Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung — DSGVO)

Stand: April 2026

Präambel

Zwischen dem Kunden der SaaS-Plattform „Minijob Zeiterfassung" (nachfolgend „Auftraggeber" oder „Verantwortlicher")

und

KiNi Solutions
Stefan Eschbach
Lehmattweg 3, 79664 Wehr, Deutschland
E-Mail: info@kini.solutions

(nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter")

— gemeinsam „Parteien" genannt —

wird nachfolgende Vereinbarung über die Auftragsverarbeitung (nachfolgend „AVV") geschlossen.

Zwischen den Parteien besteht ein Vertragsverhältnis über die Nutzung der SaaS-Plattform „Minijob Zeiterfassung" (nachfolgend „Hauptvertrag" oder „SaaS-Vertrag"). Im Rahmen der Erfüllung des Hauptvertrages verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO und ergänzt den Hauptvertrag. Im Falle von Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen die Bestimmungen dieser Vereinbarung vor, soweit der Gegenstand den Schutz personenbezogener Daten betrifft.

§ 1 Begriffsbestimmungen

(1) Personenbezogene Daten sind gemäß Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.

(2) Verarbeitung ist gemäß Art. 4 Abs. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(3) Verantwortlicher ist gemäß Art. 4 Abs. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Rahmen dieses AVV ist der Auftraggeber der Verantwortliche.

(4) Auftragsverarbeiter ist gemäß Art. 4 Abs. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im Rahmen dieses AVV ist der Auftragnehmer (KiNi Solutions) der Auftragsverarbeiter.

(5) Weisung im Sinne dieses AVV ist jede auf einen bestimmten datenschutzrechtlichen Umgang (z. B. Erhebung, Veränderung, Löschung, Übermittlung) mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers an den Auftragnehmer. Weisungen können schriftlich, elektronisch (E-Mail) oder durch die bestimmungsgemäße Nutzung der Plattform erteilt werden. Die Nutzung der Plattformfunktionen durch den Auftraggeber oder seine autorisierten Nutzer stellt eine dokumentierte Weisung dar.

§ 2 Vertragsgegenstand

(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „Minijob Zeiterfassung".

(2) Art, Umfang und Zweck der Datenverarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen sind in der Anlage 1 (Verarbeitungsdetails) zu diesem AVV konkretisiert.

(3) Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich im Gebiet der Bundesrepublik Deutschland, eines Mitgliedstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum (EWR). Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies gilt nicht für die in der Anlage 2 genannten Unterauftragsverarbeiter, deren Einsatz mit diesem AVV genehmigt wird.

(4) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages. Nach Beendigung des Hauptvertrages gelten die Regelungen in § 13 dieses AVV.

§ 3 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer hat vor Beginn der Verarbeitung die in der Anlage beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO getroffen und wird diese während der Dauer des Auftrags aufrechterhalten. Die Maßnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist berechtigt, alternative Maßnahmen umzusetzen, sofern das vereinbarte Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber mitzuteilen.

(3) Im Einzelnen hat der Auftragnehmer folgende Maßnahmen implementiert:

a) Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu Datenverarbeitungsanlagen verwehren:

• Die Server werden in Rechenzentren der Hetzner Online GmbH in Deutschland betrieben. Die Rechenzentren verfügen über mehrstufige physische Zugangskontrollen (Vereinzelungsschleusen, biometrische Zutrittssysteme, Videoüberwachung, Wachpersonal).
• Der Auftragnehmer hat keinen physischen Zugang zu den Servern; die Administration erfolgt ausschließlich über verschlüsselte Fernzugriffe (SSH mit Schlüsselauthentifizierung).

b) Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

• Passwörter werden ausschließlich als bcrypt-Hash gespeichert. Es erfolgt keine Speicherung von Klartext-Passwörtern.
• Jeder Nutzer verfügt über ein individuelles, personalisiertes Login (E-Mail-Adresse und Passwort).
• Sitzungen werden über JSON Web Tokens (JWT) mit begrenzter Gültigkeitsdauer verwaltet.
• Server-Zugang ist ausschließlich über SSH mit Schlüsselauthentifizierung möglich; Passwort-Login auf Serverebene ist deaktiviert.

c) Zugriffskontrolle

Maßnahmen, die gewährleisten, dass berechtigte Nutzer ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können:

• Rollenbasierte Zugriffskontrolle (RBAC) mit drei klar abgegrenzten Rollen: Administrator, Vorgesetzter und Mitarbeiter.
• Jede Rolle verfügt über ein definiertes Berechtigungskonzept. Mitarbeiter können nur eigene Daten einsehen; Vorgesetzte können die Daten der ihnen zugeordneten Mitarbeiter verwalten; Administratoren haben Zugriff auf die gesamte Instanz.
• Technische Zugriffsprüfung bei jedem API-Aufruf durch Middleware-basierte Autorisierung.

d) Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

• Sämtliche Datenübertragungen zwischen Client und Server erfolgen ausschließlich über HTTPS (TLS/SSL-Verschlüsselung).
• E-Mail-Versand über den Dienstleister Postmark erfolgt über verschlüsselte Verbindungen (TLS).
• Zahlungsdaten werden direkt an Stripe übermittelt und nicht auf den Servern des Auftragnehmers gespeichert.

e) Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

• Vollständige Mandantentrennung: Jede Kundeninstanz verfügt über eine eigene, dedizierte Datenbank und einen eigenen Docker-Container.
• Ein technischer Zugriff zwischen den Instanzen verschiedener Kunden ist durch die Container-Isolierung ausgeschlossen.
• Jede Instanz ist unter einer individuellen Subdomain (firmenname.minijob-zeitapp.de) erreichbar.

f) Verschlüsselung

Maßnahmen zur Gewährleistung der Vertraulichkeit durch Verschlüsselungstechniken:

• Transportverschlüsselung: TLS/SSL für sämtliche Datenübertragungen über das Internet.
• Passwort-Hashing: bcrypt-Algorithmus für die Speicherung von Benutzerpasswörtern.
• SSL-Zertifikate werden über Let's Encrypt automatisch erneuert und verwaltet.

g) Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind:

• Alle Nutzer authentifizieren sich über personalisierte Logins, sodass jede Eingabe einem Benutzer zugeordnet werden kann.
• Monatsauszüge unterliegen einer Versionierung; Änderungen sind nachvollziehbar.
• Digitale Unterschriften auf Monatsauszügen dokumentieren die Bestätigung durch Mitarbeiter und Vorgesetzte mit Zeitstempel.

h) Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

• Docker-Container sind mit automatischem Neustart (auto-restart) konfiguriert, um die Dienstverfügbarkeit sicherzustellen.
• Hosting auf der Hetzner Cloud-Infrastruktur mit redundanter Netzwerkanbindung und Stromversorgung.
• Regelmäßige Datensicherungen (Backups) der Datenbanken.
• Überwachung der Systemverfügbarkeit und Ressourcenauslastung.

§ 4 Weisungen

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf der Grundlage dokumentierter Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

(2) Die Nutzung der Plattformfunktionen durch den Auftraggeber oder seine autorisierten Nutzer stellt eine dokumentierte Weisung dar. Weitergehende Weisungen können in Textform (E-Mail an info@kini.solutions) erteilt werden.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften der Union oder der Mitgliedstaaten verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

(4) Der Auftragnehmer hat einen Ansprechpartner für die im Rahmen dieses AVV erteilten Weisungen zu benennen. Ansprechpartner ist: Stefan Eschbach, E-Mail: info@kini.solutions.

§ 5 Pflichten des Auftragnehmers

(1) Zweckbindung: Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und der Weisungen des Auftraggebers. Eine Verarbeitung für eigene Zwecke oder Zwecke Dritter ist ausgeschlossen.

(2) Vertraulichkeitsverpflichtung: Der Auftragnehmer stellt sicher, dass sich alle mit der Verarbeitung der personenbezogenen Daten betrauten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags fort.

(3) Meldepflicht bei Datenschutzverletzungen: Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 33 und Art. 34 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Benachrichtigung der betroffenen Person). Der Auftragnehmer informiert den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, und übermittelt mindestens folgende Informationen:

• eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen Datensätze;
• den Namen und die Kontaktdaten des Ansprechpartners für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Verzeichnis der Verarbeitungstätigkeiten: Der Auftragnehmer führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Auftraggebers durchgeführt werden, gemäß Art. 30 Abs. 2 DSGVO.

(5) Unterstützungspflichten: Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis Art. 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(6) Betroffenenrechte: Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen gemäß Art. 12–23 DSGVO (Art. 28 Abs. 3 lit. e DSGVO).

§ 6 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist als Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO für die Einhaltung der datenschutzrechtlichen Vorschriften, insbesondere für die Rechtmäßigkeit der Datenverarbeitung, allein verantwortlich.

(2) Der Auftraggeber erteilt alle Weisungen in Bezug auf die Verarbeitung personenbezogener Daten und ist für die Beurteilung der Zulässigkeit der Datenverarbeitung verantwortlich.

(3) Der Auftraggeber stellt sicher, dass er über die erforderliche Rechtsgrundlage für die Verarbeitung der Daten seiner Mitarbeiter (Minijobber, Vorgesetzte) durch die Plattform verfügt.

(4) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

(5) Der Auftraggeber benennt auf Anforderung des Auftragnehmers einen Ansprechpartner für datenschutzrechtliche Angelegenheiten.

§ 7 Wahrung von Rechten der betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12–23 DSGVO, insbesondere bei:

• Auskunftsersuchen (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung personenbezogener Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

(2) Wendet sich eine betroffene Person mit Ansprüchen nach Art. 12–23 DSGVO direkt an den Auftragnehmer, so wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer wird ohne Weisung des Auftraggebers keine eigenständigen Maßnahmen zur Erfüllung der Betroffenenrechte ergreifen.

(3) Soweit die Plattform dem Auftraggeber technische Möglichkeiten zur Erfüllung der Betroffenenrechte bietet (z. B. Löschung oder Berichtigung von Daten über die Benutzeroberfläche), erfolgt die Unterstützung vorrangig durch Bereitstellung dieser Funktionen.

§ 8 Kontrollbefugnisse

(1) Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses AVV und der datenschutzrechtlichen Vorschriften zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen — einschließlich Inspektionen — bei, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).

(2) Die Kontrollrechte des Auftraggebers können wie folgt ausgeübt werden:

• Auskunftsrecht: Der Auftraggeber kann jederzeit Auskünfte und Nachweise über die Einhaltung der technischen und organisatorischen Maßnahmen sowie der sonstigen Pflichten aus diesem AVV verlangen.
• Vor-Ort-Kontrolle: Inspektionen vor Ort können nach rechtzeitiger Vorankündigung (mindestens 14 Werktage im Voraus) zu üblichen Geschäftszeiten durchgeführt werden. Die Kontrolle darf den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.
• Beauftragung Dritter: Der Auftraggeber kann einen unabhängigen, zur Verschwiegenheit verpflichteten Prüfer mit der Durchführung der Kontrolle beauftragen. Geschäftsgeheimnisse und Sicherheitsmaßnahmen des Auftragnehmers sind zu wahren.

(3) Der Auftragnehmer kann die Vorlage aktueller Zertifikate, Berichte oder Auszüge unabhängiger Stellen (z. B. Datenschutzaudit) als gleichwertigen Nachweis anbieten.

(4) Die Kosten der Überprüfung trägt der Auftraggeber, es sei denn, die Überprüfung ergibt Verstöße des Auftragnehmers gegen diesen AVV.

§ 9 Unterauftragsverhältnisse

(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO. Die zum Zeitpunkt des Abschlusses dieses AVV eingesetzten Unterauftragsverarbeiter sind in der Anlage 2 (Unterauftragsverarbeiter) aufgeführt und gelten als genehmigt.

(2) Der Auftragnehmer informiert den Auftraggeber in Textform (E-Mail genügt) mindestens 4 Wochen im Voraus über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen die beabsichtigte Änderung innerhalb von 2 Wochen nach Zugang der Information Einspruch erheben.

(3) Erhebt der Auftraggeber berechtigten Einspruch, wird der Auftragnehmer die Änderung nicht vornehmen. Können sich die Parteien nicht auf eine Lösung einigen, steht beiden Parteien ein außerordentliches Kündigungsrecht bezüglich des Hauptvertrages zu.

(4) Der Auftragnehmer stellt vertraglich sicher, dass die Regelungen dieses AVV auch gegenüber dem Unterauftragsverarbeiter gelten. Insbesondere hat der Auftragnehmer dem Unterauftragsverarbeiter mindestens dieselben Datenschutzpflichten aufzuerlegen, wie sie in diesem AVV vereinbart sind (Art. 28 Abs. 4 DSGVO).

(5) Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter in vollem Umfang verantwortlich.

§ 10 Internationale Datenübermittlungen

(1) Eine Übermittlung personenbezogener Daten in ein Drittland (außerhalb des EWR) oder an eine internationale Organisation erfolgt nur auf der Grundlage dokumentierter Weisungen des Auftraggebers oder soweit dies zur Erfüllung des Hauptvertrages durch die in der Anlage 2 genehmigten Unterauftragsverarbeiter erforderlich ist.

(2) Für die in der Anlage 2 aufgeführten Unterauftragsverarbeiter mit Sitz in den USA (Postmark / ActiveCampaign LLC, Stripe Inc.) stellt der Auftragnehmer sicher, dass geeignete Garantien gemäß Art. 46 DSGVO bestehen, insbesondere durch den Abschluss von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission.

(3) Soweit ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO für das betreffende Drittland vorliegt (z. B. EU-U.S. Data Privacy Framework), kann dieser als Grundlage für die Datenübermittlung herangezogen werden.

(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich über etwaige Änderungen der datenschutzrechtlichen Rahmenbedingungen, die die Rechtmäßigkeit der Drittlandsübermittlung beeinträchtigen könnten.

§ 11 Datengeheimnis und Geheimhaltungspflichten

(1) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers das Datengeheimnis zu wahren. Dies gilt auch nach Beendigung dieses AVV.

(2) Der Auftragnehmer gewährleistet, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Aufnahme der Tätigkeit mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht worden sind. Die Pflicht zur Verschwiegenheit besteht auch nach Beendigung der Tätigkeit und dem Ausscheiden aus dem Auftragnehmer fort.

(3) Der Auftragnehmer wird die im Rahmen des Auftragsverhältnisses erlangten vertraulichen Informationen über Geschäftsprozesse, Geschäftsgeheimnisse und sonstige vertrauliche Informationen des Auftraggebers zeitlich unbegrenzt vertraulich behandeln.

§ 12 Anfragen und Rechte Betroffener

(1) Wendet sich eine betroffene Person mit einem Antrag nach Art. 15–21 DSGVO an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Auftraggeber weiter, sofern eine Zuordnung zum Auftraggeber möglich ist.

(2) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Beantwortung von Anfragen und der Wahrnehmung von Betroffenenrechten. Die Unterstützung umfasst insbesondere die Bereitstellung von Informationen und die technische Umsetzung von Löschungs-, Auskunfts- und Berichtigungsanfragen über die Plattformfunktionen.

(3) Soweit ein Aufwand für den Auftragnehmer entsteht, der über die reguläre Plattformfunktionalität hinausgeht, kann der Auftragnehmer hierfür eine angemessene Vergütung auf Basis des tatsächlichen Aufwands verlangen.

§ 13 Beendigung

(1) Bei Beendigung des Hauptvertrages oder dieses AVV löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Verpflichtung zur Aufbewahrung besteht.

(2) Aufgrund der gesetzlichen Aufbewahrungspflicht gemäß § 17 MiLoG werden die Arbeitszeitaufzeichnungen und zugehörigen personenbezogenen Daten für einen Zeitraum von 2 Jahren nach Beendigung des Hauptvertrages aufbewahrt. Während dieses Zeitraums erfolgt keine aktive Verarbeitung der Daten über die Aufbewahrung hinaus.

(3) Nach Ablauf der gesetzlichen Aufbewahrungsfrist werden sämtliche personenbezogenen Daten des Auftraggebers unwiderruflich gelöscht. Der Auftragnehmer bestätigt die vollständige Löschung auf Anfrage in Textform.

(4) Der Auftraggeber hat vor der Deaktivierung seiner Instanz die Möglichkeit, seine Daten zu exportieren (PDF-Export der Monatsauszüge). Nach der Deaktivierung ist ein Zugriff durch den Auftraggeber nicht mehr möglich.

(5) Soweit der Auftraggeber die Rückgabe der Daten in einem strukturierten, gängigen und maschinenlesbaren Format wünscht, erfolgt dies auf Anfrage und gegen Erstattung des tatsächlichen Aufwands.

§ 14 Haftung

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird. Ein Auftragsverarbeiter haftet nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder wenn er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(2) Im Innenverhältnis zwischen Auftraggeber und Auftragnehmer haftet der Auftragnehmer nur für Schäden, die durch eine Verarbeitung verursacht werden, bei der er gegen die speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO oder gegen die Weisungen des Auftraggebers verstoßen hat.

(3) Die Haftungsbeschränkungen des Hauptvertrages (AGB) gelten ergänzend, soweit sie nicht im Widerspruch zu den zwingenden Haftungsregelungen der DSGVO stehen.

§ 15 Schlussbestimmungen

(1) Dieser AVV ist Bestandteil des Hauptvertrages (AGB / SaaS-Nutzungsvertrag). Er tritt mit Abschluss des Hauptvertrages in Kraft und gilt für die Dauer des Hauptvertrages sowie darüber hinaus, solange der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(3) Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(4) Es gilt das Recht der Bundesrepublik Deutschland.

(5) Gerichtsstand ist Waldshut-Tiengen, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(6) Im Falle von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien gehen die Bestimmungen dieses AVV vor, soweit der Gegenstand den Schutz personenbezogener Daten betrifft.

Anlage 1: Verarbeitungsdetails

Kategorie	Details
Tätigkeit	Bereitstellung und Betrieb der SaaS-Plattform „Minijob Zeiterfassung"
Zweck der Verarbeitung	Digitale Arbeitszeiterfassung gemäß § 17 MiLoG, Erstellung von Monatsauszügen mit digitaler Unterschrift, Benutzerverwaltung (Anlage, Bearbeitung und Löschung von Benutzerkonten), Urlaubs- und Krankheitsverwaltung, Jahreshochrechnung, Archivierung, E-Mail-Versand (Benachrichtigungen, Monatsauszüge), Zahlungsabwicklung
Kategorien betroffener Personen	Mitarbeiter (geringfügig Beschäftigte / Minijobber) des Auftraggebers Vorgesetzte des Auftraggebers Administratoren des Auftraggebers
Kategorien personenbezogener Daten	Vor- und Nachname E-Mail-Adresse Personalnummer (sofern vergeben) Stundenlohn Arbeitszeiten (Startzeit, Endzeit, Tätigkeit, Einsatzort) Urlaubs- und Krankheitstage Digitale Unterschriften (auf Monatsauszügen) Eintrittsdatum Passwort-Hashes (keine Klartext-Passwörter) IP-Adressen und technische Zugriffsdaten
Dauer der Verarbeitung	Für die Dauer des SaaS-Vertrags (Hauptvertrag) zuzüglich einer gesetzlichen Aufbewahrungsfrist von 2 Jahren gemäß § 17 MiLoG

Anlage 2: Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden zum Zeitpunkt des Abschlusses dieses AVV eingesetzt und gelten als vom Auftraggeber genehmigt:

Unterauftragsverarbeiter	Adresse	Tätigkeit	Drittstaaten­transfer	Garantien
Hetzner Online GmbH	Industriestr. 25, 91710 Gunzenhausen, Deutschland	Server-Hosting, Datenspeicherung, Netzwerkinfrastruktur	Nein	—
Postmark (ActiveCampaign LLC)	USA	Transaktionaler E-Mail-Versand (Benachrichtigungen, Monatsauszüge, Systemhinweise)	Ja (USA)	EU-Standardvertragsklauseln (SCC)
Stripe Inc.	354 Oyster Point Blvd, South San Francisco, CA 94080, USA	Zahlungsabwicklung (Stripe agiert teilweise als eigenständiger Verantwortlicher für die Zahlungsdaten)	Ja (USA)	Angemessenheitsentscheidung (EU-U.S. Data Privacy Framework) / EU-Standardvertragsklauseln (SCC)

Der Auftragnehmer stellt sicher, dass mit allen Unterauftragsverarbeitern Vereinbarungen geschlossen werden, die mindestens den gleichen Datenschutzstandard wie dieser AVV gewährleisten.

Kontakt

Bei Fragen zu diesem AVV wenden Sie sich bitte an:

KiNi Solutions
Stefan Eschbach
Lehmattweg 3, 79664 Wehr, Deutschland
E-Mail: info@kini.solutions