‍
Zusatzvereinbarung zum Vertrag mit clockin
Auftragsverarbeitungsvereinbarung‍

Abschnitt 1
PARTEIEN UND HINTERGRUND

1.1 Der Kunde hat mit clockin GmbH ("clockin") (jeweils eine "Partei" und zusammen die "Parteien") einen Vertrag geschlossen (entsprechend der jeweils gültigen Fassung), wodurch clockin sich verpflichtet hat, dem Kunden bestimmte Supportleistungen oder Professionelle Dienstleistungen (zusammen die "Dienstleistungen") zu erbringen (der "Vertrag").

1.2 Im Rahmen der Erbringung der Dienstleistungen nach dem Vertrag wird clockin Personenbezogene Daten des Kunden verarbeiten. Diese Auftragsverarbeitungsvereinbarung ("AVV") regelt die datenschutzrechtlichen Verpflichtungen der Parteien bei der Verarbeitung Personenbezogener Daten des Kunden.

1.3 Ob eine der folgenden Anlagen dieser AVV anwendbar ist oder nicht, hängt davon ab, wo der Kunde und die Verbundenen Unternehmen ansässig sind. Diese AVV gilt für die folgenden Situationen:

a) Wenn der Kunde und das Verbundene Unternehmen im Europäischen Wirtschaftsraum, einschließlich der Europäischen Union ("EU", zusammen der "EWR"), ansässig sind, sollen die in Anlage A dieser AVV festgelegten Datenverarbeitungsklauseln (wie unten definiert) die Auftragsverarbeitung regeln.

b) Für den Fall, dass der Kunde und/oder das Verbundene Unternehmen in UK (wie unten definiert) ansässig sind, soll der in Anlage B dieser AVV enthaltene UK-Nachtrag (wie unten definiert) die Auftragsverarbeitung regeln.

c) Für den Fall, dass der Kunde und/oder das Verbundene Unternehmen in einem Drittstaat (wie unten definiert) ansässig sind, sind die Standardvertragsklauseln (wie unten definiert) in Anlage C dieser AVV festgelegt und sollen die Auftragsverarbeitung regeln.

1.4 Die obligatorischen Anhänge der Auftragsverarbeitungsklauseln und die Standardvertragsklauseln sind in Anlage D aufgeführt.

Abschnitt 2
DEFINITIONEN

2.1 Großgeschriebene Begriffe, die in dieser AVV verwendet, aber nicht definiert werden, haben die in dem Vertrag festgelegte Bedeutung. Die folgenden, in dieser AVV verwendeten Begriffe werden wie folgt definiert.

a) "Anwendbares Recht" bezeichnet alle Gesetze, Regeln und Vorschriften, die auf die Leistung einer Partei im Rahmen dieser AVV anwendbar sind, einschließlich, aber nicht beschränkt auf diejenigen, die für die Verarbeitung Personenbezogener Daten gelten. Dies bedeutet insbesondere die DSGVO und alle nationalen Gesetze, die die geltenden Vorschriften für die Verarbeitung Personenbezogener Daten rechtsgültig ändern.

b) "Verbundenes Unternehmen" bezeichnet ein verbundenes Unternehmen des Kunden, das Begünstigter des Vertrags ist.

c) "Personenbezogene Daten des Kunden" sind Personenbezogene Daten, die von clockin im Auftrag des Kunden oder eines Verbundenen Unternehmens im Zusammenhang mit der Erbringung der Dienstleistungen verarbeitet werden, wozu auch Personenbezogene Daten der Kunden und Verbundenen Unternehmen sowie anderer Dritter gehören können, deren Personenbezogene Daten vom Kunden oder einem Verbundenen Unternehmen verarbeitet werden.

d) "Auftragsverarbeitungsklauseln" sind die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/915 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates.

e) "DSGVO" bezeichnet die Verordnung (EU) 2016/679 (die "EU DSGVO") oder, sofern anwendbar, die "UK DSGVO", die gemäß Abschnitt 3 des UK EU-Austrittsgesetzes 2018 Teil des Rechts für England und Wales, Schottland und Nordirland ist.

f) "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, oder sind anderweitig "personenbezogene Daten", "persönliche Informationen", "persönlich identifizierbare Informationen" und ähnliche Begriffe. Diese Begriffe haben die gleiche Bedeutung wie in den geltenden Datenschutzgesetzen definiert.

g) "Drittstaat" ist ein Land, ein Gebiet oder ein bestimmter Sektor innerhalb eines Landes oder eine internationale Organisation außerhalb des EWR, die nach Auffassung der Europäischen Kommission kein angemessenes Schutzniveau gewährleistet.

h) "SCC" bezeichnet die Auftragsverarbeitungsklauseln und Standardvertragsklauseln.

i) "Standardvertragsklauseln" bezeichnet Modul 4 der Standardvertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.

j) "Unterauftragsverarbeiter von clockin" bezeichnet einen von clockin mit der Verarbeitung Personenbezogener Daten des Kunden beauftragten Auftragsverarbeiter; und

k) "UK" bezeichnet das Vereinigte Königreich von Großbritannien und Nordirland.

2.2 Die Begriffe "Verantwortlicher", "Auftragsverarbeiter", "betroffene Person", "Verarbeitung", "Verletzung des Schutzes personenbezogener Daten" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in der DSGVO dargelegt.

Abschnitt 3
BEZIEHUNG ZU DEM VERTRAG

3.1 Diese AVV ist Bestandteil der Vereinbarung und tritt mit dem Datum des Inkrafttretens des Vertrags ("Datum des Inkrafttretens") in Kraft und ersetzt alle zuvor geltenden Datenverarbeitungs- und Sicherheitsbedingungen. Diese AVV ergänzt und (im Falle von Widersprüchen) ersetzt den Vertrag in Bezug auf die Verarbeitung Personenbezogener Daten des Kunden.

3.2 Jede Verarbeitung, wie sie in Abschnitt 6 und Anhang II der Anlage D zu dieser Datenschutzvereinbarung beschrieben ist, unterliegt dieser AVV.

3.3 Verbundene Unternehmen sind Begünstigte im Rahmen dieser AVV und - über den Kunden (siehe Ziffern 3.4 und 3.5 ) - berechtigt, alle Rechte in Bezug auf die vom jeweiligen Verbundenen Unternehmen bereitgestellten personenbezogenen Daten des Kunden geltend zu machen. Der Kunde stellt sicher, dass alle Verpflichtungen aus dieser AVV an das jeweilige Verbundene Unternehmen weitergegeben werden. 

3.4 Der Kunde garantiert, dass er von den Verbundenen Unternehmen, in deren Namen clockin Personenbezogene Daten des Kunden gemäß dieser AVV verarbeitet, ordnungsgemäß beauftragt ist, (a) die Bedingungen dieser AVV im Namen der Verbundenen Unternehmen durchzusetzen und im Namen der Verbundenen Unternehmen bei der Verwaltung und Geltendmachung von Ansprüchen, die im Zusammenhang mit dieser AVV entstehen, zu handeln; und (b) im Namen der Verbundenen Unternehmen Benachrichtigungen oder Mitteilungen gemäß dieser AVV entgegenzunehmen und zu beantworten. 

3.5 Der Kunde ist der einzige Ansprechpartner für die gesamte Kommunikation zwischen den Verbundenen Unternehmen und clockin.

Abschnitt 4
ANWENDUNGSBEREICH DER AUFTRAGSVERARBEITUNGSKLAUSELN

4.1 Die in Abschnitt 1 der Anlage A dieser AVV enthaltenen Auftragsverarbeitungsklauseln gelten standardmäßig, wenn Personenbezogene Daten des Kunden vom Kunden oder einem Verbundenen Unternehmen mit Sitz in der EU und/oder dem EWR bereitgestellt werden oder wenn die DSGVO anderweitig Anwendung findet.

4.2 Zusätzlich zu den Klauseln, die unter Ziffer 4.1 anwendbar sind, gilt der in Anlage B enthaltene UK-Nachtrag, wenn Personenbezogene Daten des Kunden von einem UK ansässigen Kunden oder einem UK ansässigen Verbundenen Unternehmen bereitgestellt werden.

4.3 Die Standardvertragsklauseln in Abschnitt 1 von Anlage C dieser AVV gelten standardmäßig, wenn Personenbezogene Daten des Kunden von einem Kunden oder einem Verbundenen Unternehmen bereitgestellt werden, das in einem Drittstaat ansässig ist oder für das die DSGVO ansonsten nicht gilt.

Abschnitt 5
ROLLE DER PARTEIEN

5.1 clockin fungiert als "Auftragsverarbeiter" oder "Unterauftragsverarbeiter" im Sinne der DSGVO. Die Funktion von clockin als Auftragsverarbeiter oder Unterauftragsverarbeiter wird durch die Funktion des Kunden bestimmt:

a) Wenn der Kunde als Verantwortlicher fungiert, handelt clockin als Auftragsverarbeiter.

b) Fungiert der Kunde als Auftragsverarbeiter im Auftrag eines anderen Verantwortlichen, handelt clockin als Unterauftragsverarbeiter.

5.2 Wird clockin als Unterauftragsverarbeiter tätig, gelten die Bestimmungen der Auftragsverarbeitungsklauseln oder der Standardvertragsklauseln entsprechend. Der Kunde muss clockin informieren, wenn er als Auftragsverarbeiter auf Weisung eines Verantwortlichen tätig wird. clockin verarbeitet die Personenbezogenen Daten nur auf dokumentierte Weisungen des Verantwortlichen des Kunden, die clockin vom Kunden mitgeteilt wurden, sowie zusätzlich auf dokumentierte Weisungen des Kunden. Solche zusätzlichen Weisungen dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen des Kunden stehen. Der Verantwortliche des Kunden oder der Kunde können während der Laufzeit der AVV weitere dokumentierte Weisungen zur Datenverarbeitung erteilen.

Abschnitt 6
GEGENSTAND, DAUER, ZWECK UND BESCHREIBUNG DER VERARBEITUNG

6.1 Die Einzelheiten der Datenverarbeitung (wie Gegenstand, Art und Zweck der Verarbeitung, Kategorien personenbezogener Daten und betroffene Personen) werden von den Vertragsparteien in dem Vertrag und in Anlage D beschrieben.

6.2 Die Dauer der Auftragsverarbeitung entspricht der Laufzeit dieser AVV, wie sie in Abschnitt 7 festgelegt ist.

6.3 Für Dienstleistungen von clockin, die nicht in der Leistungsbeschreibung enthalten sind, über die gesetzlichen Verpflichtungen von clockin hinausgehen oder nicht auf ein Verschulden von clockin zurückzuführen sind, kann eine gesonderte Vergütung vereinbart werden. Sofern nichts anderes schriftlich vereinbart ist, wird diese Vergütung mit einem Standard-Stundensatz von 130,00 EUR berechnet. Die Parteien verpflichten sich, dafür zu sorgen, dass eine solche Vergütung angemessen ist und den marktüblichen Gepflogenheiten entspricht. Die gesetzlichen Mitwirkungspflichten von clockin, insbesondere diejenigen gemäß Artikel 28 DSGVO, bleiben unberührt und sind durch die vereinbarte Hauptvergütung abgedeckt.

Abschnitt 7
VERTRAGSLAUFZEIT

Die Laufzeit dieser AVV stimmt mit der Laufzeit des Vertrags überein. Sie beginnt und endet mit der Erbringung der Dienstleistungen nach diesem Vertrag, sofern in den Bestimmungen dieser AVV nichts anderes festgelegt ist.

Abschnitt 8
VERSCHIEDENES

8.1 Im Falle eines Widerspruchs zwischen den SCC, der AVV oder dem Vertrag gilt die folgende Rangfolge der darin enthaltenen Bestimmungen:

a) SCC, soweit anwendbar, 

b) die Bestimmungen in Anlage D der AVV, die dazu dienen, die erforderlichen Informationen für die SCC (falls anwendbar) und insbesondere ihren Anhang zu ergänzen, 

c) die übrigen Bestimmungen dieser AVV, und 

d) der Vertrag und andere Vertragsdokumente.

8.2 Sollte sich herausstellen, dass eine Bestimmung der AVV gegen Anwendbares Recht verstößt, so berührt dies nicht die Gültigkeit der übrigen Bestimmungen, und die Parteien werden sich einvernehmlich auf Änderungen der AVV einigen, soweit dies erforderlich ist, um eine datenschutzrechtskonforme Auftragsverarbeitung sicherzustellen.

Anlage A

Auftragsverarbeitungsklauseln 

1. Im Folgenden werden die Auftragsverarbeitungsklauseln, wie sie in der DSGVO umgesetzt sind, vorbehaltlich der Änderungen in Ziffer 2 dieser Anlage A beschrieben:

Standardvertragsklauseln

auf der Grundlage des Durchführungsbeschlusses (EU) 2021/915 der Kommission

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

(a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG sichergestellt werden.

(b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.

(c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

(d) Die Anhänge I bis IV sind Bestandteil der Klauseln.

(e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

(f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

Klausel 2

Unabänderbarkeit der Klauseln

(a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

(b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3

Auslegung

(a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5 - fakultativ

Kopplungsklausel

Klausel 5 findet keine Anwendung.

ABSCHNITT II

PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Pflichten der Parteien

7.1.   Weisungen

(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

(b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2.   Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3.   Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4.   Sicherheit der Verarbeitung

(a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

(b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5.   Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6.   Dokumentation und Einhaltung der Klauseln

(a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

(b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise. 

(c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

(d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7.   Einsatz von Unterauftragsverarbeitern

(a) ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens zwei Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

(c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

(e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8.   Internationale Datenübermittlungen

(a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

(b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8

Unterstützung des Verantwortlichen

(a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

(b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben (a) und (b) befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

(c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

(1) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

(2) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

(3) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

(4) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.

(d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1    Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

(a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

(b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

(1) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

(2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

(3) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

(c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2    Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

(a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

(b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

(c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

ABSCHNITT III

SCHLUSSBESTIMMUNGEN

Klausel 10
Verstöße gegen die Klauseln und Beendigung des Vertrags

(a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

(1) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe (a) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

(2) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;

(3) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.

(c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

(d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

*** ENDE Auftragsverarbeitungsklauseln ***

2. Hinsichtlich der Auftragsverarbeitungsklauseln:

2.1 Im Hinblick auf Klausel 7.7 der Auftragsverarbeitungsklauseln ist die vereinbarte Liste gemäß Klausel 7.7(a) der Datenverarbeitungsklauseln der Unterauftragsverarbeiter von clockin in Anhang IV der Anlage D zu dieser AVV aufgeführt (die "Genehmigte Liste").

2.2 Ziffer 7.7 (e) der Auftragsdatenverarbeitungsklauseln findet keine Anwendung. 

2.3 Widerspricht der Kunde dem Einsatz eines neuen Unterauftragsverarbeiters von clockin (einschließlich im Rahmen der Ausübung seines Widerspruchsrechts gemäß Option 2 der Ziffer 7.7(a) der Auftragsverarbeitungsklauseln) aus triftigen Gründen, so muss er clockin den Widerspruch innerhalb von zwei (2) Wochen, nachdem clockin den Kunden gemäß Ziffer 7.7(a) der Auftragsverarbeitungsklauseln in Abschnitt 1 dieser Anlage A zum AVV über die geplante Änderung informiert hat, schriftlich mitteilen ("Widerspruch"). Widerspricht der Kunde der Beauftragung nicht innerhalb der Widerspruchsfrist, wird von einer Zustimmung zu der Beauftragung ausgegangen. Widerspricht der Kunde der Beauftragung eines neuen Unterauftragsverarbeiters von clockin, werden der Kunde und clockin nach Treu und Glauben zusammenarbeiten, um eine für beide Seiten annehmbare Lösung für diesen Widerspruch zu finden. Sollten die Parteien nicht in der Lage sein, innerhalb eines angemessenen Zeitraums eine für beide Seiten akzeptable Lösung zu finden, kann jede Partei als einziges und ausschließliches Rechtsmittel den Teil der Vereinbarung, der sich auf die von einer solchen Änderung betroffenen Dienstleistungen bezieht, durch schriftliche Mitteilung an die andere Partei kündigen. Während einer solchen Widerspruchsfrist kann clockin den betroffenen Teil der Dienstleistungen aussetzen. Der Kunde kann nur dann eine anteilige Rückerstattung verlangen, wenn er nachweisen kann, dass die Beanstandung auf berechtigter Sorge der Nichteinhaltung Anwendbaren Rechts beruht.

2.4 Anhang I (Liste der Parteien) der Auftragsverarbeitungsklauseln soll die Informationen in Anhang I der Anlage D dieser AVV enthalten;

2.5 Anhang II (Beschreibung der Übermittlung) der Auftragsverarbeitungsklauseln soll die Informationen in Anhang II der Anlage D zu dieser AVV enthalten; und

2.6 Anhang III (Technische und organisatorische Maßnahmen) der Auftragsverarbeitungsklauseln soll die Informationen in Anhang III der Anlage D zu dieser AVV enthalten.

2.7 Anhang IV (Unterauftragsverarbeiter) der Auftragsverarbeitungsklauseln soll die Informationen in Anhang IV der Anlage D dieser AVV enthalten.

‍

Anlage B

UK-Nachtrag

1. Definitionen und Auslegung

1.1 Die in diesem UK-Nachtrag verwendeten Begriffe, die nicht in dieser AVV definiert sind, haben die folgende Bedeutung: 

"UK Datenschutzgesetze" bezeichnet alle Gesetze zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Schutz der Privatsphäre und/oder zur elektronischen Kommunikation, mit jeweiliger UK Geltung, einschließlich der UK DSGVO und des UK Data Protection Act 2018.

1.2 Dieser UK-Nachtrag muss immer so ausgelegt werden, dass er mit den UK Datenschutzgesetzen übereinstimmt und dass er die Verpflichtung der Parteien unter den UK Datenschutzgesetzen erfüllt.

1.3 Bei Unstimmigkeiten oder Widersprüchen zwischen dem UK-Nachtrag und den Auftragsverarbeitungsklauseln hat der UK-Nachtrag Vorrang vor den Auftragsverarbeitungsklauseln, es sei denn, die inkonsistenten oder widersprüchlichen Bestimmungen der Auftragsverarbeitungsklauseln bieten den betroffenen Personen einen besseren Schutz; in diesem Fall haben diese Bestimmungen Vorrang vor dem UK-Nachtrag.

2. Aufnahme von und Änderungen an den Auftragsverarbeitungsklauseln

2.1 Dieser UK-Nachtrag enthält die Auftragsverarbeitungsklauseln in der in Anlage A modifizierten Form, welche hiermit in dem Umfang geändert werden, der erforderlich ist, um die Einhaltung der Anforderungen gemäß Artikel 28 UK DSGVO zu gewährleisten.

2.2 Die Auftragsverarbeitungsklauseln sind so zu lesen und auszulegen, dass sie mit den UK Datenschutzgesetzen übereinstimmen und die Verpflichtung der Parteien erfüllen, einen Vertrag zu schließen, der mit Artikel 28 Absatz 3 und 4 der UK DSGVO übereinstimmt.

2.3 Die Auftragsverarbeitungsklauseln gelten als im erforderlichen Umfang geändert, sodass sie wie folgt angewendet werden:

2.3.1 zur Auftragsverarbeitung durch clockin im Auftrag des Kunden, soweit die UK Datenschutzgesetze auf diese Auftragsverarbeitung anwendbar sind; und

2.3.2 um die Einhaltung von Artikel 28 Absätze 3 und 4 der UK DSGVO zu gewährleisten. 

2.4 Die in Abschnitt 2.2 genannten Änderungen umfassen (ohne Einschränkung) Folgendes:

2.4.1 Die Verweise auf die "Verordnung (EU) 2016/679", die "Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)" und die "genannte Verordnung" werden vollständig durch "UK DSGVO" ersetzt;

2.4.2 Verweise auf bestimmte Artikel der "Verordnung (EU) 2016/679" werden durch die entsprechenden Artikel oder Abschnitte der UK DSGVO ersetzt;

2.4.3 Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;

2.4.4 Verweise auf die "Union", die "EU" und den "EU-Mitgliedstaat" werden alle durch "UK" ersetzt; und

2.4.5 Die Bezugnahme auf die "zuständige Aufsichtsbehörde" wird durch die Bezeichnung "Information Commissioner" ersetzt.

2.5 Verweise auf die "Klauseln" beziehen sich auf diesen UK-Nachtrag, unter Einbeziehung der Auftragsverarbeitungsklauseln.

Anlage C

Standardvertragsklauseln

3. Die Standardvertragsklauseln werden hiermit durch Verweis einbezogen und gelten für die Zwecke der Standardvertragsklauseln wie folgt:

3.1 Modul Vier findet in den Fällen der Verarbeitung gemäß Klausel 5.1 a)des AVV und im Falle der Verarbeitung gemäß Klausel 5.1 b)des AVV Anwendung.

3.2 In Bezug auf Klausel 11 der Standardvertragsklauseln (Rechtsbehelf) vereinbaren die Parteien, dass die OPTION keine Anwendung findet.

3.3 In Bezug auf Klausel 17 der Standardvertragsklauseln (Anwendbares Recht) vereinbaren die Parteien, dass das Recht der Bundesrepublik Deutschland anwendbar ist.

3.4 In Klausel 18 der Standardvertragsklauseln (Gerichtsstand und Zuständigkeit) unterwerfen sich die Parteien der Zuständigkeit der Gerichte der Bundesrepublik Deutschland.

*** ENDE der Standardvertragsklauseln ***

4. Hinsichtlich der Standardvertragsklauseln:

4.1 Anhang I.A (Liste der Parteien) der Standardvertragsklauseln soll die Informationen in Anhang I der Anlage D zu dieser AVV enthalten; und

4.2 Anhang I.B (Beschreibung der Datenübermittlung) der Standardvertragsklauseln soll die Informationen in Anhang II der Anlage D zu dieser AVV enthalten.

Anlage D

Anhang I der Anlage D:

Der Kunde wird in den Auftragsverarbeitungsklauseln, als der/die Verantwortliche(n) und in Bezug auf die Standardvertragsklauseln als Datenimporteur bezeichnet:

Name:   Der Kunde ist die Partei, die den Vertrag mit clockin abgeschlossen hat.

Anschrift:  wird vom Kunden in dem Vertrag/Auftrag angegeben

Name, Position und Kontaktdaten der Kontaktperson: werden vom Kunden in dem Vertrag/Auftrag angegeben

Kontaktdaten des Beauftragten für den Datenschutz:  werden  – sofern anwendbar – vom Kunden in dem Vertrag/Auftrag angegeben

Tätigkeiten, die für die gemäß den Standardvertragsklauseln übermittelten Daten relevant sind:  beschrieben in dem Vertrag sowie in dem jeweiligen Auftrag

Rolle nach Anwendbarem Recht:  Verantwortlicher oder Auftragsverarbeiter im Auftrag eines Dritten

‍

clockin wird in Bezug auf die Auftragsverarbeitungsklauseln als Auftragsverarbeiter und in Bezug auf die Standardvertragsklauseln als Datenexporteur bezeichnet:

Name:   clockin GmbH 

Anschrift: Rektoratsweg 36, 48159 Münster, Deutschland

Kontaktperson: E-Mail: datenschutz@clockin.de

Kontaktdaten Beauftragten für den Datenschutz: Siehe Angaben auf der Webseite abrufbar unter https://www.clockin.de/rechtliches/datenschutz, E-Mail: datenschutz@clockin.de 

Tätigkeiten, die für die gemäß den Standardvertragsklauseln übermittelten Daten relevant sind: beschrieben in dem Vertrag sowie in dem jeweiligen Auftrag

Rolle nach Anwendbarem Recht: Auftragsverarbeiter im Auftrag des Kunden als Verantwortlicher oder Unterauftragsverarbeiter im Auftrag des Kunden als Auftragsverarbeiter.

‍

[Als integraler Bestandteil des Vertrags ist die AVV ab dem Datum des Inkrafttretens des Vertrags ohne Unterschrift wirksam].

Anhang II der Anlage D:

Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden:

● Arbeitnehmer, Kunden, Mitglieder, Zulieferer, potenzielle Kunden und andere Personen, die ein Kunde in das clockin System einträgt

‍

Kategorien übermittelter personenbezogener Daten (hinsichtlich der Standardvertragsklauseln) und verarbeiteter personenbezogener Daten (hinsichtlich der Auftragsverarbeitungsklauseln)

● Namen

● Adressen

● Kontaktdaten

● Beruf/Funktion im Unternehmen

● Details der Anfrage

● Gekauftes Produkt

● Zahlungsinformationen

● Angaben zur Beschäftigung

● Fotos

● Ortungsdaten (sofern ausgewählt)

● IT-Nutzungsdaten

● Arbeits- und Pausenzeiten

● Abwesenheiten und zugehörige Daten/Informationen (Urlaub, Krankheit, Sonderurlaub, Schulungen, Arbeitszeitkonto)

● Dokumentierte Arbeitsergebnisse in Form von Fotos, Text, Video, Audio

● Dokumente und Informationen, die in Mitarbeiterdaten oder digitalen Personalakten gespeichert sind (sofern verwendet)

● Unterzeichnete Auftragsbestätigungen/Checklisten des Kunden als PDF-Dateien

● Zusätzliche Informationen, die vom Kunden oder dessen Mitarbeitern in das System eingegeben wurden (Text, Audio, Video, Bilder, PDFs, Grafiken und mehr)

Hinsichtlich der Standardvertragsklauseln die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

● Nicht regelmäßig, nur auf Anfrage des Kunden.

Art der Verarbeitung

● clockin bietet eine cloudbasierte Lösung für digitale Zeiterfassung, Projektzeiterfassung und Projektdokumentation an, die über mobile Apps, Webbrowser und Terminal-Tablets genutzt wird; die innerhalb der App/des Systems stattfindende Verarbeitung erfolgt regelmäßig im Auftrag des Kunden als Verantwortlichem. 

o Die Verarbeitung umfasst insbesondere die Erfassung und Speicherung von Arbeits-, Pausen-, Reise- und projektbezogenen Zeiten durch Mitarbeiter über App, Browser oder Terminal, einschließlich optionaler standortbasierter Zeiterfassung (GPS/Geo-Tags) zur nachvollziehbaren Zeit-/Standortdokumentation.

o Verarbeitung von Abwesenheiten, Arbeitszeitplänen, Mitarbeiter-Self-Service-Funktionen sowie die Pflege einer digitalen Personalakte (Dokumenten-Upload, einschließlich Vertrags-/HR-Dokumente).

o Projektdokumentation, einschließlich der Erfassung und Speicherung von Fotos, Skizzen, Notizen, digitalen Checklisten/Formularen und der Einholung digitaler Kundenbestätigungen/Unterschriften; Bereitstellung in einer digitalen Projektakte und optionaler Projekt-Export/-Übertragung an Kunden.

o Auswertung/Analyse und Korrektur von Zeit- und Projektdaten, Protokollierungsfunktionen sowie Echtzeitübersichten/Dashboards zu Steuerungs- und Kontrollzwecken.

o Übertragung/Export von Daten in die angebundenen Systeme des Kunden über Schnittstellen und eine offene API.

o Versand von System-/Statusbenachrichtigungen (z. B. Push-Benachrichtigungen) an berechtigte Nutzer zur Bereitstellung von Funktionen.

o Hosting/Betrieb einschließlich Speicherung und Abruf von Daten in der Cloud, Transportverschlüsselung (HTTPS/TLS) und Nutzung eines CDN.

o clockin bietet außerdem Support an. Im Rahmen der Supportleistungen und abhängig vom Einzelfall kann der Kunde clockin Zugang zu seiner IT gewähren. clockin verarbeitet personenbezogene Daten nur im Zusammenhang mit diesen Leistungen.

● Abhängig von der gewählten Funktion umfassen die Verarbeitungsvorgänge insbesondere das Erheben, Erfassen, Organisieren, Speichern, Auswerten, Anzeigen, Übermitteln/Exportieren an definierte Empfängersysteme, das Einschränken sowie das Löschen personenbezogener Daten im Rahmen der vertraglichen Leistungserbringung und der jeweiligen Kundenkonfiguration. Die Speicher- und Löschkonzepte richten sich nach dem Grundsatz der Erforderlichkeit sowie den jeweiligen Zwecken und Aufbewahrungsfristen.

Zweck(e), zu denen/dem die personenbezogenen Daten verarbeitet werden, und im Rahmen der Standardvertragsklauseln, im Auftrag des Kunden übermittelt werden

● Zweck der Verarbeitung und Übermittlung ist es, die Lieferung und Erbringung der im Vertrag vereinbarten Dienstleistungen von clockin entsprechend der Konfiguration sowie Anweisung vom Kunden sicherzustellen.

Hinsichtlich der Auftragsverarbeitungsklauseln die Dauer der Verarbeitung und hinsichtlich der Standardvertragsklauseln der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums

● Die personenbezogenen Daten werden für die Dauer des Vertragsverhältnisses verarbeitet. In der Zwischenzeit werden die personenbezogenen Daten auf Wunsch oder bei Wegfall des Zwecks gelöscht. Nach Beendigung des Vertragsverhältnisses werden die personenbezogenen Daten gemäß dem internen Löschkonzept von clockin gelöscht.

Bei der Verarbeitung durch (Unter-)Auftragsverarbeiter im Sinne der Auftragsverarbeitungsklauseln und bei der Übermittlung an Unterauftragsverarbeiter von clockin sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

● Unterauftragsverarbeiter von clockin werden ausschließlich zum Zwecke des Hostings oder der Bereitstellung der von clockin angebotenen Software eingesetzt. Die Übermittlung und/oder Verarbeitung dient dem Zweck der Leistungserbringung und erfolgt für die Dauer des Vertragsverhältnisses. Die Art der Verarbeitung umfasst Tätigkeiten wie Speicherung, Übermittlung, Löschung, Strukturierung, Organisation. 

Anhang III der Anlage D:
Liste existierender technischer und organisatorischer Maßnahmen des Auftragsverarbeiters gem. Artikel 32 DSGVO

Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen zum Schutz der im Vertrag erfassten personenbezogenen Daten um. Die Maßnahmen wurden gemäß Art. 32 DSGVO festgelegt.

Unterauftragsverarbeiter haben mindestens gleichwertige und in der Regel höhere Sicherheitsmaßnahmen umzusetzen. In diesem Zusammenhang wird auf die technischen und organisatorischen Maßnahmen der von uns eingesetzten Dienstleister verwiesen.

1. Zweckbindung und Trennbarkeit

Die folgenden Maßnahmen stellen sicher, dass für unterschiedliche Zwecke erhobene Daten getrennt verarbeitet werden:

● Logische Mandantentrennung (softwarebasiert)

● Berechtigungskonzept

● Trennung von Produktions- und Testsystemen

2. Vertraulichkeit und Integrität

Die folgenden Maßnahmen stellen die Vertraulichkeit und Integrität der Datenverarbeitungssysteme des Auftragsverarbeiters sicher: 

a. Verschlüsselung

Die im Auftrag des Kunden verarbeiteten Daten oder Datenträger werden wie folgt verschlüsselt: Während des Transports werden ausschließlich verschlüsselte Verbindungen (z. B. TLS, SSH) verwendet.

b. Es wurden folgende Maßnahmen getroffen, um zu verhindern, dass Unbefugte Zugang zu der Datenverarbeitungsausrüstung des Auftragsverarbeiters erhalten, mit der personenbezogene Daten verarbeitet oder genutzt werden (Zugangskontrolle):

● Alarmanlage

● Ein- und Ausgänge zum Gebäude können nicht von außen geöffnet werden

● Sicherheitsmaßnahmen für Fenster, Kellerfenster und Lichtschächte

● Zentraler Bereich mit Personenkontrolle

● Automatisches Zutrittskontrollsystem

● Chipkarten-/Transponder-Schließsystem

● Lichtschranken/Bewegungsmelder

● Schlüsselmanagement (Schlüsselausgabe etc.)

● Karten- und Schlüsseldokumentation Sichere Speicherung von Ersatzkarten/Schlüsseln

c. Folgende Maßnahmen wurden getroffen, um zu verhindern, dass unbefugte Dritte die Datenverarbeitungssysteme nutzen (Zugangskontrolle):

● Vergabe von Benutzerrechten

● Erstellung von Benutzerprofilen

● Authentifizierung mit Benutzername/Passwort

● Passwortvergabe

● Verwendung und Kontrolle von Passwortregeln

● Automatische Kontrolle der sofortigen Vergabe individueller Passwörter

● Alarmierung bei Überschreitung definierter Grenzen für fehlerhafte Anmeldeversuche

● Sperrung von Geräten beim Verlassen des Arbeitsplatzes

● Zuweisung von Nutzerprofilen zu IT-Systemen

● Nutzung von VPN-Technologie für die Übermittlung von Daten

● Verschlüsselung mobiler IT-Systeme

● Verschlüsselung mobiler Datenträger

● Verschlüsselung von Datensicherungssystemen

● Nutzung von Einbruchmeldesystemen

● Nutzung von Antivirensoftware

● Verschlüsselung von Datenträgern in Laptops/Notebooks

● Nutzung einer Hardware-Firewall

● Nutzung einer Software-Firewall

● Regelmäßige Installation von Aktualisierungen für Firewalls und Antivirensoftware

● Regelmäßige Installation von Sicherheitspatches und Aktualisierungen für Browser

● Trennung des Unternehmensnetzwerks von Gast-WLAN

● Nutzung einer zentralen Verwaltungssoftware zur externen Löschung von Daten auf mobilen Geräten

● Verschlüsselung von Datenträgern in mobilen Geräten

● Deaktivierung/Überwachung ungenutzter Anschlussbuchsen

d. Es wurden folgende Maßnahmen getroffen, um sicherzustellen, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten nur auf die Daten zugreifen können, für die sie eine Genehmigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Kontrolle des Zugangs):

● Verwaltung der Rechte durch den Administrator

● Regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insbesondere bei Ausscheiden von Mitarbeitern aus dem Unternehmen usw.)

● Reduzierung der Anzahl der Administratoren auf das „absolute Minimum”

● Protokollierung des Zugriffs auf Anwendungen, insbesondere bei der Eingabe,

● Änderung und Löschung von Daten

● Sichere Speicherung von Datenträgern

● Physische Löschung von Datenträgern vor der Wiederverwendung

● Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)

● Nutzung von Aktenvernichtern oder Dienstleistern

e. Mit den folgenden Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden (Eingabe-Kontrolle).

● Protokollierung der Dateneingabe, -änderung und -Löschung

● Protokollierung der Erstellung/Änderung von Nutzern und Rechten

● Protokollierung von Systemänderungen

● Überwachung von Routern und Switches

● Protokollierung von Verbindungs- und Anrufdaten

● Rückverfolgbarkeit der Dateneingabe, -änderung und -löschung durch einzelne Benutzernamen (nicht Benutzergruppen)

● Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Konzepts der Genehmigung

f. Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, nur gemäß den Anweisungen des Kunden verarbeitet werden können (Auftragskontrolle).

● Auswahl des Auftragsverarbeiters auf der Grundlage von Sorgfaltsüberlegungen (insbesondere im Hinblick auf die Datensicherheit)

● Vorherige Überprüfung der vom Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen

● Schriftliche Anweisungen an den Auftragsverarbeiter (z. B. durch einen Verarbeitungsvertrag)

● Verpflichtung der Mitarbeiter des Auftragsverarbeiters zur Wahrung der Vertraulichkeit und des Fernmeldegeheimnisses

● Verpflichtung externer Dienstleister zur Wahrung des Datengeheimnisses, sofern sie nicht Auftragsverarbeiter sind

● Sicherstellung der Vernichtung der Daten nach Abschluss der Anordnung

● Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragsverarbeiter

● Laufende Überwachung des Auftragsverarbeiters und seiner Tätigkeiten

Bei Fernwartung:

● Nur vorübergehender Zugang, beschränkt auf die jeweilige Wartungssitzung

● Beschränkung des Zugangs auf die für die Wartung erforderlichen Rechte

● Vom Kunden ausgelöste Ereignisse

● Virtuelles privates Netzwerk (VPN)

● Überwachung der Sitzung durch den Kunden (Dual-Control-Prinzip)

g. Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten während der Übermittlung (physisch und/oder digital) nicht von Unbefugten abgerufen oder eingesehen werden können (Transport- und Übertragungskontrolle):

● Nutzung von VPN-Tunneln

● Verschlüsselung der Kommunikationskanäle (z. B. Verschlüsselung des E-Mail-Verkehrs)

● Verschlüsselung physischer Datenträger während des Transports

● Sensible Daten/Dokumente werden bei der Übertragung/Übermittlung verschlüsselt/anonymisiert/pseudonymisiert

● Regelmäßige Installation von Sicherheitspatches/Aktualisierungen für E-Mail-Programme

● Sicherheitseinstellungen für E-Mail-Programme werden gezielt angewendet und können von Nutzern nicht geändert werden

● Nutzung von E-Mail-Inhaltsfiltern

● Protokollierung des E-Mail-Verkehrs und regelmäßige Bewertung auf abweichendes und verdächtiges E-Mail-Verhalten

3. Verfügbarkeit, Wiederherstellbarkeit und Ausfallsicherheit von Systemen

Die folgenden Maßnahmen stellen sicher, dass die eingesetzten Datenverarbeitungssysteme jederzeit ordnungsgemäß funktionieren und personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind

● Klimatisierung in Serverräumen

● Geräte zur Überwachung von Temperatur und Luftfeuchtigkeit in Serverräumen

● Schutzsteckdosenleisten in Serverräumen

● Feuer- und Rauchmeldeanlagen in Serverräumen

● Feuerlöschsystem/Feuerlöscher mit geeigneten Löschmitteln vorhanden

● Brandschutztüren

● Erstellung und Implementierung eines Backup- und Wiederherstellungskonzepts

● Test der Datenwiederherstellung

● Erstellung eines Notfallplans

● Speicherung von Datensicherungen an einem sicheren, externen Standort

4. Überprüfung, Bewertung und Anpassung bestehender Maßnahmen

Der Auftragsverarbeiter überprüft, bewertet und passt die in diesem Anhang aufgeführten technischen und organisatorischen Maßnahmen in angemessenen Abständen und nach Bedarf an. Darüber hinaus wurden folgende Maßnahmen getroffen:

● Benennung eines externen Datenschutzbeauftragten und Einbeziehung des Datenschutzbeauftragten bei Sicherheitsvorfällen und Datenschutzverletzungen

● Dokumentation von Sicherheitsvorfällen und Datenschutzverletzungen

● Pflicht der Mitarbeiter zur Wahrung der Vertraulichkeit

● Pflicht der Mitarbeiter zur Wahrung des Fernmeldegeheimnisses

● Regelmäßige Sensibilisierung der Mitarbeiter

● Durchführung von Datenschutz-Folgenabschätzungen nach Bedarf

● Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenschutzverletzungen

● Vorabüberprüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation

● Auswahl der Auftragnehmer auf der Grundlage besonderer Sorgfaltskriterien

Anhang IV der Anlage D:

Der Kunde hat den Einsatz des/der folgenden Unterauftragsverarbeiter(s) von clockin genehmigt:

‍

1&1 Internet SE

Dienste: Server-Hosting und Backups

Adresse: Elgendorfer Str. 57, 56410 Montabaur

‍

STRATO AG

Dienste: Server-Hosting und Backups 

Adresse: Pascalstraße 10, 10587 Berlin

‍

Mailjet

Dienste: E-Mail-Versand

Anbieter: Mailgun Technologies Inc., 112 E Pecan Sr. #1135, San Antonio, Texas 78205, USA

Webseite: https://www.mailjet.de/

Weitere Informationen & Datenschutz: https://www.mailjet.com/legal/terms/, https://www.mailjet.de/privacy-policy/ und https://sinch.com/legal/terms-and-conditions/other-sinch-terms-conditions/data-protection-agreement/Garantie: EU-Standardvertragsklauseln. Sie können bei uns eine Kopie der EU-Standardvertragsklauseln anfordern. Der Anbieter hat sich dem EU-US Data Privacy Framework (https://www.dataprivacyframework.gov/) angeschlossen, das auf Grundlage eines Beschlusses der Europäischen Kommission die Einhaltung eines angemessenen Niveaus des Datenschutzes gewährleistet.

‍

AWS Cloud
Dienste: Server, Hosting

Anbieter: Amazon Web Services EMEA SARL, Luxembourg.

Webseite: https://aws.amazon.com/de/websites/

Weitere Informationen & Datenschutz: https://aws.amazon.com/de/legal/

Wir planen keine Übertragung personenbezogener Daten in Drittländer. Da Amazon seinen Hauptsitz in den USA hat, können wir die Möglichkeit einer Übertragung personenbezogener Daten an AWS-Server in den USA nicht vollständig ausschließen. In diesem Fall gelten die folgenden Schutzmaßnahmen:

EU-Standardvertragsklauseln. Sie können eine Kopie der EU-Standardvertragsklauseln bei uns anfordern. Der Anbieter hat sich dem EU-US Data Privacy Framework (https://www.dataprivacyframework.gov/) angeschlossen, das auf Grundlage eines Beschlusses der Europäischen Kommission die Einhaltung eines angemessenen Niveaus des Datenschutzes gewährleistet.

‍

Google Cloud
Dienste: Server, Hosting

Anbieter: Im Europäischen Wirtschaftsraum (EWR) und in der Schweiz werden die Google-Dienste von Google Ireland Limited, Irland, bereitgestellt. Google Ireland Limited ist eine Tochtergesellschaft von Google LLC, Vereinigte Staaten von Amerika.

Webseite: https://cloud.google.com/

Weitere Informationen & Datenschutz: https://policies.google.com/?hl=de

Es ist nicht vorgesehen, personenbezogene Daten in Drittländer zu übermitteln. Die Übertragung personenbezogener Daten in Drittländer erfolgt in Abhängigkeit vom jeweiligen Google-Dienst und in Übereinstimmung mit den verschiedenen EU-Standardvertragsklauseln, sofern diese von Google angeboten werden. Weitere Informationen hierzu und zur Verantwortung von Google finden Sie unter folgendem Link: https://business.safety.google/gdpr/. Dort können Sie eine Kopie der EU-Standardvertragsklauseln einsehen. Der Anbieter hat sich dem EU-US Data Privacy Framework (https://www.dataprivacyframework.gov) angeschlossen, das auf Grundlage eines Beschlusses der Europäischen Kommission die Einhaltung eines angemessenen Niveaus des Datenschutzes gewährleistet.

‍

DNN GmbH
Dienste: Marketing, Consulting & Marketing

Adresse: Rektoratsweg 36, 48159 Münster

‍

ChatGPT

Dienste: Unterstützung bei Betriebsablauf und Kundendienst

Anbieter: OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland

Webseite: https://openai.com/de-DE/policies/privacy-policy/

Internationale Datenübermittlung: EU-Standardvertragsklauseln. Sie können eine Kopie der EU-Standardvertragsklauseln bei uns anfragen.

‍

Chatbase

Dienste: Unterstützung des Kundendienstes

Anbieter: Chatbase, 4700 Keele Street, 215 Bergeron Centre, Toronto, ON, Canada, M3J 1P3

Webseite: https://www.chatbase.co/legal/privacy 

Weitere Informationen & Datenschutz: https://www.chatbase.co/legal/terms and https://www.chatbase.co/legal/privacy

Angemessene Garantien: Angemessenheitsbeschluss der Europäischen Kommission

maesn GmbH

Dienste: Schnittstellen zu anderen Systemen

Adresse: c/o TechHubK67, Kasernenstraße 67, 40213 Düsseldorf

Webseite: https://www.maesn.com/

‍

Microsoft Azure

Dienste: Server, Hosting

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland

Webseite: https://azure.microsoft.com/

Weitere Informationen & Datenschutz: https://azure.microsoft.com/de-de/explore/trusted-cloud/privacy  und https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA 

‍

Twilio

Dienste: Cloud-Kommunikation (SMS, Sprachnachrichten)

Anbieter: Twilio Ireland Limited, 25-28 North Wall Quay, Dublin 1, Irland

Webseite: https://www.twilio.com/

Weitere Informationen & Datenschutz: https://www.twilio.com/legal/privacy und https://www.twilio.com/legal/data-protection-addendum

‍