Auftragsverarbeitungsvereinbarung (AVV)

Präambel

Diese Vereinbarung zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem zwischen ihnen geschlossenen Nutzungsvertrag über die taktly-Plattform (nachfolgend „Hauptvertrag"). Sie gilt für alle Verarbeitungen personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers durchführt.

Auftraggeber (Verantwortlicher) ist der Kunde, der die taktly-Plattform nutzt.
Auftragnehmer (Auftragsverarbeiter) ist die Gastrobedarf Thiel UG (haftungsbeschränkt), Industriestr. 7, 46537 Dinslaken (nachfolgend „taktly").

1. Gegenstand, Art, Zweck und Dauer der Verarbeitung

Gegenstand ist die Bereitstellung der taktly-Plattform zur Personaleinsatzplanung, Zeiterfassung, Abwesenheitsverwaltung und Lohnvorbereitung. taktly verarbeitet personenbezogene Daten ausschließlich zur Erbringung dieser vertraglich vereinbarten Leistungen und nur auf dokumentierte Weisung des Auftraggebers. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

2. Art der Daten und Kategorien betroffener Personen

Verarbeitet werden insbesondere: Stammdaten (Name, Kontaktdaten, Personalnummer), Planungs- und Arbeitszeitdaten (Schichten, Erfassungen, Abwesenheiten, Verfügbarkeiten), Qualifikationen sowie – soweit vom Auftraggeber genutzt – lohnvorbereitende Daten. Kategorien betroffener Personen sind die Beschäftigten, Bewerber und sonstigen Mitarbeitenden des Auftraggebers.

3. Pflichten des Auftragnehmers

taktly verpflichtet sich insbesondere:

a) personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers zu verarbeiten; ist taktly der Auffassung, dass eine Weisung gegen Datenschutzrecht verstößt, informiert es den Auftraggeber;
b) die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer Verschwiegenheitspflicht unterliegen;
c) die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) umzusetzen (siehe Ziffer 5);
d) den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz- Folgenabschätzung) im Rahmen des Zumutbaren zu unterstützen;
e) den Auftraggeber unverzüglich zu informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird;
f) nach Wahl des Auftraggebers nach Abschluss der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

taktly trifft angemessene technische und organisatorische Maßnahmen zum Schutz der Daten, insbesondere: Transportverschlüsselung (TLS), Verschlüsselung gespeicherter Daten, mandantengetrennte Datenhaltung mit zeilenbasierter Zugriffskontrolle, rollenbasiertes Berechtigungskonzept, Pseudonymisierung sensibler Felder, regelmäßige Datensicherung, Protokollierung sicherheitsrelevanter Vorgänge sowie Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit dieser Maßnahmen.

5. Unterauftragsverarbeiter

Der Auftraggeber erteilt seine allgemeine Genehmigung zum Einsatz der nachfolgenden Unterauftragsverarbeiter. taktly stellt mit jedem von ihnen die datenschutzrechtlich erforderlichen Garantien (insbesondere Verträge nach Art. 28 DSGVO sowie – bei Drittlandbezug – geeignete Garantien wie EU-Standardvertragsklauseln) sicher:

• Supabase – Hosting der Anwendungsdatenbank (Hosting in der EU)
• Vercel Inc. – Auslieferung/Hosting der Web-Oberfläche, Edge-/CDN (USA)
• Stripe Payments Europe, Ltd. / Stripe, Inc. – Zahlungsabwicklung (Irland/USA)
• Resend, Inc. – Versand transaktionaler E-Mails (USA)
• Apple Inc. (APNs) / Google LLC (FCM) – Zustellung von Push-Benachrichtigungen (USA)

taktly informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern; der Auftraggeber kann einer Änderung aus wichtigem datenschutzrechtlichen Grund widersprechen.

6. Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich. Er erteilt Weisungen grundsätzlich in Textform bzw. über die in der Anwendung vorgesehenen Konfigurationsmöglichkeiten.

7. Nachweise und Kontrollen

taktly stellt dem Auftraggeber die zum Nachweis der Einhaltung dieser AVV erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen. Überprüfungen sind rechtzeitig anzukündigen und so durchzuführen, dass der Betrieb möglichst wenig beeinträchtigt wird.

8. Schlussbestimmungen

Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag gehen die Regelungen dieser AVV in datenschutzrechtlichen Fragen vor. Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.