Auftragsverarbeitungsvereinbarung (AVV)

Stand: 15.11.2024

Diese Vereinbarung wird geschlossen zwischen:

Verantwortlicher (Auftraggeber): [Name des Unternehmens] [Anschrift des Unternehmens] [Vertreten durch: Name des Vertreters]

und

Auftragsverarbeiter (Auftragnehmer): Black Forest Digital Philipp Kreis Anneliese-Licht-Str. 32 79183 Waldkirch E-Mail: mail@salary-overview.com

---

§ 1 Gegenstand der Vereinbarung

1. Gegenstand: Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Plattform "Salary Online" zur Verfügung, die es ermöglicht, Gehaltsdaten innerhalb eines Unternehmens zu verwalten, zu analysieren und deren Entwicklung zu verfolgen.

2. Dauer: Diese Vereinbarung gilt für die Dauer der Nutzung der Plattform durch den Verantwortlichen. Nach Beendigung der Nutzung werden die personenbezogenen Daten gemäß § 8 dieser Vereinbarung behandelt.

---

§ 2 Art und Zweck der Verarbeitung

1. Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Löschen oder Vernichten von personenbezogenen Daten.

2. Zweck der Verarbeitung: Bereitstellung der Funktionen der Plattform "Salary Online" zur Gehaltsverwaltung und -analyse.

3. Support der Anwender: Im Rahmen des Supports für die Anwender kann es erforderlich sein, auf personenbezogene Daten zuzugreifen, um technische Probleme zu identifizieren und zu beheben. Solche Zugriffe erfolgen ausschließlich zur Fehlerbehebung und Verbesserung der Plattformfunktionalität.

---

§ 3 Kategorien der personenbezogenen Daten und betroffene Personen

1. Kategorien der verarbeiteten Daten:

   • Stammdaten (z. B. Name, Adresse, E-Mail-Adresse)
   • Beschäftigtendaten (z. B. Gehalt, Position, arbeitsbezogene Informationen)
   • Technische Daten (z. B. IP-Adressen, Logfiles)

2. Kategorien betroffener Personen:

   • Mitarbeiter des Verantwortlichen
   • Nutzer der Plattform "Salary Online"

---

§ 4 Pflichten des Auftragsverarbeiters

1. Verarbeitung nur auf Weisung: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

2. Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

3. Technische und organisatorische Maßnahmen (TOMs): Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind in Anhang 1 dieser Vereinbarung detailliert beschrieben.

4. Unterstützung des Verantwortlichen: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Pflichten gemäß Art. 32 bis 36 DSGVO.

5. Löschung und Rückgabe: Nach Abschluss der Verarbeitung werden alle personenbezogenen Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

6. Nachweispflicht: Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Vereinbarung festgelegten Pflichten zur Verfügung.

---

§ 5 Pflichten des Verantwortlichen

1. Rechtmäßigkeit der Verarbeitung: Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten verantwortlich.

2. Informationspflicht: Der Verantwortliche stellt sicher, dass die betroffenen Personen über die Verarbeitung ihrer Daten informiert werden.

3. Weisungen: Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen in dokumentierter Form.

---

§ 6 Unterauftragsverhältnisse

1. Einsatz von Unterauftragsverarbeitern: Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen einsetzen.

2. Liste der Unterauftragsverarbeiter: Eine aktuelle Liste der Unterauftragsverarbeiter ist in Anhang 2 dieser Vereinbarung enthalten.

3. Verpflichtung der Unterauftragsverarbeiter: Der Auftragsverarbeiter stellt sicher, dass die Unterauftragsverarbeiter denselben Datenschutzpflichten unterliegen wie in dieser Vereinbarung festgelegt.

---

§ 7 Übermittlung in Drittländer

1. Bedingungen für die Übermittlung: Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

---

§ 8 Beendigung der Verarbeitung

1. Löschung oder Rückgabe: Nach Abschluss der Verarbeitung werden alle personenbezogenen Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

2. Nachweis der Löschung: Der Auftragsverarbeiter weist die Löschung der Daten auf Verlangen, durch Verfahrensdokumentationen (z.B. Auschnitte aus Programmcode, der die Löschung vornimmt), nach.

---

§ 9 Schlussbestimmungen

1. Änderungen und Ergänzungen: Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.

2. Salvatorische Klausel: Sollte eine Bestimmung dieser Vereinbarung unwirksam sein, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.

3. Anwendbares Recht: Es gilt das Recht der Bundesrepublik Deutschland.

4. Gerichtsstand: Gerichtsstand ist der Sitz des Verantwortlichen.

---

Anhang 1: Technische und Organisatorische Maßnahmen (TOMs)

Stand: 15.11.2024

1. Zutrittskontrolle:

   • Physische Sicherheit: Die Server befinden sich in einem zertifizierten Rechenzentrum mit 24/7-Überwachung, Zugangskontrollen und Videoüberwachung.
   • Schließsysteme: Zugang zum Büro von Black Forest Digital ist nur autorisierten Personen mittels persönlicher Schlüssel möglich.
   • Besuchermanagement: Besucher müssen sich anmelden und werden stets begleitet.

2. Zugangskontrolle:

   • Authentifizierung: Nutzung von individuellen Benutzerkonten mit starken Passwörtern und SSH-Schlüsseln, die regelmäßig geändert werden müssen.
   • Multi-Faktor-Authentifizierung (MFA): Administratoren und Entwickler verwenden MFA oder SSH-Schlüssel für den Zugriff auf Systeme.
   • Rollenbasierter Zugriff: Zugriffsrechte sind auf das notwendige Minimum beschränkt und werden regelmäßig überprüft.

3. Weitergabekontrolle:

   • Verschlüsselung: Übertragung von Daten erfolgt ausschließlich über verschlüsselte Verbindungen (SSL/TLS).
   • Datenminimierung: Übermittlung personenbezogener Daten an Dritte erfolgt nur, wenn unbedingt erforderlich und gesetzlich zulässig.
   • Protokollierung: Alle Datenübertragungen werden protokolliert und überwacht.

4. Eingabekontrolle:

   • Überwachung: Regelmäßige Überprüfung der Logs auf unbefugte Zugriffe oder Änderungen.
   • Nachvollziehbarkeit: Änderungen sind eindeutig einzelnen Benutzern zuordenbar.

5. Auftragskontrolle:

   • Vertragliche Regelungen: Klare Festlegung der Weisungen des Verantwortlichen im Vertrag.
   • Schulungen: Mitarbeiter werden regelmäßig zu Datenschutz und Datensicherheit geschult.
   • Weisungsmanagement: Es existiert ein dokumentierter Prozess zur Entgegennahme und Umsetzung von Weisungen des Verantwortlichen.

6. Verfügbarkeitskontrolle:

   • Backups: Tägliche Backups aller relevanten Daten auf sicheren, georedundanten Speichermedien.
   • Notfallplan: Implementierung eines Notfallplans zur schnellen Wiederherstellung der Systeme bei Ausfällen.
   • USV und Klimatisierung: Einsatz von unterbrechungsfreien Stromversorgungen und Klimaanlagen im Serverraum des Rechenzentrums.

7. Trennungsgebot:

   • Logische Trennung: Daten verschiedener Mandanten werden logisch getrennt gespeichert.
   • Entwicklungs- und Testumgebungen: Nutzung anonymisierter oder synthetischer Daten in Nicht-Produktionsumgebungen.
   • Zugriffsbeschränkungen: Klare Trennung der Zugriffsrechte zwischen Entwicklungs-, Test- und Produktionssystemen.

8. Pseudonymisierung und Verschlüsselung:

   • Datenbankverschlüsselung: Speicherung sensibler Daten (z.B. Mitarbeiterstammdaten) in verschlüsselter Form in der Datenbank. Salary Onlineverwendet standardmäßig die symmetrische Verschlüsselung mit dem Algorithmus AES-256-CBC. Die Verschlüsselung erfolgt über die OpenSSL-Bibliothek. Alle verschlüsselten Werte werden mit einem Message Authentication Code (MAC) signiert, um sicherzustellen, dass die Daten nicht manipuliert wurden.
   • Pseudonymisierung: Verwendung von Pseudonymen, wo immer möglich, um direkte Personenbezüge zu vermeiden.
   • Schlüsselmanagement: Sichere Verwaltung der Verschlüsselungs- und Entschlüsselungsschlüssel.

9. Integritätskontrolle:

   • Checksummen und Hashes: Einsatz von Prüfsummen und Hash-Algorithmen zur Sicherstellung der Datenintegrität.
   • Änderungskontrolle: Implementierung von Prozessen zur Kontrolle und Freigabe von Änderungen an Systemen und Software mittels Pull Requests.
   • Antiviren-Software: Einsatz aktueller Antiviren- und Anti-Malware-Lösungen auf allen relevanten Systemen.

10. Regelmäßige Überprüfung und Bewertung:

    • Interne Audits: Durchführung regelmäßiger interner Audits zur Überprüfung der TOMs.
    • Risikobewertung: Jährliche Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
    • Aktualisierung der Maßnahmen: Anpassung der TOMs an neue Risiken und technologische Entwicklungen.

11. Datenschutzfreundliche Voreinstellungen:

    • Privacy by Default: Voreinstellungen der Plattform sind auf maximale Datensparsamkeit ausgerichtet.
    • Benutzereinstellungen: Nutzer haben je nach Tarif und Rolle die Möglichkeit, Datenschutzeinstellungen durch Berechtigungen individuell anzupassen.
    • Transparenz: Klare und verständliche Informationen über die Datenverarbeitung werden bereitgestellt.

12. Meldung von Datenschutzvorfällen:

    • Incident-Response-Plan: Es existiert ein Prozess zur Meldung und Behandlung von Datenschutzvorfällen.
    • Benachrichtigung: Verpflichtung zur unverzüglichen Information des Verantwortlichen bei relevanten Vorfällen.
    • Dokumentation: Alle Vorfälle werden dokumentiert und Maßnahmen zur Verhinderung zukünftiger Vorfälle ergriffen.

---

Anhang 2: Liste der Unterauftragsverarbeiter

Dieser Anhang enthält eine aktuelle Liste aller Unterauftragsverarbeiter und wird regelmäßig aktualisiert.

Stand: 15.11.2024

1. Hetzner Online GmbH

   • Zweck: Hosting der Plattform.
   • Standort: Deutschland.
   • Datenschutzerklärung: https://www.hetzner.com/legal/privacy-policy

2. InternetX GmbH

   • Zweck: Domain-Management.
   • Standort: Deutschland.
   • Datenschutzerklärung: https://www.internetx.com/de/datenschutz/

3. Scaleway S.A.S.

   • Zweck: E-Mail-Versand (transaktionale E-Mails).
   • Standort: Frankreich.
   • Datenschutzerklärung: https://www.scaleway.com/en/legal/privacy/

4. Proton AG (ProtonMail)

   • Zweck: Geschäftliche E-Mail-Kommunikation.
   • Standort: Schweiz.
   • Datenschutzerklärung: https://proton.me/de/legal/privacy

5. Fathom Analytics

   • Zweck: Anonymisierte Analyse der Webseitenbesuche (ohne Einsatz von Cookies).
   • Standort: Kanada.
   • Datenschutzerklärung: https://usefathom.com/privacy
   • Hinweis: Fathom Analytics verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Alle Daten werden vollständig anonymisiert erhoben.

6. BUNNYWAY (bunny.net Fonts)

   • Zweck: Bereitstellung von Schriftarten auf unserer Website.
   • Standort: Slowenien.
   • Datenschutzerklärung: https://bunny.net/privacy/

   Wir nutzen den Dienst “bunny.net Fonts” der BUNNYWAY, informacijske storitve d.o.o., Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien, um Schriftarten auf unserer Website bereitzustellen. Dabei werden keine personenbezogenen Daten an bunny.net übermittelt. Die Nutzung erfolgt auf Grundlage unseres berechtigten Interesses an einer einheitlichen und ansprechenden Darstellung unseres Online-Angebots gemäß Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen finden Sie in der Datenschutzerklärung von bunny.net: https://bunny.net/privacy/