Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO

Version: 18.09.2024

Zwischen:

  1. Auftraggeber: Der Kunde der Lohnbot GmbH gemäß gesonderter Vereinbarung
  2. Auftragnehmer: Lohnbot GmbH, Petrusgasse 13/5, 1030 Wien

1. Präambel

Der Auftragnehmer erbringt Dienstleistungen im Bereich der Datenverarbeitung im Auftrag des Auftraggebers. Zweck der Vereinbarung ist die Auftragsverarbeitung personenbezogener Daten durch den Auftragnehmer gemäß den Vorgaben der DSGVO und weiterer relevanter Datenschutzgesetze.

2. Gegenstand der Verarbeitung

Der Gegenstand der Auftragsverarbeitung umfasst die automatisierte Lohnabrechnung für den Auftraggeber durch den Auftragnehmer. Der Auftragnehmer stellt eine Software-as-a-Service (SaaS)-Lösung bereit, mit der alle für die Lohnabrechnung notwendigen Daten der Mitarbeiter des Auftraggebers verarbeitet werden.

Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich zum Zweck der Lohnabrechnung und umfasst im Wesentlichen folgende Datenarten:

  • Stammdaten der Mitarbeiter:innen: Name, Anschrift, Geburtsdatum, Geschlecht, Nationalität, Sozialversicherungsnummer, Angehörige
  • Beschäftigungsdaten: Jobtitel, Arbeitszeitmodelle, Vertragsdaten, Beginn und Ende des Arbeitsverhältnisses, Kollektivverträge, zugehörige Kostenstellen und Kostenträger
  • Lohndaten: Gehalt, Boni, Sozialversicherungsbeiträge, Steuern, sonstige Abzüge, Bankverbindungen für Gehaltszahlungen
  • Abwesenheitsdaten: Krankmeldungen, Urlaubstage, Elternzeit, sonstige Fehlzeiten
  • Leistungsdaten: Arbeitsstunden, Überstunden, Prämien oder sonstige leistungsbezogene Vergütungen

Die Daten werden automatisiert verarbeitet, um Lohnabrechnungen zu erstellen, Steuer- und Sozialversicherungsmeldungen durchzuführen sowie Gehaltsabrechnungen und -zahlungen zu generieren.

Der Auftragnehmer verarbeitet die Daten ausschließlich im Rahmen des Vertragszwecks und gemäß den geltenden datenschutzrechtlichen Bestimmungen. Jede andere Verarbeitung der Daten, insbesondere für eigene Zwecke, ist ausgeschlossen.

3. Dauer der Verarbeitung

Die Auftragsverarbeitung erfolgt für die Dauer des Hauptvertrages zwischen den Parteien. Nach Beendigung des Vertragsverhältnisses werden alle personenbezogenen Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

4. Rechte und Pflichten des Auftragnehmers

  1. Weisungsgebundenheit: Der Auftragnehmer darf personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers verarbeiten, es sei denn, er ist gesetzlich dazu verpflichtet. In diesem Fall informiert der Auftragnehmer den Auftraggeber unverzüglich über diese gesetzliche Verpflichtung.
  2. Vertraulichkeit: Alle mit der Verarbeitung betrauten Personen sind zur Vertraulichkeit verpflichtet und werden entsprechend geschult.
  3. Sicherheitsmaßnahmen: Der Auftragnehmer gewährleistet, dass angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten gemäß Art. 32 DSGVO getroffen werden (siehe Anlage 1 für Einzelheiten).
  4. Unterstützung des Auftraggebers: Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Rechte der betroffenen Personen, z. B. bei Auskunftsersuchen, Löschanforderungen und Datenübertragbarkeit.
  5. Datenschutzverletzungen: Der Auftragnehmer informiert den Auftraggeber unverzüglich über jede Verletzung des Schutzes personenbezogener Daten und unterstützt ihn bei der Einhaltung der Meldepflichten gemäß Art. 33 und 34 DSGVO.

5. Rechte des Auftraggebers

  1. Kontrollrecht: Der Auftraggeber ist berechtigt, Audits oder Inspektionen durchzuführen, um die Einhaltung der Vereinbarung und der Datenschutzanforderungen zu überprüfen. Der Auftragnehmer ist verpflichtet, die hierfür erforderlichen Informationen zur Verfügung zu stellen. Soweit dem keine zwingenden gesetzlichen Anforderungen entgegenstehen, sind Audits bzw Inspektionen maximal einmal jährlich zulässig, sind angemessen im Voraus anzukündigen und stellen die Parteien sicher, dass der Audit oder die Inspektion in einer Art und Weise durchgeführt wird, bei der der Eingriff in den Geschäftsbetrieb des Auftragnehmer möglichst minimal ist. Die Parteien kommen überein, dass der Auftraggeber für solche zusätzlichen Leistungen ein angemessenes Entgelt schuldet, wobei ein Stundensatz von EUR 149 als vereinbart gilt.
  2. Weisungsrecht: Der Auftraggeber kann jederzeit zusätzliche Weisungen in Bezug auf die Verarbeitung der personenbezogenen Daten erteilen, sofern diese den gesetzlichen Vorgaben entsprechen.

6. Sub-Auftragsverarbeiter

Der Auftragnehmer ist berechtigt, Sub-Auftragsverarbeiter hinzuzuziehen. Die aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter ist auf der Website des Auftragnehmers unter www.lohnbot.at/Subauftragsverarbeiter veröffentlicht. Diese Liste ist jederzeit gültig und wird regelmäßig aktualisiert. Der Auftraggeber informiert den Auftragnehmer über Änderungen indem diese Änderungen auf der genannten Website dargestellt werden.

Der Auftraggeber verpflichtet sich, die Liste der Sub-Auftragsverarbeiter wöchentlich eigenverantwortlich zu kontrollieren. Sollten Änderungen in der Liste vorgenommen werden (z. B. Hinzufügung oder Austausch eines Sub-Auftragsverarbeiters).

Der Auftraggeber hat das Recht, Änderungen an der Liste der Sub-Auftragsverarbeiter innerhalb von 14 Tagen nach Veröffentlichung zu widersprechen. Ein Widerspruch kann schriftlich oder per E-Mail erfolgen. Falls ein Widerspruch erhoben wird, sind die Parteien verpflichtet, eine Lösung zu finden. Sollte keine Einigung erzielt werden, sind sowohl Auftraggeber als auch Auftragnehmer zur Kündigung des zugrundeliegenden Vertrags berechtigt.

Der Auftragnehmer gewährleistet, dass die Sub-Auftragsverarbeiter vertraglich zur Einhaltung der gleichen Datenschutzstandards verpflichtet werden, die in dieser Vereinbarung festgelegt sind. Sollte ein Sub-Auftragsverarbeiter die vereinbarten Datenschutzpflichten nicht erfüllen, wird der Auftragnehmer nach besten Kräften Maßnahmen ergreifen, um den Verstoß zu beheben. Eine direkte Haftung des Auftragnehmers für das Verhalten von Sub-Auftragsverarbeitern besteht nur, wenn der Auftragnehmer wissentlich oder grob fahrlässig gegen seine Auswahl- und Überwachungspflichten verstoßen hat.

7. Ort der Datenverarbeitung

Die Datenverarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR). Eine Übermittlung in Drittländer darf nur erfolgen, wenn die Bedingungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere wenn Standardvertragsklauseln (SCCs) abgeschlossen oder andere geeignete Garantien vorhanden sind.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer verpflichtet sich, alle technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten umzusetzen, wie in Anlage 1 beschrieben. Diese Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert.

9. Ende der Verarbeitung und Löschung der Daten

Nach Beendigung des Hauptvertrages und auf Weisung des Auftraggebers löscht oder anonymisiert der Auftragnehmer alle personenbezogenen Daten, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.

10. Haftung

Der Auftragnehmer haftet gegenüber dem Auftraggeber für Verstöße gegen die DSGVO, die auf eine Nichterfüllung dieser Vereinbarung oder der Weisungen des Auftraggebers zurückzuführen sind. Die Haftungsbeschränkungen des zugrundeliegenden Vertrags gelten mutatis mutandis auch für diesen Auftragsverarbeitervertrag.

Anlage 1 – Technische und Organisatorische Maßnahmen

A. Vertraulichkeit

  1. Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen in den Büroräumlichkeiten durch:
  • Das Büro ist durch Türschlösser gesichert und wird außerhalb der Geschäftszeiten abgeschlossen.
  • Nur autorisierte Mitarbeiter haben Zugang zu den Büroräumen.
  • Besuchende Personen dürfen die Büroräume nur in Begleitung autorisierter Mitarbeiter betreten.
  1. Serverräume:
    Die Datenverarbeitung und Speicherung erfolgt auf Servern bei Google (Google Cloud Platform sowie Firebase). Die physischen Zutrittskontrollen zu den Servern werden von Google implementiert und umfassen:
  • Strikte Zutrittskontrollen in den Rechenzentren, bei denen nur autorisiertes Google-Personal Zugang zu den Servern hat.
  • Umfassende physische Sicherheitsmaßnahmen wie biometrische Zugangskontrollen, Sicherheitspersonal, Videoüberwachung und Alarmanlagen.
  • Weitere Informationen zu den Sicherheitsmaßnahmen von Google Firebase sind unter Google Compliance Firebase abrufbar.
  1. Zugangskontrolle: Schutz vor unbefugter Nutzung der Systeme durch:
  • Alle Mitarbeiter sind verpflichtet, einen Passwort-Manager für die Verwaltung ihrer Zugangsdaten zu verwenden. Es gelten Anforderungen an die Mindestlänge und die genutzten Zeichen.
  • Zwei-Faktor-Authentifizierung (2FA) ist für alle Benutzer bei allen Anwendungen und Plattformen mit sensiblen Daten, die 2FA anbieten, erforderlich,
  • Verschlüsselung der Datenträger, auf denen sensible Daten gespeichert sind.
  1. Zugriffskontrolle: Schutz vor unbefugtem Zugriff auf personenbezogene Daten durch:
  • Rollenbasiertes Berechtigungsmanagement (Zugriff nur nach dem „Need-to-Know“-Prinzip).
  • Regelmäßige Überprüfung der vergebenen Zugriffsrechte, insbesondere von administrativen Konten.
  • Datenschutzgerechte Entsorgung und Wiederverwendung von Datenträgern.
  1. Pseudonymisierung:
  • Teilweise werden personenbezogene Daten pseudonymisiert verarbeitet.

B. Datenintegrität

  1. Weitergabekontrolle: Schutz gegen unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch:
  • Verschlüsselung der Datenübertragung zwischen Endbenutzer und den SaaS-Systemen (TLS/HTTPS).
  1. Eingabekontrolle: Sicherstellung, dass nachvollzogen werden kann, wer personenbezogene Daten eingegeben, verändert oder entfernt hat:
  • Protokollierung aller über die Lohnabrechungssoftware durchgeführten Änderungen (Audit-Trails).
  • Dokumentation der Prozesse zur Datenverarbeitung und -eingabe.

C. Verfügbarkeit und Belastbarkeit

  1. Verfügbarkeitskontrolle: Schutz vor zufälliger oder mutwilliger Zerstörung bzw. Verlust der Daten durch:
  • Regelmäßige Backups der Daten in verschlüsselter Form in verschiedenen, georedundanten Rechenzentren.
  • Unterbrechungsfreie Stromversorgung (USV) für kritische Systeme.
  • Einsatz von Virenschutz und Firewall-Systemen, um die Integrität und Verfügbarkeit der Daten zu gewährleisten.
  • Notfallpläne und Meldewege bei Sicherheitsvorfällen.
  1. Rasche Wiederherstellbarkeit:
  • Implementierung von Notfallwiederherstellungsplänen, um im Falle eines Systemausfalls den Zugriff auf die Lohnabrechnungsdaten innerhalb kurzer Zeit wiederherzustellen.
  • Regelmäßige Tests der Backups und Wiederherstellungsprozeduren.

D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  1. Datenschutz-Management:
  • Regelmäßige Schulungen der Mitarbeiter im Bereich Datenschutz und Informationssicherheit.
  • Verpflichtung aller Mitarbeiter zur Vertraulichkeit und Einhaltung der Datenschutzrichtlinien.
  1. Incident-Response-Management:
  • Definierte Prozesse zur schnellen Reaktion auf Datenschutzverletzungen oder Sicherheitsvorfälle.
  • Benachrichtigung des Auftraggebers und der zuständigen Aufsichtsbehörden innerhalb der gesetzlichen Fristen bei Datenschutzvorfällen.
  1. Datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default):
  • Standardmäßig werden nur die notwendigen Daten erhoben und verarbeitet (Datensparsamkeit).
  • Die SaaS-Lösung gewährleistet, dass nur die minimal erforderlichen personenbezogenen Daten verarbeitet werden.
  1. Audits und Kontrollen:
  • Es gibt keine Zertifizierungen wie ISO 27001, aber regelmäßige interne Audits und Kontrollen werden durchgeführt, um die Einhaltung der Datenschutzvorgaben zu überprüfen.

Anlage 2 – Liste der Sub-Auftragsverarbeiter

Die nachfolgend aufgeführten Sub-Auftragsverarbeiter werden vom Auftragnehmer zur Durchführung von Teilleistungen im Rahmen der automatisierten Lohnabrechnung eingesetzt.

Name des Sub-AuftragsverarbeitersAnschriftBeschreibung der Teilleistung
Google Cloud Platform sowie FirebaseGoogle Ireland Limited, Gordon House, Barrow Street, Dublin 4, IrelandHosting der Lohnabrechnungssoftware sowie Speicherung und Verarbeitung von Daten in der EU (Datenzentrum)
SendGridTwilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, USAVersand von systemgenerierten Benachrichtigungs-E-Mails (z. B. Gehaltsabrechnungen, Statusmeldungen)
StripeStripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USAAbwicklung von Zahlungsprozessen und Integration der Gehaltsabrechnungen in die Bankensysteme
NotionNotion Labs, Inc., 2300 Harrison St, San Francisco, CA 94110, USAVerwaltung und Dokumentation von internen Prozessen, Wissensdatenbanken und Projekten
domondaDomonda GmbH, Wattgasse 48, 1170 Wien, ÖsterreichAutomatisierte Datenverarbeitung und Buchhaltungssoftware, die bei der Lohnabrechnung verwendet wird
HelpScoutHelp Scout PBC, 100 City Hall Plaza, 5th Floor, Boston, MA 02108, USATicketing-System zur Verwaltung von Supportanfragen der Kunden des Lohnabrechnungsdienstes
GitHubGitHub, Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USAVerwaltung von Quellcode und Softwareentwicklung für die kontinuierliche Verbesserung des Lohnabrechnungsservices
LoomLoom, Inc., 153 Kearny Street, San Francisco, CA 94108, USAAufzeichnung und Freigabe von Videos zur internen und externen Kommunikation sowie zu Schulungszwecken
ZapierZapier Inc., 548 Market St, #62411, San Francisco, CA 94104-5401, USAAutomatisierung von Workflows und Integration verschiedener Anwendungen für die Lohnabrechnung und Unternehmensprozesse
HubSpotHubSpot, Inc., 25 First Street, Cambridge, MA 02141, USACRM-System zur Verwaltung von Kundenbeziehungen und Marketingprozessen im Rahmen der Lohnabrechnung
Termin finden