen, (iii) die Beseitigung einer nachträglich entstandenen Äquivalenzstörung oder (iv) die Beseitigung von Regelungslücken (z. B. bei unvorhersehbaren, veränderten Umständen). Timemaster wird den Kunden über die geplanten Änderungen vorab informieren. Die Änderungen gelten als vom Kunden angenommen, wenn er diesen nicht innerhalb von sechs (6) Wochen nach der Änderungsmitteilung gegenüber Timemaster in Schrift- oder Textform widerspricht. In der Änderungsmitteilung weist Timemaster den Kunden auch auf die vorgesehene Bedeutung seines Verhaltens hin.

  2. Nichtanwendbarkeit der Allgemeinen Geschäfts- / Einkaufsbedingungen des Kunden: Es besteht zwischen den Vertragsparteien Einigkeit darüber, dass „Allgemeine Geschäftsbedingungen“ und/oder „Allgemeine Einkaufsbedingungen“ des Kunden auf diese AVV keine Anwendung finden.
  3. Ausschluss des § 273 BGB: Die Einrede des Zurückbehaltungsrechts gemäß § 273 BGB wird hinsichtlich der verarbeiteten personenbezogenen Daten und der zugehörigen Datenträger ausgeschlossen.
  4. Verpflichtung zur Information im Fall der Gefährdung der personenbezogenen Daten: Im Fall der Gefährdung der personenbezogenen Daten bei Timemaster durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter, ist Timemaster verpflichtet, den Kunden darüber unverzüglich zu informieren.
  5. Rechtsbehelfe: Für Rechtsbehelfe einer betroffenen Person gegen Timemaster als Auftragsverarbeiter gelten die anwendbaren Datenschutzbestimmungen. Für Rechtsbehelfe der Vertragsparteien aus oder im Zusammenhang mit dieser AVV gelten in Bezug auf die Rechtswahl und den Gerichtsstand die Bestimmungen des Vertrags.
  6. Salvatorische Klausel: Sollten einzelne Teile dieser AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, wird hierdurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Vertragsparteien verpflichten sich, anstelle der unwirksamen oder undurchführbaren Bestimmung eine wirksame und durchführbare Bestimmung zu vereinbaren, die dem ursprünglich gewollten Sinn und Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt. Dies gilt im Falle einer Regelungslücke entsprechend.

Anlage I

Beschreibung der Verarbeitung

  1. Kategorien betroffener Personen

    Die Verarbeitung personenbezogener Daten betrifft – abhängig vom KUNDEN – insbesondere folgende Personengruppen:
    • Beschäftigte im Sinne des § 26 Abs. 8 BDSG
    • Beamtinnen und Beamte sowie Anwärterinnen und Anwärter der Länder
    • Tarifbeschäftigte sowie zu ihrer Berufsausbildung Beschäftigte

  2. Kategorien personenbezogener Daten

    Welche personenbezogenen Daten im jeweiligen VERTRAG verarbeitet werden, hängt von der gewählten Konfiguration und Modulauswahl des KUNDEN ab. Ergänzende Informationen können den Vertragsunterlagen oder anderen bereitgestellten Dokumentationen (z. B. Website oder digitale Kundenlounge) entnommen werden.

    Mögliche Kategorien personenbezogener Daten sind unter anderem:

    a) Mitarbeiterstammdaten und zeitwirtschaftliche Informationen

    Stammdaten:
    • Personalnummer, Name, Geburtsdatum, Anrede, Kontaktdaten
    • Vertragsrelevante Daten: Eintritts-, Austritts- und Umgruppierungsdaten, Arbeitszeitvereinbarungen, sonstige organisatorische Merkmale
    • Organisatorische Zuordnungen: Regionen, Sprachen, Vorgesetzten- und Stellvertreterverhältnisse
    • Arbeitszeiten & Abwesenheiten: Zeitsalden, Zeitkonten, Urlaubsansprüche, geplante und tatsächliche Anwesenheiten
    • Buchungsinformationen: Stempelzeiten inkl. Uhrzeit und Ort
    • Projektzugehörigkeit & Kostenstellen: Zuordnung zu Organisationseinheiten und geleistete Zeiten

    b) Informationen aus der Personaleinsatzplanung
    • Verfügbarkeiten & Planung: Vertragliche und tatsächliche Arbeitszeiten, Schichttausch, Planänderungen
    • Leistungsprofile: Dokumentation von Qualifikationen und Ausbildungsmaßnahmen

    c) Antragswesen und Aufgabenmanagement
    • Genehmigungsprozesse: Anträge für Abwesenheiten und Dienstplanänderungen inkl. Genehmigungsverlauf
    • Systemseitige Protokolle: Fehlerwarnungen und Abweichungen
    • Aufgabenmanagement: Erledigte und anstehende Aufgaben, Benachrichtigungen per E-Mail

    d) Zutrittsmanagement
    • Authentifizierungsdaten: Zugangskennungen, PIN-Code

    e) Systembezogene Informationen
    • Systemzugang & Berechtigungen: Nutzerrechte, Anmeldeversuche, Systembenutzer
    • Protokolldaten: IP-Adressen, Log-Daten, Browserinformationen, Änderungsprotokolle

    3. Art der Verarbeitung

    a) Verarbeitungstätigkeiten
    Die von Timemaster erbrachten Leistungen umfassen insbesondere:
    • Customizing & Parametrisierung: Einrichtung von Stammdaten, Arbeitszeitmodellen und Schnittstellen
    • Softwarepflege: Unterstützung bei Updates, Releasewechseln und Fehlerbehebungen
    • Hotline-Support: Annahme und Analyse von Fehlermeldungen, Fehlerbehebung bei Schnittstellenproblemen
    • Prüfung & Wartung: Sicherstellung der Betriebsbereitschaft der Software
    • Managed Services: Unterstützung bei der Verwaltung personenbezogener Daten im festgelegten Vertragsumfang

    Ein lesender und schreibender Zugriff auf die Datenbank sowie verbundene Systeme des Kunden kann in diesen Fällen nicht ausgeschlossen werden.

    b) Sachliche Beschränkung der Verarbeitung

    Eine darüberhinausgehende Verarbeitung oder Weitergabe von Daten an Dritte ist timemaster nicht gestattet. Die personenbezogenen Daten verschiedener Kunden werden stets getrennt verarbeitet.

    c) Örtliche Beschränkung

    Die Verarbeitung findet grundsätzlich innerhalb der EU, des EWR oder der Schweiz statt. Erfolgt eine Datenverarbeitung in einem Drittland, stellt timemaster sicher, dass die Voraussetzungen gemäß Art. 44 ff. DSGVO erfüllt sind.

    4. Zweck der Verarbeitung

    Timemaster verarbeitet personenbezogene Daten ausschließlich für die im Vertrag festgelegten Zwecke. Ziel ist die Sicherstellung der Funktionalität und Aktualität der dem Kunden bereitgestellten timemaster Produkte.

    5. Dauer der Verarbeitung

    Die vom Kunden überlassenen personenbezogenen Daten werden von timemaster für die im Vertrag zwischen den Parteien angegebene Dauer verarbeitet. Diese entspricht üblicherweise der Vertragslaufzeit des Vertrags, einschließlich etwaiger nachvertraglicher Pflichten. Ist die Vertragslaufzeit nicht festgelegt, beginnt die Dauer der Auftragsverarbeitung mit der Aufnahme der geschuldeten Leistungen und endet mit Beendigung der Pflichten bei Vertragsbeendigung. Die Löschpflicht besteht nicht, sofern nach dem Unionsrecht oder dem anwendbaren nationalen Recht eine Verpflichtung zu Speicherung der Daten besteht, worunter namentlich abgabenrechtliche oder handelsbilanzielle Aufbewahrungspflichten fallen.

Anlage II

Allgemeine technische und organisatorische Maßnahmen
für die Fernwartung

gemäß Art. 32 Abs. 1 DSGVO

Auftragnehmer: Timemaster GmbH

Stand: März 2025

Auftragnehmer, die im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Der obenstehende Auftragnehmer erfüllt diesen Anspruch durch folgende Mindestmaßnahmen und weitere optionale Maßnahmen (ankreuzbar):

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. b) DSGVO

1.1 Zutrittskontrolle

Folgende aufgelisteten Maßnahmen dienen dazu, Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verhindern:

Technische MaßnahmenOrganisatorische Maßnahmen
Türen mit Knauf Außenseite bzw.
Zutritt von außen nur für Berechtigte		Besucher in Begleitung durch Mitarbeiter
☒ Automatisches Zugangskontrollsystem☒ Empfang / Rezeption / Pförtner
☐ Biometrische Zugangssperren☐ Besucherbuch / Protokoll der Besucher
☒ Chipkarten / Transpondersysteme☐ Mitarbeiter- / Besucherausweise
☒ Alarmanlage☐ Sorgfalt bei Auswahl des Wachpersonals
☒ Sicherheitsschlösser

☒ Sorgfalt bei Auswahl Reinigungsdienste
☐ Schließsystem mit Codesperre☒ Maßnahmen bei Verlust von Schlüssel
☐ Absicherung der Gebäudeschächte
☒ Klingelanlage mit Kamera
☒ Videoüberwachung der Eingänge
☒ Notausgang nur von innen zu öffnen
☒ Fenster im Erdgeschoss einbruchsicher
☒ Sicherheitszonen/ Zutritt nur für Mitarbeiter
☒ Vollständige Umzäunung des Betriebsgeländes
1.2 Zugangskontrolle

Folgende aufgelistete Maßnahme sollen verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

Technische MaßnahmenOrganisatorische Maßnahmen
Login mit Benutzername + Passwort oder vergleichbarer Zugang

Anti-Virus-Software Clients

Firewall

Einsatz VPN bei Remote-Zugriffen

Verschlüsselung von Datenträgern

Automatische Desktopsperre

Verschlüsselung von Notebooks / Tablet

Verschlüsselung bei WLAN-Benutzung (WPA2)		Verwalten von Benutzerberechtigungen

Richtlinie „Sicheres Passwort“
☐ Login mit biometrischen Daten☒ Erstellen von Benutzerprofilen
☒ Anti-Viren-Software Server☐ Zentrale Passwortvergabe
☐ Anti-Virus-Software mobile Geräte☒ Allg. Richtlinie Datenschutz und / oder Sicherheit
☒ Intrusion Detection Systeme (IDS)☒ Mobile Device Policy
☒ Mobile Device Management☒ Anleitung „Manuelle Desktopsperre“
☐ Verschlüsselung Smartphones
☐ Gehäuseverriegelung
☒ BIOS Schutz (separates Passwort)
☐ Sperre externer Schnittstellen (USB)
1.2 Zugriffskontrolle

Folgende Maßnahmen dienen dazu, Unbefugten das Lesen, Kopieren, Verändern oder Löschen innerhalb der Datenverarbeitungssysteme zu verhindern:

Technische MaßnahmenOrganisatorische Maßnahmen
Einsatz Berechtigungskonzepte
☒ Externer Aktenvernichter (DIN 66399)☒ Minimale Anzahl an Administratoren
☒ Physische Löschung von Datenträgern☐ Datenschutztresor
☒ Protokollierung von Zugriffen auf Anwendungen☒ Verwaltung Benutzerrechte durch Administratoren
1.4 Trennungskontrolle

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Technische MaßnahmenOrganisatorische Maßnahmen
☒ Trennung von Produktiv- und TestumgebungSteuerung über Berechtigungskonzept
☐ Physikalische Trennung (Systeme / Datenbanken / Datenträger)☒ Festlegung von Datenbankrechten
☒ Mandantenfähigkeit relevanter Anwendungen☐ Datensätze sind mit Zweckattributen versehen
1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Durch folgende Maßnahmen wird eine Pseudonymisierung von Datensätzen gewährleistet:

Technische MaßnahmenOrganisatorische Maßnahmen
☐ Im Falle der Pseudonymisierung:
Trennung der Zuordnungsdaten und Auf-bewahrung in getrenntem und abgesicherten System (mögl. verschlüsselt)		☒ Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren

2. Integrität (Art. 32 Abs. 1 lit. b) DSGVO)

2.1 Weitergabekontrolle

Personenbezogene Daten müssen bei der elektronischen Übermittlung ausreichend geschützt werden, um nicht unbefugt gelesen, kopiert, verändert oder entfernt zu werden. Folgende technische und organisatorische Maßnahmen werden hierfür ergriffen:

Technische MaßnahmenOrganisatorische Maßnahmen
• Email-Verschlüsselung

• Einsatz von VPN		☐ Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
☐ Nutzung von Signaturverfahren☐ Übersicht regelmäßiger Abruf- und Übermittlungsvorgängen
☒ Protokollierung der Zugriffe und Abrufe☐ Weitergabe in anonymisierter oder pseudonymisierter Form
☐ Sichere Transportbehälter☐ Sorgfalt bei Auswahl von Transport, Personal und Fahrzeugen
☒ Bereitstellung über verschlüsselte Verbindungen wie sftp, https☐ Persönliche Übergabe mit Protokoll
2.2 Eingabekontrolle

Zur Kontrolle, ob und von wem personenbezogene Daten in das Datenverarbeitungssystem eingegeben, geändert, gesperrt oder gelöscht werden, werden folgende Maßnahmen eingesetzt:

Technische MaßnahmenOrganisatorische Maßnahmen
☒ Technische Protokollierung der Eingabe, Änderung und Löschung von Daten• Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können

• Klare Zuständigkeiten für Löschungen
☐ Manuelle oder automatisierte Kontrolle der Protokolle☒ Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)
☒ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
☐ Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DSGVO)

3.1 Verfügbarkeitskontrolle

Zur Gewährleistung der Verfügbarkeit personenbezogener Daten gegen zufällige oder mutwillige Zerstörung oder Verlust, und zu deren raschen Wiederherstellung werden folgende Maßnahmen eingesetzt:

Technische MaßnahmenOrganisatorische Maßnahmen
☒ Feuer- und Rauchmeldeanlagen☐ Backup & Recovery-Konzept (ausformuliert)
☒ Feuerlöscher Serverraum☐ Kontrolle des Sicherungsvorgangs
☒ Serverraumüberwachung Temperatur und Feuchtigkeit☐ Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse
☒ Serverraum klimatisiert☐ Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
☒ USV☐ Keine sanitären Anschlüsse im oder oberhalb des Serverraums
☒ Schutzsteckdosenleisten Serverraum☐ Existenz eines Notfallplans (z.B. BSI IT-Grundschutz 100-4)
☐ Datenschutztresor (S60DIS, S120DIS, andere geeignete Normen mit Quelldichtung etc.)☐ Getrennte Partitionen für Betriebssysteme und Daten
☐ RAID System / Festplattenspiegelung
☐ Videoüberwachung Serverraum
☐ Alarmmeldung bei unberechtigtem Zutritt zu Serverraum
☒ Regelmäßige Archivierung / Backup der Daten

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

4.1 Datenschutz-Management

Zur Gewährleistung des Datenschutzes in unserem Unternehmen werden folgende Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung eingesetzt:

Technische MaßnahmenOrganisatorische Maßnahmen
• Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz

• Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird regelmäßig durchgeführt		• Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden
☐ Software-Lösungen für Datenschutz-Management im Einsatz☒ Interner / externer Datenschutzbeauftragter:
☐ Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz oder ISIS12☒ Falls Mitarbeiter vorhanden:

Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
☐ Anderweitiges dokumentiertes Sicherheitskonzept☒ Falls Mitarbeiter vorhanden:

Regelmäßige Sensibilisierung der Mitarbeiter
☒ Interner / externer Informationssicherheitsbeauftragter
☒ Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
☒ Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
4.2 Incident-Response-Management

Im Falle des Erkennens und der Meldung von Datenschutzverletzungen werden folgende Maßnahmen eingesetzt:

Technische MaßnahmenOrganisatorische Maßnahmen
• Einsatz von Firewall und regelmäßige Aktualisierung

• Einsatz von Spamfilter und regelmäßige Aktualisierung		• Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)

• Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen
☐ Intrusion Detection System (IDS)☒ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
☐ Intrusion Prevention System (IPS)☒ Einbindung von ☒ DSB und ☐ ISB in Sicherheitsvorfälle und Datenpannen
☐ Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Im Rahmen datenschutzfreundlicher Voreinstellungen (Art. 25 Abs. 2 DSGVO) werden folgende Maßnahmen eingesetzt:

Technische MaßnahmenOrganisatorische Maßnahmen
☒ Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
☐ Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen
4.4. Auftragskontrolle (Outsourcing an Dritte)

Im Rahmen des Outsourcings der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter werden für die Gewährleistung eines angemessenen Schutzniveaus folgende Maßnahmen eingesetzt:

Technische MaßnahmenOrganisatorische Maßnahmen
Falls Subauftragnehmer eingesetzt werden:


• Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation

• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit

• Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln

• Schriftliche Weisungen an den Auftragnehmer

• Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis

• Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer

• Regelung zum Einsatz weiterer Subunternehmer

• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

• Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus

Ausgefüllt für den Auftragnehmer durch

Name
Funktion
Rufnummer
E-Mail

Richter, Ulrike
Geschäftsführung
0491/6008460
datenschutz@timemaster.de

Leer, 30.03.2025
_________________
Ort, Datum

Sie können nicht gleichzeitig Cloud- und On-Premise-Produkte im Warenkorb haben.

Timemaster top bewertet auf OMR Reviews

Produkte

Entscheiden

Informationen

Support

Sales

Produkte

Information

  • B2B
  • Karriere
  • Partner

Support

+49 491 6008-460


info@timemaster.de

Sales

+49 491 6009-461

vertrieb@timemaster.de

Youtube Instagram Linkedin
Copyright © 2025 Timemaster

Ihre Kontaktdaten

Erhalten Sie in Kürze Ihren Zugang zu den kostenlosen Demo-Versionen