Gemäß Art. 28 DSGVO
Version: 18.09.2024
Zwischen:
Der Auftragnehmer erbringt Dienstleistungen im Bereich der Datenverarbeitung im Auftrag des Auftraggebers. Zweck der Vereinbarung ist die Auftragsverarbeitung personenbezogener Daten durch den Auftragnehmer gemäß den Vorgaben der DSGVO und weiterer relevanter Datenschutzgesetze.
Der Gegenstand der Auftragsverarbeitung umfasst die automatisierte Lohnabrechnung für den Auftraggeber durch den Auftragnehmer. Der Auftragnehmer stellt eine Software-as-a-Service (SaaS)-Lösung bereit, mit der alle für die Lohnabrechnung notwendigen Daten der Mitarbeiter des Auftraggebers verarbeitet werden.
Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich zum Zweck der Lohnabrechnung und umfasst im Wesentlichen folgende Datenarten:
Die Daten werden automatisiert verarbeitet, um Lohnabrechnungen zu erstellen, Steuer- und Sozialversicherungsmeldungen durchzuführen sowie Gehaltsabrechnungen und -zahlungen zu generieren.
Der Auftragnehmer verarbeitet die Daten ausschließlich im Rahmen des Vertragszwecks und gemäß den geltenden datenschutzrechtlichen Bestimmungen. Jede andere Verarbeitung der Daten, insbesondere für eigene Zwecke, ist ausgeschlossen.
Die Auftragsverarbeitung erfolgt für die Dauer des Hauptvertrages zwischen den Parteien. Nach Beendigung des Vertragsverhältnisses werden alle personenbezogenen Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Der Auftragnehmer ist berechtigt, Sub-Auftragsverarbeiter hinzuzuziehen. Die aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter ist auf der Website des Auftragnehmers unter www.lohnbot.at/Subauftragsverarbeiter veröffentlicht. Diese Liste ist jederzeit gültig und wird regelmäßig aktualisiert. Der Auftraggeber informiert den Auftragnehmer über Änderungen indem diese Änderungen auf der genannten Website dargestellt werden.
Der Auftraggeber verpflichtet sich, die Liste der Sub-Auftragsverarbeiter wöchentlich eigenverantwortlich zu kontrollieren. Sollten Änderungen in der Liste vorgenommen werden (z. B. Hinzufügung oder Austausch eines Sub-Auftragsverarbeiters).
Der Auftraggeber hat das Recht, Änderungen an der Liste der Sub-Auftragsverarbeiter innerhalb von 14 Tagen nach Veröffentlichung zu widersprechen. Ein Widerspruch kann schriftlich oder per E-Mail erfolgen. Falls ein Widerspruch erhoben wird, sind die Parteien verpflichtet, eine Lösung zu finden. Sollte keine Einigung erzielt werden, sind sowohl Auftraggeber als auch Auftragnehmer zur Kündigung des zugrundeliegenden Vertrags berechtigt.
Der Auftragnehmer gewährleistet, dass die Sub-Auftragsverarbeiter vertraglich zur Einhaltung der gleichen Datenschutzstandards verpflichtet werden, die in dieser Vereinbarung festgelegt sind. Sollte ein Sub-Auftragsverarbeiter die vereinbarten Datenschutzpflichten nicht erfüllen, wird der Auftragnehmer nach besten Kräften Maßnahmen ergreifen, um den Verstoß zu beheben. Eine direkte Haftung des Auftragnehmers für das Verhalten von Sub-Auftragsverarbeitern besteht nur, wenn der Auftragnehmer wissentlich oder grob fahrlässig gegen seine Auswahl- und Überwachungspflichten verstoßen hat.
Die Datenverarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR). Eine Übermittlung in Drittländer darf nur erfolgen, wenn die Bedingungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere wenn Standardvertragsklauseln (SCCs) abgeschlossen oder andere geeignete Garantien vorhanden sind.
Der Auftragnehmer verpflichtet sich, alle technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten umzusetzen, wie in Anlage 1 beschrieben. Diese Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert.
Nach Beendigung des Hauptvertrages und auf Weisung des Auftraggebers löscht oder anonymisiert der Auftragnehmer alle personenbezogenen Daten, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.
Der Auftragnehmer haftet gegenüber dem Auftraggeber für Verstöße gegen die DSGVO, die auf eine Nichterfüllung dieser Vereinbarung oder der Weisungen des Auftraggebers zurückzuführen sind. Die Haftungsbeschränkungen des zugrundeliegenden Vertrags gelten mutatis mutandis auch für diesen Auftragsverarbeitervertrag.
Die nachfolgend aufgeführten Sub-Auftragsverarbeiter werden vom Auftragnehmer zur Durchführung von Teilleistungen im Rahmen der automatisierten Lohnabrechnung eingesetzt.
Name des Sub-Auftragsverarbeiters | Anschrift | Beschreibung der Teilleistung |
---|---|---|
Google Cloud Platform sowie Firebase | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland | Hosting der Lohnabrechnungssoftware sowie Speicherung und Verarbeitung von Daten in der EU (Datenzentrum) |
SendGrid | Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, USA | Versand von systemgenerierten Benachrichtigungs-E-Mails (z. B. Gehaltsabrechnungen, Statusmeldungen) |
Stripe | Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA | Abwicklung von Zahlungsprozessen und Integration der Gehaltsabrechnungen in die Bankensysteme |
Notion | Notion Labs, Inc., 2300 Harrison St, San Francisco, CA 94110, USA | Verwaltung und Dokumentation von internen Prozessen, Wissensdatenbanken und Projekten |
domonda | Domonda GmbH, Wattgasse 48, 1170 Wien, Österreich | Automatisierte Datenverarbeitung und Buchhaltungssoftware, die bei der Lohnabrechnung verwendet wird |
HelpScout | Help Scout PBC, 100 City Hall Plaza, 5th Floor, Boston, MA 02108, USA | Ticketing-System zur Verwaltung von Supportanfragen der Kunden des Lohnabrechnungsdienstes |
GitHub | GitHub, Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA | Verwaltung von Quellcode und Softwareentwicklung für die kontinuierliche Verbesserung des Lohnabrechnungsservices |
Loom | Loom, Inc., 153 Kearny Street, San Francisco, CA 94108, USA | Aufzeichnung und Freigabe von Videos zur internen und externen Kommunikation sowie zu Schulungszwecken |
Zapier | Zapier Inc., 548 Market St, #62411, San Francisco, CA 94104-5401, USA | Automatisierung von Workflows und Integration verschiedener Anwendungen für die Lohnabrechnung und Unternehmensprozesse |
HubSpot | HubSpot, Inc., 25 First Street, Cambridge, MA 02141, USA | CRM-System zur Verwaltung von Kundenbeziehungen und Marketingprozessen im Rahmen der Lohnabrechnung |