Vertrag zur Auftragsverarbeitung (AVV)

Herunterladen
1. Gegenstand und Dauer

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der HR-SaaS-Plattform.

Die Dauer entspricht der Laufzeit des Hauptvertrags.

2. Art und Zweck der Verarbeitung

Verarbeitung zur Bereitstellung einer HR-Management-Software, insbesondere: Personalverwaltung, Payroll, Zeiterfassung, Recruiting und Reporting.

3. Kategorien von Daten
  • Stammdaten
  • Beschäftigungsdaten
  • Gehalts-, Steuer- und Sozialversicherungsdaten
  • Zeiterfassungsdaten
  • Kommunikations- und Protokolldaten
4. Kategorien betroffener Personen
  • Mitarbeitende
  • Bewerber
  • Nutzer
5. Weisungsgebundenheit

Der Auftragnehmer verarbeitet Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

6. Vertraulichkeit

Alle mit der Verarbeitung befassten Personen sind zur Vertraulichkeit verpflichtet.

7. Sicherheit der Verarbeitung

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

8. Unterstützungspflichten
  • Betroffenenrechten
  • Datenschutz-Folgenabschätzungen
  • Meldung von Datenschutzverletzungen
9. Meldung von Datenschutzverletzungen

Unverzügliche Information, spätestens innerhalb von 24 Stunden nach Bekanntwerden.

10. Unterauftragsverarbeiter
  • IONOS SE (Hosting innerhalb der EU)

Weitere Subunternehmer werden nur nach vorheriger Information eingesetzt.

11. Datenübermittlung in Drittländer

Eine Übermittlung in Drittstaaten erfolgt nicht.

12. Kontrollrechte

Der Auftraggeber ist berechtigt, die Einhaltung durch geeignete Nachweise oder Audits zu überprüfen.

13. Löschung und Rückgabe

Nach Vertragsende werden Daten gelöscht oder zurückgegeben, sofern keine Aufbewahrungspflichten bestehen.

14. Haftung

Es gelten die Haftungsregelungen des Hauptvertrags.

15. Schlussbestimmungen

Es gilt deutsches Recht.

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

1. Zugangskontrolle
  • Server in gesicherten Rechenzentren (EU)
  • Firewall- und Zugriffsschutz
2. Zugriffskontrolle
  • Rollenbasierte Berechtigungen
  • Mandantentrennung
3. Weitergabekontrolle
  • Verschlüsselung (TLS/HTTPS)
  • Keine unberechtigte Datenweitergabe
4. Eingabekontrolle
  • Audit-Logs und Protokollierung
5. Verfügbarkeitskontrolle
  • Regelmäßige Backups
  • Monitoring
6. Trennungskontrolle
  • Mandantenbasierte Datenisolierung


___________________________
Auftraggeber

___________________________
Sanitätshaus Ulmer GmbH