Auftragsverarbeitungsvertrag (AVV) — LS Zeiterfassung

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) · Stand: 01. Juni 2026

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer stellt dem Auftraggeber die Software-as-a-Service-Lösung „LS Zeiterfassung" zur Verfügung. Im Rahmen der Nutzung dieser Lösung verarbeitet der Auftragnehmer personenbezogene Daten von Mitarbeitenden und ggf. weiteren betroffenen Personen des Auftraggebers im Auftrag und nach dessen Weisung.

Der Vertrag beginnt mit Aktivierung des Nutzungsvertrags und endet mit dessen Beendigung. Eine Kündigung oder Beendigung dieses AVV ohne Beendigung des Nutzungsvertrags ist nicht möglich.

§ 2 Art und Zweck der Verarbeitung

Gegenstand der Verarbeitung sind insbesondere:

• Erfassung und Verwaltung von Arbeits-, Pausen- und Fahrzeiten
• Verwaltung von Urlaubs- und sonstigen Abwesenheitsanträgen
• Optional: Erfassung des Standorts beim Ein-/Ausstempeln
• Stammdatenpflege der Mitarbeitenden (Name, E-Mail, Rolle, etc.)
• Auswertung der Arbeitszeiten und Erstellung von Berichten / Exporten
• Authentifizierung und Autorisierung der Nutzer:innen
• Sicherung des Datenbestands (Backups)

Zweck der Verarbeitung ist die Erfüllung der gesetzlichen Aufzeichnungs­pflichten des Auftraggebers (insb. ArbZG, MiLoG, AO, HGB) sowie die interne Organisation seiner Personalprozesse.

§ 3 Art der personenbezogenen Daten

• Stammdaten (Vor-/Nachname, E-Mail, Rolle, Abteilung, Soll-Arbeitszeit, Urlaubsanspruch)
• Zeitdaten (Stempel-Events, Pausen, Notizen, Bearbeitungs-Historie)
• Abwesenheitsdaten (Urlaub, Krankheit, Sonderurlaub, ggf. Belege)
• Authentifizierungsdaten (Passwort-Hashes, 2FA-Secrets, Refresh-Tokens)
• Optional: Standortdaten (Längen-/Breitengrad zum Stempelzeitpunkt) — nur bei aktivierter Funktion und entsprechender Konfiguration durch den Auftraggeber
• Technische Daten (IP-Adresse, Zeitstempel, Endpunkt) im Rahmen der Logs

§ 4 Kategorien betroffener Personen

• Mitarbeitende des Auftraggebers
• Optional: Geschäftsführung, HR-Personal, Teamleitungen, Administrator:innen

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Dieser Vertrag und der zugrundeliegende Nutzungsvertrag gelten als solche Weisung.

(2) Der Auftragnehmer setzt die in Anlage 1 (technisch-organisatorische Maßnahmen) beschriebenen Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO um und aktualisiert sie regelmäßig.

(3) Sämtliche Personen, die mit den Daten des Auftraggebers in Berührung kommen, werden zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenanfragen (Art. 12–22 DSGVO) sowie bei Datenschutz-Folgen­abschätzungen (Art. 35 DSGVO) — auf Anfrage und mit angemessener Vorlaufzeit.

(5) Datenschutzverletzungen werden dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, unter Angabe aller bekannten Details mitgeteilt (Art. 33 Abs. 2 DSGVO).

(6) Der Auftragnehmer wird dem Auftraggeber auf schriftliche Anforderung alle für den Nachweis der Einhaltung dieses Vertrags erforderlichen Informationen zur Verfügung stellen.

§ 6 Unterauftragsverarbeiter

Der Auftragnehmer setzt zur Erfüllung des Vertrags folgende Unterauftrags­verarbeiter ein:

Der Auftraggeber stimmt der oben genannten Einbindung von Unterauftrags­verarbeitern zu. Vor Einbindung weiterer Unterauftragsverarbeiter informiert der Auftragnehmer den Auftraggeber rechtzeitig (mind. 30 Tage Vorlauf) per E-Mail. Der Auftraggeber kann der Einbindung widersprechen; in diesem Fall hat der Auftragnehmer ein außerordentliches Kündigungsrecht.

Hinweis zur App-Distribution: Die mobilen Apps werden über den Apple App Store bzw. Google Play bereitgestellt. Apple und Google sind hierbei nicht Auftragsverarbeiter im Sinne dieses Vertrags, da sie keinen Zugriff auf die im Rahmen der Auftragsverarbeitung verarbeiteten personenbezogenen Daten des Auftraggebers erhalten. Die Plattformbetreiber verarbeiten lediglich Daten im Rahmen des Download-Prozesses (Geräte-/Account-Daten der Endnutzer:innen) auf eigene Verantwortung.

§ 7 Drittlandtransfers

Eine Übermittlung personenbezogener Auftraggeber-Daten in Drittländer findet nicht statt. Sowohl die Anwendungs-Server als auch die verschlüsselten Backups werden ausschließlich auf Servern in Deutschland gehostet.

§ 8 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist allein verantwortlich für die Beurteilung der Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen.

(2) Weisungen werden in Textform (E-Mail an info@lsnrw.de) erteilt.

(3) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags durch angemessene Maßnahmen zu kontrollieren. Da sich die Serverinfrastruktur am privaten Wohnsitz des Auftragnehmers befindet, sind Vor-Ort-Besichtigungen ausgeschlossen. Stattdessen erfolgt die Auditierung remote auf Anforderung durch

• schriftliche Auskunft zu konkreten Fragen,
• Vorlage aktueller TOM-Dokumentation und Konfigurations-Auszüge,
• auf Wunsch: Video-Konferenz mit Live-Demonstration relevanter Systeme.

Anfragen erfolgen in Textform an info@lsnrw.de; Antwortfrist 14 Tage.

§ 9 Löschung oder Rückgabe nach Vertragsende

Nach Beendigung des Nutzungsvertrags werden sämtliche personenbezogene Daten des Auftraggebers innerhalb von 90 Tagen aus der Produktiv-Datenbank gelöscht — sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch kann zuvor ein vollständiger Datenexport (CSV / JSON) bereitgestellt werden. Die Verantwortung für die Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO) liegt beim Auftraggeber; dieser hat vor Vertragsende einen geeigneten Export anzufordern bzw. herunterzuladen.

Bereits erstellte verschlüsselte Backups werden im Rahmen der rollierenden 90-Tage-Retention automatisch überschrieben. Die hierfür eingesetzten Verschlüsselungs-Schlüssel bleiben unter alleiniger Kontrolle des Auftragnehmers; Dritte (z. B. STRATO) haben keinen Zugriff auf die Klardaten.

§ 10 Haftung

Es gilt Art. 82 DSGVO. Im Innenverhältnis zwischen den Vertragsparteien haftet jede Partei für die Schäden, die sie durch eine ihr zuzurechnende Pflichtverletzung verursacht.

§ 11 Schlussbestimmungen

(1) Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Änderungen und Ergänzungen bedürfen der Textform (E-Mail genügt).

(3) Es gilt deutsches Recht. Gerichtsstand — soweit zulässig — ist der Sitz des Auftragnehmers.

---

Anlage 1: Technisch-organisatorische Maßnahmen (TOM)

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Server in abgeschlossenem Raum am Geschäftssitz
• Zugangskontrolle: Persönliche Passwörter, optional 2FA / WebAuthn
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (RBAC)
• Trennungskontrolle: Multi-Tenant-Architektur mit physisch getrennten Datenbanken pro Kunde
• Pseudonymisierung: Passwörter ausschließlich als bcrypt-Hash

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Übertragungskontrolle: TLS 1.2+ für sämtliche Verbindungen (App ↔ Server, Backup-Upload)
• Eingabekontrolle: Vollständiges Audit-Log über administrative Aktionen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verfügbarkeit: Hardware mit redundantem Speicher; eine USV-Pufferung ist eingerichtet und sichert die Stromversorgung auch bei kurzzeitigen Netzausfällen ab
• Backups: Tägliche, asymmetrisch verschlüsselte Sicherungen (age / X25519)
• Backup-Standorte: Lokaler Server, USB-Sicherung, verschlüsselter Cloud-Speicher (STRATO HiDrive)
• Retention: 90 Tage rollierend

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Datenschutz-Management: Jährliche Überprüfung der TOMs
• Incident-Response: Dokumentierter Prozess für Datenschutzverletzungen
• Auftragskontrolle: Schriftliche Weisungen, dokumentiert via E-Mail

---

Als PDF speichern / drucken