abgeschlossen zwischen dem Kunden (im Folgenden kurz „Verantwortlicher“) und der Timesheet - Mobile Time Tracking OG, Untere Weißgerberstrasse 43 1/2, 1030 Wien, Österreich (im Folgenden kurz „Auftragsverarbeiter“), zusammen die „Parteien“.
„Kunde“ bedeutet in diesem Zusammenhang einerseits unabhängige einzelne Nutzer unserer Dienste, wie Freiberufler oder andere Personen, die sich unabhängig von einem Arbeitgeber oder einer sonstigen Organisation zur Nutzung registrieren („Einzelkunde“). Im Falle von Unternehmen, Organisationen, Institutionen, Personengruppen oä, die die Arbeitszeit von den ihrem Timesheet-Konto zugeordneten Mitarbeitern oder anderen Personen erfassen und zu diesem Zweck für diese Personen Lizenzen erworben haben („Unternehmenskunden“), gelten das jeweilige Unternehmen, die Organisation, Institution, Personengruppe oä als Kunde und somit Verantwortlicher.
1. Gegenstand der Auftragsverarbeitungsvereinbarung
- Diese Auftragsverarbeitungsvereinbarung (in der Folge auch kurz „AVV“) regelt in Ergänzung zur Datenschutzerklärung die Verarbeitung von personenbezogenen Daten (in der Folge auch kurz „Daten“) durch den Auftragsverarbeiter im Rahmen des zwischen den Parteien abgeschlossenen Vertrages über die Nutzung der App Timesheet. Timesheet ist ein digitales Zeiterfassungssystem. Es wird als über den Browser aufrufbare Webapp sowie als Android- und iOS-App angeboten und ermöglicht sowohl eine manuelle als auch eine, durch die Nutzung von WLAN- und Geofencing-Technologien, automatisierte Zeiterfassung sowie die Verwaltung von Arbeitszeiten, ein Projekt- und Team-Management, die Rechnungslegung und die Verwaltung von Auslagen und Dateien. (In der Folge kurz „Dienste“ oder „App“).
- Die Regelung der wirtschaftlichen und rechtlichen Konditionen und eine genaue technische oder fachmännische Beschreibung dieser Dienste sind nicht Gegenstand der AVV. Dieser AVV stellt sicher, dass die Verarbeitung von Daten im Rahmen der Nutzung der Dienste allen anwendbaren rechtlichen Anforderungen, insbesondere gemäß der Datenschutzgrundverordnung („DSGVO“) und dem österreichischen Datenschutzgesetz („DSG“), entspricht. Alle in dieser AVV verwendeten Begriffe haben die Bedeutung, die in den der Datenschutzerklärung, den AGB oder subsidiär in der DSGVO oder weiter subsidiär in anderen anwendbaren Rechtsvorschriften definiert ist.
2. Dauer
Diese Vereinbarung wird für die Dauer der Nutzung bzw. für die Dauer des zwischen den Parteien geschlossenen Vertrages über die Nutzung der App abgeschlossen.
3. Gegenstand der Auftragsverarbeitung
3.1 Gegenstand der Auftragsverarbeitung
Verarbeitung und Verwaltung von Arbeitszeiten und des damit verbundenen Projekt-Managements, Team-Managements, Rechnungslegung, Verwaltung von Auslagen und Dateien. Zweck der Durchführung, ist die Unterstützung des Verantwortlichen bei täglichen Geschäftsabläufen und Prozessen.
Diese Vereinbarung ist als Ergänzung zu dem über die Nutzung der Dienste abgeschlossenen Vertrag zu verstehen.
3.2 Art und Kategorien der Daten
3.2.1 Nutzerdaten:
- Nur Unternehmenskunden: Name, Profilbild (sofern angegeben), Sprache der einzelnen Lizenznutzer
- Alle Inhalte die über die Dienste und die dort verfügbaren Funktionen eingegeben, bereitgestellt, erhoben oder in jeder anderer Form verarbeitet werden, wie insbesondere erfasste Zeit, Pausen, Teams, Projekte, Aufgaben, Ausgaben, Notizen, Stichwörter, Raten/Stundensätze, Rechnungen, Automatisierungen, Unterschriften, Anhänge, Bilder und sonstige Uploads sofern und nur in dem Ausmaß diese Daten bereitgestellt werden. Davon sind auch sämtliche Daten und Informationen umfasst, die aufgrund der individuell wählbaren App-Berechtigungen zur Verfügung gestellt werden.
- Standort des genutzten Endgerätes, Verbindung bzw. Beendigung der Verbindung zu einem WLAN (WLAN-Erkennung), iBeacon-Erkennung.
- Informationen, die von nutzerseitig aktivierten und verbundenen bzw. integrierten Anwendungen von Drittanbietern übermittelt werden.
- Personenbezogene Daten von einzelnen Nutzern, die andere Nutzer im Rahmen der Dienste übermitteln, etwa durch Eintragungen bei deren Projekten bzw. Aufgaben oder als deren Auftraggeber.
4. Pflichten des Auftragsverarbeiters
- Der Auftragsverarbeiter ist verpflichtet, die Daten ausschließlich im Rahmen der oben genannten Zwecke und in Übereinstimmung mit den Bedingungen dieser Vereinbarung sowie den dokumentierten Anweisungen des Verantwortlichen zu verarbeiten. Erhält der Auftragsverarbeiter einen behördlichen Auftrag, Daten des Verantwortlichen herauszugeben, so hat er sofern gesetzlich zulässig den Verantwortlichen unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragsverarbeiters eines schriftlichen Auftrages. Die Beschreibung der Datenverarbeitung und der Dienste in den AGB, der Datenschutzerklärung und dieser Vereinbarung enthalten abschließend die Anweisungen des Verantwortlichen hinsichtlich der Auftragsverarbeitung.
- Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
- Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat. Der Verantwortliche erklärt, dass diese Maßnahmen iSd Art 32 DSGVO ein angemessenes Schutzniveau gewährleisten. Diese Maßnahmen sind jederzeit auf Anfrage verfügbar und können in Zukunft zwar geändert werden, jedoch darf das derzeitige Schutzniveau nicht unterschritten werden.
- Der Auftragsverarbeiter ergreift die technischen und organisatorischen Maßnahmen, damit der Verantwortlichen die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragsverarbeiter gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Datenverarbeitung hält, hat der Auftragsverarbeiter den Antrag unverzüglich an den Verantwortlichen weiterzuleiten und dies dem Antragsteller mitzuteilen.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
- Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Primär wird der Nachweis der Einhaltung durch Überlassung von Urkunden, Bestätigungen oder sonstigen Dokumenten erbracht. Sollten an der Einhaltung dennoch begründete Zweifel aufkommen, wird dem Verantwortlichen hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht zur Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Die Kosten dafür trägt in jedem Fall der Verantwortliche.
- Der Auftragsverarbeiter ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die personenbezogene Daten des Verantwortlichen enthalten, nach Wahl des Verantwortlichen entweder zu löschen oder dem Verantwortlichen in einem gängigen Format herauszugeben.
- Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Verantwortlichen verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
5. Ort der Durchführung der Datenverarbeitung
- Der Kunde anerkennt, dass die Erbringung der vertragsgegenständlichen Dienstleistungen die Übertragung oder Verarbeitung personenbezogener Daten in Länder außerhalb des EWR erfordern kann. Die Bestimmungen dieser Vereinbarung sind auch die Anweisungen des Kunden in Bezug auf Übertragungen in Drittstaaten.
- Der Auftragsverarbeiter verpflichtet sich zur Einhaltung Standardvertragsklauseln in der Fassung des Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates bei Übermittlungen personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittstaaten, die kein angemessenes Datenschutzniveau gewährleisten.
6. Sub-Auftragsverarbeiter
- Der Auftragsverarbeiter ist berechtigt weitere Auftragsverarbeiter („Sub-Auftragsverarbeiter“) hinzuzuziehen. Der Auftragsverarbeiter zieht aktuell die unter https://timesheet.io/de/auftragsverarbeiter genannten Sub-Auftragsverarbeiter hinzu.
- Der Auftragsverarbeiter ist berechtigt zusätzliche Sub-Auftragsverarbeiter hinzuziehen.
- Er hat den Verantwortlichen von der beabsichtigten Erweiterung oder Änderung der Sub-Auftragsverarbeiter so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragsverarbeiter schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit den Sub-Auftragsverarbeiten ab.
7. Pflichten des Kunden
- Der Kunde gewährleistet, dass sämtliche personenbezogenen Daten, die dem Auftragsverarbeiter zur Verfügung gestellt werden, in Übereinstimmung mit den geltenden Datenschutzgesetzen erhoben und zur Verfügung gestellt werden und dass er diesbezüglich alle Pflichten, insbesondere zur Information der Betroffenen, der allfälligen Einholung von entsprechenden Einwilligungen sowie der Dokumentation und Transparenz, einhält.
- Der Kunde gewährleistet weiter, dass alle Anweisungen, die er dem Auftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten erteilt in Übereinstimmung mit den geltenden Gesetzen erfolgt.
- Der Kunde wird den Auftragsverarbeiter bei Verstößen gegen diese Pflichten klag- und schadlos halten.
8. Schlussbestimmungen
- Diese Vereinbarung unterliegt österreichischem Recht unter Ausschluss des internationalen Privatrechts und des UN-Kaufrechts. Gerichtsstand ist das örtlich und sachlich zuständige Gericht am Sitz des Auftragsverarbeiters.
- Sollte eine Bestimmung dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit ihrer übrigen Bestimmungen nicht. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine neue, wirksame Regelung zu vereinbaren, die dem Sinn und Zweck der unwirksamen Regelung am nächsten kommt. Dasselbe gilt für Lücken in dieser Vereinbarung.
- Die Haftung des Auftragsverarbeiters beschränkt sich auf Schäden, die durch eine Verarbeitung verursacht wurden, die nicht den Verpflichtungen des Auftragsverarbeiters gemäß der DSGVO und dieser Vereinbarung entsprach oder wenn der Auftragsverarbeiter außerhalb oder entgegen den rechtmäßigen Anweisungen des Verantwortlichen gehandelt hat. Die Haftung ist zudem auf krass grobe Fahrlässigkeit und Vorsatz sowie auf das dreifache Jahresentgelt des abgeschlossenen Vertrages beschränkt.