TaktZurück

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO

Parteien

Auftragsverarbeiter:
Muster GmbH, Musterstraße 1, 10115 Berlin, vertreten durch Max Mustermann.

Verantwortlicher (Kunde):
[Name und Anschrift des Kunden — beim Vertragsschluss auszufüllen]

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software „Takt" zur Personalverwaltung. Die Dauer entspricht der Laufzeit des zugrunde liegenden Hauptvertrags.

§ 2 Art, Umfang und Zweck

Verarbeitet werden Beschäftigtendaten des Verantwortlichen (Stammdaten, Arbeitszeit-, Urlaubs-, Lohn-, Steuer- und Sozialversicherungsdaten) zum Zweck der Personalverwaltung, Zeiterfassung und Lohnvorbereitung. Betroffene Personen sind die Beschäftigten des Verantwortlichen.

§ 3 Weisungsrecht

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern keine gesetzliche Verpflichtung etwas anderes vorsieht.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit.

§ 5 Technisch-organisatorische Maßnahmen (Anlage 1)

Der Auftragsverarbeiter unterhält angemessene Maßnahmen nach Art. 32 DSGVO, insbesondere:

  • Verschlüsselung sensibler Personalstammdaten in der Datenbank (AES-256-GCM).
  • Revisionssicheres Audit-Log über Zugriffe und Änderungen.
  • Manipulationssichere Arbeitszeiterfassung mit Änderungsjournal.
  • Rollenbasierte Zugriffskontrolle, mandantengetrennte Datenhaltung, Hosting in der EU (Muster-Hoster (EU)).

§ 6 Unterauftragsverarbeiter (Anlage 2)

Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter:

  • Hosting-AnbieterServerbetrieb / Datenbank (EU)
  • E-Mail-VersanddienstTransaktions-E-Mails (Einladung/Passwort-Reset) (EU)

§ 7 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung/Anonymisierung, Datenexport) sowie bei Meldepflichten nach Art. 33/34 DSGVO.

§ 8 Löschung und Rückgabe

Nach Beendigung der Verarbeitung löscht oder anonymisiert der Auftragsverarbeiter die personenbezogenen Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 9 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen.

Stand: 2026-06-06