Vertrag zur Handhabung von Auftragsverarbeitung personenbezogener Daten (AVV) zwischen der ZeitZubi UG (haftungsbeschränkt) im Folgenden: „Auftragnehmer“ und Geschäftspartnern (im Folgenden: „Kunden“), die die Dienste von ZeitZubi UG (haftungsbeschränkt) auf der Plattform zeitzubi.de (im Folgenden: Plattform) in Anspruch nehmen. Gemeinsam als „Parteien“ bezeichnet.

1.    Einleitung, Anwendungsbereich, Definitionen

a. Dieser Vertrag legt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten im Auftrag fest.

b. Er gilt für sämtliche Tätigkeiten, bei denen der Auftragnehmer und seine Mitarbeiter personenbezogene Daten im Auftrag des Kunden verarbeiten.

c. Die Begriffe in diesem Vertrag sind gemäß ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Der Kunde wird hierbei als „Verantwortlicher“ und der Auftragnehmer als „Auftragsverarbeiter“ bezeichnet.

2.    Gegenstand und Dauer der Verarbeitung

a. Gegenstand: Der Auftragnehmer betreibt eine Plattform, auf der die Mitarbeiter des Kunden sich an nachhaltigen, ökologischen, ökonomischen und sozialen Projekten beteiligen können, die von Initiativen und Organisationen auf der Plattform angeboten werden. Dies geschieht im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags und den geltenden Allgemeinen Geschäftsbedingungen.

b. Dauer: Die Verarbeitung beginnt mit Abschluss des Hauptvertrags und dauert an, bis dieser Vertrag von einer Partei gekündigt wird.

3.    Art, Zweck und Betroffene der Datenverarbeitung

a. Art: Der Auftragnehmer verarbeitet personenbezogene Daten der Mitarbeiter des Kunden, die sich auf der Plattform anmelden. Dies beinhaltet insbesondere:

1.    Stammdaten:

Name: Vor- und Nachname des Mitarbeiters.

E-Mail-Adresse: Zum Zwecke der Kommunikation und Kontoerstellung.

Ausbildungsbetrieb: Name des Unternehmens, in dem der Mitarbeiter tätig ist.

Position im Unternehmen: Funktion oder Titel des Mitarbeiters.

2.    Aktivitätsdaten:

Ausgelöste Buchungen: Informationen über getätigte Projektbuchungen, um personalisierte Dashboards zu erstellen.

Nutzungsverhalten: Daten über die Nutzung der Plattform, um benutzerdefinierte Auswertungen und Berichte zu ermöglichen.

3.    Andere relevante Informationen: Alle weiteren Daten, die für die Bereitstellung und Verbesserung der Plattformdienste notwendig sind.

b. Zweck: Die Verarbeitung dient der Bereitstellung der Plattform für die Mitarbeiter des Kunden, um sich an verschiedenen Projekten zu beteiligen.

c. Datenkategorien: Es werden Stammdaten und Aktivitätsdaten verarbeitet. (siehe 3. a))

d. Betroffene Personen: Mitarbeiter des Kunden und verbundene Unternehmen. 

4.    Pflichten des Auftragnehmers

a. Der Auftragnehmer verarbeitet personenbezogene Daten nur gemäß den vertraglichen Vereinbarungen oder den Anweisungen des Kunden, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet.

b. Der Auftragnehmer wahrt die Vertraulichkeit der Daten gemäß Art 32 DSGVO.

c. Personen, die Zugang zu den verarbeiteten Daten haben, unterliegen einer Vertraulichkeitsverpflichtung.

d. Der Auftragnehmer stellt sicher, dass seine Mitarbeiter über die relevanten Datenschutzbestimmungen informiert sind.

e. Der Auftragnehmer unterstützt den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 genannten datenschutzrechtlichen Pflichten.

f. Der Auftragnehmer unterstützt den Kunden bei Kontrollen oder Anfragen von Aufsichtsbehörden oder betroffenen Personen.

5.    Sicherheit derVerarbeitung

Der Auftragnehmer ergreift die in Anlage 1 beschriebenen Sicherheitsmaßnahmen und passt sie bei Bedarf an, um ein angemessenes Schutzniveau zu gewährleisten.

6.    Regelungen zur Berichtigung, Löschung und Sperrung von Daten

Der Auftragnehmer korrigiert, löscht oder sperrt die verarbeiteten Daten gemäß den Vereinbarungen oder Anweisungen des Kunden.

7.    Unterauftragsverhältnisse

Im Folgenden werden die spezifischen technischen und organisatorischen Maßnahmen beschrieben, die vom Auftragnehmer umgesetzt werden, um den Datenschutz und die Datensicherheit zu gewährleisten. Diese Maßnahmen zielen insbesondere darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen sicherzustellen.

Der Auftragnehmer kann Unterauftragsverarbeiter (Anlage 2) einsetzen, informiert den Kunden darüber und gewährleistet, dass diese die Datenschutzbestimmungen einhalten. Mit Vertragsabschluss erklärt sich der Kunde mit dem Einsatz dieser einverstanden. Der Auftragnehmer verpflichtet sich den Kunden über hinzukommende Unterauftragsverarbeiter zu informieren.

8.    Rechte und Pflichten des Kunden

Der Kunde ist für die Zulässigkeit der Verarbeitung und den Schutz der Rechte der Betroffenen verantwortlich. Der Auftragnehmer ermöglicht hier zu Kontrollen und Überprüfungen und stellt die erforderlichen Informationen zum Nachweis zur Verfügung.

9.    Mitteilungspflichten

Der Auftragnehmer informiert den Kunden umgehend über Verletzungen des Datenschutzes und unterstützt ihn bei der Erfüllung seinerMeldepflichten gemäß der Datenschutz-Grundverordnung.

10. Weisungen

Der Auftragnehmer verarbeitet personenbezogene Daten nur gemäß dokumentierter Weisungen des Kunden, es sei denn, er ist gesetzlich dazu verpflichtet.

11. Beendigung des Auftrags

Nach Beendigung des Vertragsverhältnisses gibt der Auftragnehmer die Daten gemäß den Anweisungen des Kunden zurück oder vernichtet sie.

‍

Anhang 1 und Anhang 2 enthalten technische und organisatorische Maßnahmen sowie Informationen über Subdienstleister.

Anhang 1 – technische und organisatorische Maßnahmen

‍

1. Zugangskontrolle: Es werden Maßnahmen ergriffen, um sicherzustellen, dass unbefugte Personen keinen Zugriff auf die Datenverarbeitungssysteme erhalten. Alle Systeme sind durch Passwörter geschützt, wobei der Zugang zu Entwicklungs- und Verwaltungsbereichen durch ein Kennwortverfahren mit besonderen Sicherheitsmerkmalen gewährleistet wird. Bei Beendigung eines Dienstverhältnisses wird der Zugang des Mitarbeiters gelöscht. Es wird für jeden Benutzer ein individueller Benutzerstammsatz eingerichtet, und die Datenübertragung erfolgt ausschließlich über verschlüsselte SSL-Verbindungen.

2. 2. Zugriffskontrolle: Es erfolgt eine bedarfsgerechte Vergabe von Berechtigungen und Zugriffsrechten, die     überwacht und protokolliert werden.
3. 3. Weitergabekontrolle: Es werden Maßnahmen getroffen, um sicherzustellen, dass personenbezogene Daten bei der Übertragung oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Der Austausch von Daten erfolgt ausschließlich innerhalb der Systeme des Auftragnehmers oder seiner     Subauftragsverarbeiter über verschlüsselte Verbindungen.
4. 4. Eingabekontrolle: Es werden Maßnahmen zur Überprüfung von Datenänderungen implementiert, um sicherzustellen, dass Daten nur von autorisierten Benutzern bearbeitet oder gelöscht werden können. Jede Änderung wird protokolliert, um eine Nachverfolgung zu ermöglichen.
5. 5. Auftragskontrolle: Es werden Maßnahmen zur klaren Abgrenzung der Zuständigkeiten zwischen Kunden und Auftragnehmer getroffen. Dies umfasst eine eindeutige Vertragsgestaltung, strenge Überprüfungsverfahren für Datenzugriffe, genaue Dokumentation von Datenverarbeitungsprozessen und regelmäßige Audits.
6. 6. Verfügbarkeitskontrolle: Es werden Maßnahmen zur Gewährleistung der Verfügbarkeit der Systeme implementiert, darunter Systemredundanzen, Disaster-Recovery-Strategien, kontinuierliche Überwachung sowie regelmäßige Updates und Schulungen des Personals.
7. 7. Trennungskontrolle: Es werden Maßnahmen zur separaten Verarbeitung von Daten mit unterschiedlichen Zwecken umgesetzt, einschließlich logischer und physischer Trennung der Daten nach Mandanten und Funktionen der Systeme.

Anlage 2 - Eingesetzte Dienstleister

Die ZeitZubi UG (haftungsbeschränkt) engagiert verschiedene Dienstleister, um Services im Zusammenhang mit der Plattformbereitstellung zu erbringen. Diese Dienstleister erhalten Zugriff auf spezifische personenbezogene Daten. Vorbehaltlich wird mit jedem beauftragten Unternehmen ein Auftragsverarbeitungsvertrag abgeschlossen. Sollte sich der Hauptsitz eines Dienstleisters in einem Drittland befinden, werden sogenannte Standardvertragsklauseln angewendet.

Erbrachte Dienstleistung: IT-Infrastrukturleistungen  (Server) und Email Dienstleister
Anbieter: IONOS SE,  Elgendorfer Str. 57, 56410 Montabaur
Verarbeitete Daten: Technische  Protokolldaten, Kontaktdaten

Erbrachte Dienstleistung: Datenbank
Anbieter: Formagrid Inc, 799 Market Street, 8th Floor, San  Francisco, California 94103
Verarbeitete Daten: Kontaktdaten,  Identifikationsdaten, Geolokationsdaten Weitere personenbezogenen Daten z.B.  in Freitextfeldern

Erbrachte Dienstleistung: Zugangsberechtigungen
Anbieter: Memberstack Inc.,  1209 Orange Street, Wilmington, New Castle Country, Delaware 19801, USA
Verarbeitete Daten: Geolokationsdaten, weitere personenbezogene Daten z.B. in Freitextfeldern

Erbrachte Dienstleistung: API
Anbieter: Zapier Inc., 548 Market Street 62411, San Francisco,  CA 94104-5401, USA
Verarbeitete Daten: Geolokationsdaten  Weitere personenbezogene Daten z.B. in Freitextfeldern

Erbrachte Dienstleistung: Karten /Maps
Anbieter: Google Ireland Limited („Google“), Gordon House,  Barrow Street, Dublin 4, Irland
Verarbeitete Daten: Geolokationsdaten

Erbrachte Dienstleistung: Erstellen | Hosten  der Website
Anbieter: Webflow, Inc., 398 11th Street, 2ndFloor, San  Francisco, CA 94103, USA 
Verarbeitete Daten: Kontaktdaten, Identifikationsdaten, Geolokationsdaten, weitere personenbezogenen Daten z.B.  in Freitextfeldern

Erbrachte Dienstleistung: Möglichkeit des Speicherns | Filterns von Projekten für den Nutzer
Anbieter: Jetboost LLC, 1309 Coffeen AvenueSte 1200, Sheridan, WY 82801, USA
Verarbeitete Daten: Speicherung von Projekten in der Wunschliste des Nutzers

Erbrachte Dienstleistung: Consent-Management-Tool,  zur Einwilligung der Nutzer zur Verwendung von Cookies
Anbieter: Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark
Verarbeitete Daten: Nutzer,  IP-Adresse, Browser- und Endgerätinformationen, Zeitstempel der Einwilligung

‍