Vertrag zur Handhabung von Auftragsverarbeitung personenbezogener Daten (AVV) zwischen der ZeitZubi UG (haftungsbeschränkt) im Folgenden: „Auftragnehmer“ und Geschäftspartnern (im Folgenden: „Kunden“), die die Dienste von ZeitZubi UG (haftungsbeschränkt) auf der Plattform zeitzubi.de (im Folgenden: Plattform) in Anspruch nehmen. Gemeinsam als „Parteien“ bezeichnet.
a. Dieser Vertrag legt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten im Auftrag fest.
b. Er gilt für sämtliche Tätigkeiten, bei denen der Auftragnehmer und seine Mitarbeiter personenbezogene Daten im Auftrag des Kunden verarbeiten.
c. Die Begriffe in diesem Vertrag sind gemäß ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Der Kunde wird hierbei als „Verantwortlicher“ und der Auftragnehmer als „Auftragsverarbeiter“ bezeichnet.
a. Gegenstand: Der Auftragnehmer betreibt eine Plattform, auf der die Mitarbeiter des Kunden sich an nachhaltigen, ökologischen, ökonomischen und sozialen Projekten beteiligen können, die von Initiativen und Organisationen auf der Plattform angeboten werden. Dies geschieht im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags und den geltenden Allgemeinen Geschäftsbedingungen.
b. Dauer: Die Verarbeitung beginnt mit Abschluss des Hauptvertrags und dauert an, bis dieser Vertrag von einer Partei gekündigt wird.
a. Art: Der Auftragnehmer verarbeitet personenbezogene Daten der Mitarbeiter des Kunden, die sich auf der Plattform anmelden. Dies beinhaltet insbesondere:
Name: Vor- und Nachname des Mitarbeiters.
E-Mail-Adresse: Zum Zwecke der Kommunikation und Kontoerstellung.
Ausbildungsbetrieb: Name des Unternehmens, in dem der Mitarbeiter tätig ist.
Position im Unternehmen: Funktion oder Titel des Mitarbeiters.
Ausgelöste Buchungen: Informationen über getätigte Projektbuchungen, um personalisierte Dashboards zu erstellen.
Nutzungsverhalten: Daten über die Nutzung der Plattform, um benutzerdefinierte Auswertungen und Berichte zu ermöglichen.
b. Zweck: Die Verarbeitung dient der Bereitstellung der Plattform für die Mitarbeiter des Kunden, um sich an verschiedenen Projekten zu beteiligen.
c. Datenkategorien: Es werden Stammdaten und Aktivitätsdaten verarbeitet. (siehe 3. a))
d. Betroffene Personen: Mitarbeiter des Kunden und verbundene Unternehmen.
a. Der Auftragnehmer verarbeitet personenbezogene Daten nur gemäß den vertraglichen Vereinbarungen oder den Anweisungen des Kunden, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet.
b. Der Auftragnehmer wahrt die Vertraulichkeit der Daten gemäß Art 32 DSGVO.
c. Personen, die Zugang zu den verarbeiteten Daten haben, unterliegen einer Vertraulichkeitsverpflichtung.
d. Der Auftragnehmer stellt sicher, dass seine Mitarbeiter über die relevanten Datenschutzbestimmungen informiert sind.
e. Der Auftragnehmer unterstützt den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 genannten datenschutzrechtlichen Pflichten.
f. Der Auftragnehmer unterstützt den Kunden bei Kontrollen oder Anfragen von Aufsichtsbehörden oder betroffenen Personen.
Der Auftragnehmer ergreift die in Anlage 1 beschriebenen Sicherheitsmaßnahmen und passt sie bei Bedarf an, um ein angemessenes Schutzniveau zu gewährleisten.
Der Auftragnehmer korrigiert, löscht oder sperrt die verarbeiteten Daten gemäß den Vereinbarungen oder Anweisungen des Kunden.
Im Folgenden werden die spezifischen technischen und organisatorischen Maßnahmen beschrieben, die vom Auftragnehmer umgesetzt werden, um den Datenschutz und die Datensicherheit zu gewährleisten. Diese Maßnahmen zielen insbesondere darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen sicherzustellen.
Der Auftragnehmer kann Unterauftragsverarbeiter (Anlage 2) einsetzen, informiert den Kunden darüber und gewährleistet, dass diese die Datenschutzbestimmungen einhalten. Mit Vertragsabschluss erklärt sich der Kunde mit dem Einsatz dieser einverstanden. Der Auftragnehmer verpflichtet sich den Kunden über hinzukommende Unterauftragsverarbeiter zu informieren.
Der Kunde ist für die Zulässigkeit der Verarbeitung und den Schutz der Rechte der Betroffenen verantwortlich. Der Auftragnehmer ermöglicht hier zu Kontrollen und Überprüfungen und stellt die erforderlichen Informationen zum Nachweis zur Verfügung.
Der Auftragnehmer informiert den Kunden umgehend über Verletzungen des Datenschutzes und unterstützt ihn bei der Erfüllung seinerMeldepflichten gemäß der Datenschutz-Grundverordnung.
Der Auftragnehmer verarbeitet personenbezogene Daten nur gemäß dokumentierter Weisungen des Kunden, es sei denn, er ist gesetzlich dazu verpflichtet.
Nach Beendigung des Vertragsverhältnisses gibt der Auftragnehmer die Daten gemäß den Anweisungen des Kunden zurück oder vernichtet sie.
Anhang 1 und Anhang 2 enthalten technische und organisatorische Maßnahmen sowie Informationen über Subdienstleister.
1. Zugangskontrolle: Es werden Maßnahmen ergriffen, um sicherzustellen, dass unbefugte Personen keinen Zugriff auf die Datenverarbeitungssysteme erhalten. Alle Systeme sind durch Passwörter geschützt, wobei der Zugang zu Entwicklungs- und Verwaltungsbereichen durch ein Kennwortverfahren mit besonderen Sicherheitsmerkmalen gewährleistet wird. Bei Beendigung eines Dienstverhältnisses wird der Zugang des Mitarbeiters gelöscht. Es wird für jeden Benutzer ein individueller Benutzerstammsatz eingerichtet, und die Datenübertragung erfolgt ausschließlich über verschlüsselte SSL-Verbindungen.
Die ZeitZubi UG (haftungsbeschränkt) engagiert verschiedene Dienstleister, um Services im Zusammenhang mit der Plattformbereitstellung zu erbringen. Diese Dienstleister erhalten Zugriff auf spezifische personenbezogene Daten. Vorbehaltlich wird mit jedem beauftragten Unternehmen ein Auftragsverarbeitungsvertrag abgeschlossen. Sollte sich der Hauptsitz eines Dienstleisters in einem Drittland befinden, werden sogenannte Standardvertragsklauseln angewendet.
Erbrachte Dienstleistung: IT-Infrastrukturleistungen (Server) und Email Dienstleister
Anbieter: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur
Verarbeitete Daten: Technische Protokolldaten, Kontaktdaten
Erbrachte Dienstleistung: Datenbank
Anbieter: Formagrid Inc, 799 Market Street, 8th Floor, San Francisco, California 94103
Verarbeitete Daten: Kontaktdaten, Identifikationsdaten, Geolokationsdaten Weitere personenbezogenen Daten z.B. in Freitextfeldern
Erbrachte Dienstleistung: Zugangsberechtigungen
Anbieter: Memberstack Inc., 1209 Orange Street, Wilmington, New Castle Country, Delaware 19801, USA
Verarbeitete Daten: Geolokationsdaten, weitere personenbezogene Daten z.B. in Freitextfeldern
Erbrachte Dienstleistung: API
Anbieter: Zapier Inc., 548 Market Street 62411, San Francisco, CA 94104-5401, USA
Verarbeitete Daten: Geolokationsdaten Weitere personenbezogene Daten z.B. in Freitextfeldern
Erbrachte Dienstleistung: Karten /Maps
Anbieter: Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland
Verarbeitete Daten: Geolokationsdaten
Erbrachte Dienstleistung: Erstellen | Hosten der Website
Anbieter: Webflow, Inc., 398 11th Street, 2ndFloor, San Francisco, CA 94103, USA
Verarbeitete Daten: Kontaktdaten, Identifikationsdaten, Geolokationsdaten, weitere personenbezogenen Daten z.B. in Freitextfeldern
Erbrachte Dienstleistung: Möglichkeit des Speicherns | Filterns von Projekten für den Nutzer
Anbieter: Jetboost LLC, 1309 Coffeen AvenueSte 1200, Sheridan, WY 82801, USA
Verarbeitete Daten: Speicherung von Projekten in der Wunschliste des Nutzers
Erbrachte Dienstleistung: Consent-Management-Tool, zur Einwilligung der Nutzer zur Verwendung von Cookies
Anbieter: Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark
Verarbeitete Daten: Nutzer, IP-Adresse, Browser- und Endgerätinformationen, Zeitstempel der Einwilligung