Zurück

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Stand: 8. April 2026

zwischen dem Kunden (nachfolgend „Auftraggeber") und
Wilhelm Löwe, Stenerner Weg 33, 46397 Bocholt, Deutschland
E-Mail: logclock@lion-online.de
(nachfolgend „Auftragnehmer")

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zum Zweck der digitalen Arbeitszeiterfassung für die Mitarbeiter des Auftraggebers. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags.

§ 2 Art und Zweck der Verarbeitung

Verarbeitete Datenkategorien: Namen der Mitarbeiter, E-Mail-Adressen, Arbeitszeiten (Start, Ende, Pausen), zugeordnete Arbeitsbereiche, Notizen.

Betroffene Personen: Mitarbeiter des Auftraggebers.

Zweck: Digitale Zeiterfassung, Auswertung und Export von Arbeitszeitdaten.

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich insbesondere:

  1. Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten.
  2. Zur Vertraulichkeit verpflichtete Personen einzusetzen.
  3. Alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO umzusetzen.
  4. Die Bedingungen für die Hinzuziehung weiterer Auftragsverarbeiter einzuhalten.
  5. Den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen zu unterstützen (Art. 15–22 DSGVO).
  6. Nach Abschluss der Dienstleistung alle personenbezogenen Daten zurückzugeben oder zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  7. Dem Auftraggeber alle erforderlichen Informationen zur Nachweisführung gemäß Art. 28 Abs. 3 lit. h DSGVO bereitzustellen.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer setzt angemessene technische und organisatorische Maßnahmen ein, insbesondere:

  • Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Passwort-Hashing (bcrypt)
  • Zugriffskontrolle durch rollenbasierte Berechtigungen
  • Regelmäßige automatische Datensicherung
  • Hosting auf Servern in Deutschland
  • Firewall und SSH-only Zugang zum Server

§ 5 Unterauftragsverarbeiter

Der Auftragnehmer ist berechtigt, folgende Unterauftragsverarbeiter einzusetzen:

  • Strato AG (Deutschland) — Hosting
  • Brevo (Sendinblue) (EU) — Transaktionale E-Mails
  • Stripe, Inc. (USA, EU-Standardvertragsklauseln) — Zahlungsabwicklung

Der Auftraggeber wird über Änderungen an der Liste der Unterauftragsverarbeiter per E-Mail informiert und hat ein Widerspruchsrecht innerhalb von 14 Tagen.

§ 6 Rechte des Auftraggebers

Der Auftraggeber hat das Recht auf Auskunft, Kontrolle und Prüfung der Verarbeitung. Kontrollmaßnahmen sind mit angemessener Vorankündigung durchzuführen und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unangemessen beeinträchtigen.

§ 7 Löschung und Rückgabe

Nach Vertragsende werden alle personenbezogenen Daten des Auftraggebers gemäß § 11 der AGB gelöscht. Der Auftraggeber kann vor der Löschung einen vollständigen Export seiner Daten anfordern.

§ 8 Haftung

Die Haftungsregelungen des Hauptvertrags (AGB, § 10) gelten entsprechend.