Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Stand: 05.04.2026

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch TimeShape im Auftrag des Kunden. Er wird mit Abschluss des Nutzungsvertrags (Registrierung) automatisch geschlossen.

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter (KAIA by Kantarevic & Bastong GbR, nachfolgend „Auftragnehmer") verarbeitet personenbezogene Daten im Auftrag des Kunden (nachfolgend „Auftraggeber") im Rahmen der Nutzung der TimeShape-Plattform (App und Web-Portal).

(2) Die Dauer der Verarbeitung entspricht der Vertragslaufzeit des TimeShape-Nutzungsvertrags. Nach Vertragsende werden die Daten gemäß § 10 dieses Vertrags gelöscht.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient folgenden Zwecken:

  • Erfassung und Dokumentation von Arbeitszeiten (Ein-/Ausstempeln, Pausen)
  • GPS-Standorterfassung bei Ein- und Ausstempeln (Arbeitsortverifizierung)
  • Schichtplanung und Dienstplanverwaltung
  • Urlaubs- und Abwesenheitsverwaltung
  • Team-Kommunikation (Chat)
  • Erstellung von Berichten und Exporten (DATEV, PDF, Excel, CSV)
  • Einhaltung gesetzlicher Aufzeichnungspflichten (ArbZG §16, MiLoG §17)

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Stammdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Adresse, Geburtsdatum
  • Beschäftigungsdaten: Mitarbeiter-ID, Rolle, Standort, Abteilung, Wochenarbeitszeit
  • Zeiterfassungsdaten: Arbeitsbeginn/-ende, Pausenzeiten, Überstunden
  • Standortdaten: GPS-Koordinaten, Adresse (nur bei aktivem Ein-/Ausstempeln)
  • Abwesenheitsdaten: Urlaubsanträge, Krankmeldungen, Abwesenheitstage
  • Kommunikationsdaten: Chat-Nachrichten, Zeitstempel, Absender
  • Technische Daten: Gerätetyp, Betriebssystem, IP-Adresse (bei Anmeldung)

§ 4 Kategorien betroffener Personen

  • Mitarbeiter und Beschäftigte des Auftraggebers
  • Administratoren und Vorgesetzte des Auftraggebers

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • (a) Personenbezogene Daten ausschließlich gemäß den Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • (b) Alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)
  • (c) Die erforderlichen technisch-organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen (siehe § 8)
  • (d) Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Auftraggebers einzusetzen (siehe § 7)
  • (e) Den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen
  • (f) Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO)
  • (g) Den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung zu unterstützen (Art. 35 DSGVO)
  • (h) Den Auftraggeber bei Anfragen von Aufsichtsbehörden zu unterstützen und erforderliche Informationen bereitzustellen (Art. 31 DSGVO)
  • (i) Nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben (siehe § 10)
  • (j) Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung bereitzustellen und Überprüfungen zu ermöglichen

§ 6 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich (Art. 24 DSGVO).

(2) Der Auftraggeber erteilt alle Weisungen zur Datenverarbeitung. Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, bedürfen einer gesonderten Vereinbarung.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

(4) Der Auftraggeber benennt auf Anfrage einen Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen.

§ 7 Unterauftragsverarbeiter (Subunternehmer)

(1) Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

UnternehmenZweckStandort
Google Ireland Limited / Google LLC (Firebase)Authentifizierung, Datenbank, Cloud FunctionsEU (eur3) / USA*
Vercel Inc.Web-Hosting, CDN, Edge FunctionsUSA*

* EU-US Data Privacy Framework zertifiziert. Standardvertragsklauseln sind abgeschlossen.

(2) Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf Unterauftragsverarbeiter informieren. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben.

§ 8 Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit

  • Zugriffskontrolle: Firebase Authentication mit Rollensystem (Admin/Employee)
  • Rechte-Management: Firestore Security Rules pro Collection und Dokument
  • Verschlüsselung: TLS 1.3 bei Übertragung, AES-256 bei Speicherung
  • Passwort-Policy: Min. 10 Zeichen, Buchstaben + Ziffern + Sonderzeichen

Integrität

  • Immutables Audit-Log: Kein Update/Delete möglich (ArbZG-konform)
  • Eingabevalidierung: XSS-Detection, Input-Sanitierung, Injection-Schutz
  • Rate Limiting: Login-Schutz + API-Rate-Limiting via Firestore
  • Optimistic Locking: Versionskontrolle bei gleichzeitigen Änderungen

Verfügbarkeit

  • Firebase SLA: 99,95 % Verfügbarkeit für Firestore und Authentication
  • Vercel SLA: 99,99 % Verfügbarkeit für Web-Hosting
  • Multi-Region: Firestore eur3 (automatisches Failover)
  • Backups: Point-in-Time Recovery für Firestore-Daten

Belastbarkeit

  • Auto-Scaling: Firebase und Vercel skalieren automatisch
  • DDoS-Schutz: Durch Firebase und Vercel Infrastruktur
  • Monitoring: Firebase Performance Monitoring und Error Reporting

§ 9 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften und der Regelungen dieses Vertrags zu überprüfen — durch Auskünfte, Einsicht in Unterlagen oder Vor-Ort-Kontrollen.

(2) Der Auftragnehmer stellt auf Anfrage Nachweise über die Einhaltung der in § 8 genannten Maßnahmen bereit.

(3) Kontrollen sind nach vorheriger Ankündigung (min. 14 Tage) und unter Wahrung der Vertraulichkeit durchzuführen.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrags hat der Auftraggeber 30 Tage Zeit, seine Daten zu exportieren (PDF, Excel, CSV).

(2) Nach Ablauf dieser Frist werden alle personenbezogenen Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen:

  • Zeiterfassungsdaten: 2 Jahre (ArbZG §16 Abs. 2)
  • MiLoG-Dokumentation: 2 Jahre (MiLoG §17 Abs. 2)
  • Lohnrelevante Unterlagen: 6 Jahre (HGB §257)
  • Steuerrelevante Daten: 10 Jahre (AO §147)
  • GPS-Daten: max. 2 Jahre

(3) Die Löschung wird dokumentiert und dem Auftraggeber auf Anfrage bestätigt.

§ 11 Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich (innerhalb von 24 Stunden) über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).

(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl betroffener Personen, voraussichtliche Folgen, ergriffene Gegenmaßnahmen.

§ 12 Haftung

(1) Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für den Schaden, der durch Verarbeitung entsteht, die gegen die DSGVO verstößt.

(2) Der Auftragnehmer haftet nicht für Schäden, die durch weisungswidrige Verarbeitung durch den Auftraggeber entstehen.

(3) Im Übrigen gelten die Haftungsregelungen der AGB des Auftragnehmers.

§ 13 Schlussbestimmungen

(1) Dieser Vertrag unterliegt deutschem Recht. Gerichtsstand ist Neuss.

(2) Änderungen bedürfen der Schriftform.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Kontakt

KAIA by Kantarevic & Bastong GbR
Effertzfeld 10
41564 Kaarst
E-Mail: info@timeshape.de

Hinweis

Dieser AVV wird mit Registrierung automatisch geschlossen. Für individuelle Anpassungen (z.B. Enterprise) kontaktieren Sie uns unter info@timeshape.de.