SecureTime
SecureTime
Demo anfragen
← Zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Hinweis zur Nutzung dieses Dokuments

Dieser AVV wird automatisch Bestandteil des Nutzungsvertrages zwischen Ihnen (Verantwortlicher) und SecureTime (Auftragsverarbeiter). Sie können dieses Dokument ausdrucken, unterschreiben und per E-Mail an info@securetime.de zusenden – oder die Geltung per E-Mail formlos bestätigen (Textform genügt nach Art. 28 Abs. 9 DSGVO).

Vertragsparteien

Verantwortlicher (Kunde)

Das Unternehmen, das SecureTime nutzt und Mitarbeiterdaten einträgt. Bezeichnung und Anschrift ergeben sich aus dem Nutzungsvertrag.

Auftragsverarbeiter

Pavel Tyulnev (SecureTime)

Tuttlingerstraße 45
78333 Stockach
info@securetime.de

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem Nutzungsvertrag über die SecureTime-Plattform gemäß Art. 28 DSGVO.

(2) Gegenstand der Auftragsverarbeitung ist die Bereitstellung einer cloudbasierten SaaS-Plattform für Schichtplanung, Zeiterfassung, Mitarbeiterverwaltung, Objektverwaltung und Abwesenheitsverwaltung. Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten der Beschäftigten des Verantwortlichen.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages. Nach Vertragsende gelten § 9 dieses AVV.

§ 2 Art, Umfang und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erhebung, Speicherung, Strukturierung, Abfrage, Verwendung, Offenlegung durch Übermittlung innerhalb des Mandanten, Verknüpfung und Löschung.

(2) Zweck der Verarbeitung: Betrieb der SecureTime-Plattform ausschließlich zur Erfüllung des Nutzungsvertrages.

(3) Kategorien betroffener Personen: Beschäftigte des Verantwortlichen (inkl. externe Mitarbeitende und Subunternehmer, soweit eingetragen).

(4) Verarbeitete Datenkategorien:

  • Stammdaten: Name, Kontaktdaten, Personalnummer, Benutzerrolle
  • Arbeitszeitdaten: Schichtzeiten, Ist-Zeiten, Überstunden
  • Einsatzdaten: Objekte, Einsatzorte, Qualifikationen
  • Abwesenheitsdaten: Urlaub, unbezahlte Abwesenheiten, sonstige Abwesenheiten
  • Gesundheitsdaten (nur wenn vom Verantwortlichen ausdrücklich eingetragen, z.B. Krankheitsdaten gem. Art. 9 DSGVO): nur auf ausdrückliche Entscheidung des Verantwortlichen, der hierfür selbst die Rechtsgrundlage sicherzustellen hat
  • Technische Nutzungsdaten: Login-Zeitpunkte, IP-Adressen (Logfiles)

§ 3 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist rechtlich zur Verarbeitung verpflichtet.

(2) Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die konkreten Maßnahmen sind in Anlage 2 (TOMs) dieses AVV beschrieben.

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen (Art. 15–22 DSGVO) soweit möglich.

(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Vorabkonsultation, Meldung von Verletzungen).

(6) Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung und ermöglicht Prüfungen durch den Verantwortlichen (Art. 28 Abs. 3 lit. h DSGVO).

§ 4 Pflichten des Verantwortlichen

(1) Der Verantwortliche trägt die alleinige Verantwortung für die Rechtmäßigkeit der Verarbeitung der eingetragenen Daten und die Wahrung der Rechte der betroffenen Personen.

(2) Der Verantwortliche informiert seine Beschäftigten gemäß Art. 13/14 DSGVO über die Verarbeitung ihrer Daten in SecureTime.

(3) Der Verantwortliche stellt bei Eintragung von Gesundheitsdaten (insbesondere Krankheitsdaten) sicher, dass eine geeignete Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO i.V.m. § 26 Abs. 3 BDSG vorliegt (z.B. Betriebsvereinbarung oder ausdrückliche Einwilligung der Beschäftigten).

(4) Der Verantwortliche meldet dem Auftragsverarbeiter Weisungsänderungen unverzüglich in Textform.

§ 5 Unterauftragsverarbeiter

(1) Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 dieses AVV aufgeführt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Ersatzes von Unterauftragsverarbeitern mindestens 4 Wochen im Voraus per E-Mail. Der Verantwortliche kann gegen einen neuen Unterauftragsverarbeiter innerhalb dieser Frist Einspruch erheben.

(3) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten wie in diesem AVV. Er haftet dem Verantwortlichen gegenüber für die Einhaltung dieser Pflichten durch Unterauftragsverarbeiter.

(4) Eine Datenverarbeitung außerhalb der EU/des EWR durch Unterauftragsverarbeiter ist nur zulässig, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind.

§ 6 Betroffenenrechte

(1) Wenden sich betroffene Personen (Beschäftigte des Verantwortlichen) direkt an den Auftragsverarbeiter mit Anfragen zu ihren Rechten nach Art. 15–22 DSGVO, leitet der Auftragsverarbeiter diese unverzüglich an den Verantwortlichen weiter.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Betroffenenanfragen durch technische Maßnahmen (z.B. Datenexport, Löschfunktionen) im Rahmen des Möglichen.

§ 7 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO).

(2) Die Meldung enthält soweit möglich:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
  • Name und Kontaktdaten des Ansprechpartners
  • Beschreibung der wahrscheinlichen Folgen
  • Ergriffene oder vorgeschlagene Maßnahmen

(3) Der Verantwortliche ist selbst für die fristgerechte Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) verantwortlich.

§ 8 Audit und Nachweisführung

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses AVV erforderlich sind.

(2) Prüfungen und Inspektionen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer sind mit angemessenem Vorlauf (mindestens 4 Wochen) schriftlich anzukündigen und auf das für die Prüfung Erforderliche zu beschränken.

(3) Kosten für Prüfungen, die über eine Dokumentenprüfung hinausgehen, trägt der Verantwortliche.

§ 9 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrages stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage innerhalb von 30 Tagen einen vollständigen Export aller gespeicherten Kundendaten im maschinenlesbaren Format (CSV/JSON) zur Verfügung.

(2) Der Auftragsverarbeiter löscht alle Daten des Verantwortlichen spätestens 30 Tage nach Vertragsende unwiderruflich, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

(3) Auf Anfrage bestätigt der Auftragsverarbeiter die vollständige Löschung schriftlich.

§ 10 Schlussbestimmungen AVV

(1) Dieser AVV geht im Falle von Widersprüchen dem Nutzungsvertrag vor, soweit es den Datenschutz betrifft.

(2) Für diesen AVV gilt deutsches Recht. Gerichtsstand ist Stockach.

(3) Änderungen dieses AVV bedürfen der Textform.

Anlage 1

Beschreibung der Verarbeitungstätigkeit

BezeichnungSchichtplanung, Zeiterfassung und Personalverwaltung für Sicherheitsdienste via SecureTime
ZweckOrganisation von Schichten, Erfassung von Arbeitszeiten, Verwaltung von Abwesenheiten und Mitarbeiterstammdaten
BetroffeneBeschäftigte des Verantwortlichen (Vollzeit, Teilzeit, Minijobber, externe Mitarbeitende)
DatenkategorienIdentifikationsdaten, Kontaktdaten, Arbeitszeitdaten, Einsatzdaten, Abwesenheitsdaten; optional Gesundheitsdaten (nur auf Entscheidung des Verantwortlichen)
VerarbeitungsortEuropäische Union (Server in Deutschland)
DrittlandtransferNicht vorgesehen
Löschfristen30 Tage nach Vertragsende; Protokolldaten max. 30 Tage; Rechnungsdaten 10 Jahre (§ 147 AO)

Anlage 2

Technische und Organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO — Stand: Juni 2026

1. Zutrittskontrolle (physische Sicherheit)

  • Server in zertifiziertem Rechenzentrum in Deutschland (EU)
  • Physischer Zugang zum Rechenzentrum ausschließlich für autorisiertes Rechenzentrumspersonal
  • Videoüberwachung, Zutrittskontrollsystem und Alarmanlage des Hostinganbieters
  • Kein physischer Zugriff durch SecureTime-Personal auf Serverebene (managed hosting)

2. Zugangskontrolle (Systemzugang)

  • Pflichtpasswörter für alle Benutzerkonten mit definierten Mindestanforderungen
  • Passwörter werden ausschließlich als bcrypt-Hash gespeichert (kein Klartext)
  • Automatischer Session-Timeout bei Inaktivität
  • Ausschließliche Nutzung von HTTPS/TLS (aktuelle Version) für alle Zugriffe
  • Serverseitiger SSH-Zugang nur via Key-Authentisierung, kein Passwort-Login
  • Firewall und Zugriffsbeschränkung auf administrative Ports

3. Zugriffskontrolle (Datenzugriff)

  • Rollenbasiertes Berechtigungsmodell: Administrator, Planer, Mitarbeitender
  • Prinzip der minimalen Rechte (Need-to-know): Jede Rolle sieht nur die für ihre Funktion erforderlichen Daten
  • Strikte Mandantentrennung: Daten verschiedener Kunden sind auf Datenbankebene logisch getrennt; kein Cross-Tenant-Zugriff technisch möglich
  • Administrativer Zugriff durch SecureTime-Personal nur im Rahmen von Support-Anfragen des Verantwortlichen

4. Weitergabekontrolle (Datenübertragung)

  • Ausschließlich verschlüsselte Übertragung via HTTPS/TLS (mind. TLS 1.2)
  • Keine unverschlüsselte Übertragung personenbezogener Daten
  • API-Endpunkte nur mit Token-Authentisierung erreichbar
  • Keine Weitergabe von Kundendaten an Dritte ohne Rechtsgrundlage

5. Eingabekontrolle (Protokollierung)

  • Server-Logfiles erfassen Zugriffsversuche mit IP, Zeitstempel und HTTP-Statuscode
  • Applikationsseitige Protokollierung wesentlicher Systemereignisse
  • Logs werden mindestens 14, maximal 30 Tage aufbewahrt

6. Verfügbarkeits- und Belastbarkeitskontrolle

  • Tägliche automatisierte Datensicherungen (Backups)
  • Backup-Aufbewahrung: mindestens 14 Tage rollierend
  • Backup-Speicherung auf vom Produktivsystem getrennter Infrastruktur
  • Monitoring der Systemverfügbarkeit mit automatischer Alarmierung
  • Ziel-Verfügbarkeit: 99 % monatlich (ohne geplante Wartungsfenster)

7. Wiederherstellung (Recovery)

  • Recovery Time Objective (RTO): maximal 24 Stunden nach Schadensereignis
  • Recovery Point Objective (RPO): maximal 24 Stunden (Datenverlust auf letztes Backup beschränkt)
  • Wiederherstellungsverfahren dokumentiert und regelmäßig getestet

8. Trennungsgebot (Mandantentrennung)

  • Strikte logische Trennung der Daten verschiedener Mandanten auf Datenbankebene
  • Test- und Entwicklungsumgebungen verwenden ausschließlich anonymisierte oder synthetische Daten

9. Regelmäßige Überprüfung und Verbesserung

  • Sicherheitsrelevante Updates werden zeitnah nach Verfügbarkeit eingespielt
  • Abhängigkeiten (NPM-Pakete, Serverkomponenten) werden regelmäßig auf bekannte Schwachstellen geprüft
  • Dieser TOM-Katalog wird mindestens einmal jährlich überprüft und aktualisiert

10. Verschlüsselung

  • Übertragungsverschlüsselung: TLS mind. 1.2 für alle HTTP-Verbindungen
  • Passwörter: bcrypt-Hashing mit ausreichendem Kostenfaktor
  • Datenbankbackups: verschlüsselt gespeichert

Anlage 3

Autorisierte Unterauftragsverarbeiter

Stand: Juni 2026 — Änderungen werden gem. § 5 Abs. 2 dieses AVV mindestens 4 Wochen vorab mitgeteilt.

DienstleisterZweckServerstandort
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen		Betrieb der Server-Infrastruktur (Web, Datenbank, Backup)Deutschland (EU)
SMTP-Mailserver (selbst betrieben)Versand von Systembenachrichtigungen und Kontaktformular-WeiterleitungDeutschland (EU)

Anlage 4

Verfahren bei Datenschutzvorfällen

Internes Verfahren des Auftragsverarbeiters gemäß Art. 33/34 DSGVO

Schritt 1 – Erkennung

Der Anbieter meldet einen möglichen Datenschutzvorfall unverzüglich intern. Mögliche Vorfälle umfassen: unbefugter Zugriff, Datenleck, Systemkompromittierung, versehentliche Löschung, Ransomware.

Schritt 2 – Bewertung

Prüfung: Welche Daten sind betroffen? Welche Personen? Wie hoch ist das Risiko für Betroffene? Ist eine DSGVO-Meldepflicht ausgelöst? Dokumentation in einem Vorfall-Protokoll.

Schritt 3 – Eindämmung

Betroffene Systeme isolieren, kompromittierte Zugänge sperren, Backups sichern (schreibschützen), Angriffsvektoren schließen.

Schritt 4 – Kundeninformation

Unverzügliche Benachrichtigung der betroffenen Kunden (Verantwortliche) per E-Mail mit: Art des Vorfalls, betroffene Daten, Zeitraum, ergriffene Maßnahmen, Ansprechpartner.

Schritt 5 – DSGVO-Meldung

Die Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und ggf. gegenüber Betroffenen (Art. 34 DSGVO) obliegt dem Verantwortlichen. SecureTime stellt alle erforderlichen Informationen unverzüglich bereit.

Schritt 6 – Nachbereitung

Analyse der Ursache, Dokumentation im Vorfall-Register, Anpassung der TOMs zur Verhinderung ähnlicher Vorfälle.

Unterzeichnung

Dieser AVV tritt mit Unterzeichnung beider Parteien oder formloser Bestätigung per E-Mail in Kraft und ersetzt alle vorherigen Vereinbarungen zur Auftragsverarbeitung zwischen den Parteien.

Verantwortlicher (Kunde)

Ort, Datum, Unterschrift, Firmenstempel

Name und Funktion in Druckbuchstaben

Auftragsverarbeiter (SecureTime)

Pavel Tyulnev

Tuttlingerstraße 45, 78333 Stockach

Ort, Datum, Unterschrift

Alternativ zur Unterschrift genügt die schriftliche oder per E-Mail übermittelte Bestätigung der Geltung dieses AVV durch beide Parteien (Art. 28 Abs. 9 DSGVO). Bitte senden Sie Ihre Bestätigung an: info@securetime.de

Stand: Juni 2026