Vertrag zur Auftragsverarbeitung (AVV)
Nach Art. 28 DSGVO · Stand: 15. Juli 2026 · Bestandteil des Vertrags über die Nutzung von taptime (siehe AGB)
Wie dieser Vertrag zustande kommt: Dieser AVV wird mit Abschluss des Hauptvertrags (Bestellung von taptime) als dessen Bestandteil geschlossen. Eine unterzeichnete Fassung in Textform erhältst du auf Anfrage anhello@taptime.cloud — wir schicken sie dir als PDF.
Vertragsparteien
Verantwortlicher (nachfolgend „Kunde"): der Betrieb, der taptime nutzt — die Daten seiner Beschäftigten verarbeitet er in eigener Verantwortung.
Auftragsverarbeiter (nachfolgend „Anbieter"): arrowhacks GmbH & Co. KG, Julius-Hatry-Straße 1, 68163 Mannheim.
§ 1 Gegenstand und Dauer
(1) Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden, um die SaaS-Zeiterfassung taptime bereitzustellen (Betrieb der Instanz, Speicherung der erfassten Daten, Versand von Benachrichtigungen, Support).
(2) Die Dauer entspricht der Laufzeit des Hauptvertrags. Der AVV endet mit dessen Beendigung.
§ 2 Art, Zweck und Umfang der Verarbeitung
Zweck: Erfassung, Speicherung und Auswertung von Arbeitszeiten, Pausen und Abwesenheiten sowie die Erstellung gesetzlich vorgeschriebener Nachweise für den Kunden.
Betroffene Personen: Beschäftigte des Kunden (inkl. Aushilfen und Auszubildende).
Datenkategorien:
- Stammdaten: Name, E-Mail-Adresse (sofern vorhanden), Rolle, Benutzername
- Vertragsdaten: Wochenarbeitszeit, Urlaubsanspruch, Vertragsbeginn
- Arbeitszeitdaten: Kommen/Gehen, Pausen, Projekt- und Tätigkeitszuordnung, Korrekturen
- Abwesenheiten: Urlaub, Krankheit (nur Anwesenheitsstatus, keine Diagnosen), Sonderurlaub, Genehmigungsverlauf
- Technische Daten: Geräte-Kopplungen der App, Zugriffs- und Sicherheits-Logs
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung. Der Kunde ist verpflichtet, keine Gesundheitsdaten (z. B. Diagnosen) in Freitextfelder einzugeben.
§ 3 Weisungen
(1) Der Anbieter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden. Die Nutzung der Anwendung durch den Kunden gilt als Weisung; darüber hinausgehende Einzelweisungen erfolgen in Textform an hello@taptime.cloud.
(2) Hält der Anbieter eine Weisung für rechtswidrig, teilt er dies dem Kunden unverzüglich mit und darf ihre Ausführung aussetzen.
(3) Eine Verarbeitung zu eigenen Zwecken findet nicht statt. Der Anbieter erstellt keine Profile und wertet Kundendaten nicht zu Analyse- oder Werbezwecken aus.
§ 4 Vertraulichkeit
Alle mit der Verarbeitung befassten Personen sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO) und im Datenschutz unterwiesen. Der Zugriff auf Kundendaten ist auf die Personen beschränkt, die ihn zur Vertragserfüllung benötigen.
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Anbieter trifft insbesondere folgende Maßnahmen — Details in der Anlage 1:
- Mandantentrennung: eigene Instanz und eigene Datenbank je Kunde
- Verschlüsselung: TLS für alle Verbindungen; Zugangsdaten nur als Hash gespeichert
- Zugriffskontrolle: rollenbasierte Rechte, Passwörter werden nie im Klartext übermittelt (Einmal-Links zur Selbstvergabe)
- Datensicherung: tägliche, verschlüsselte Sicherung der Datenbanken in ein anderes Rechenzentrum (Falkenstein) mit Löschung nach 35 Tagen; die Sicherungen sind gegen nachträgliches Löschen geschützt und lassen sich nur mit einem außerhalb der Systeme verwahrten Schlüssel entschlüsseln. Die Wiederherstellung wird regelmäßig erprobt.
- Verfügbarkeit: Monitoring, Alarmierung, redundante Speicherung
§ 6 Unterauftragsverarbeiter
(1) Der Kunde stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu. Alle verarbeiten Daten innerhalb der EU.
| Unternehmen | Leistung | Ort |
|---|---|---|
| Hetzner Online GmbH, Gunzenhausen | Betrieb von Anwendung und Datenbanken | Deutschland (Nürnberg) |
| Hetzner Online GmbH, Gunzenhausen | Speicherung der verschlüsselten Datensicherungen | Deutschland (Falkenstein) |
| Sendinblue GmbH (Brevo), Berlin | Versand von System- und Benachrichtigungs-E-Mails | EU |
(2) Der Anbieter informiert den Kunden mindestens vier Wochen vor Aufnahme oder Wechsel eines Unterauftragsverarbeiters in Textform. Der Kunde kann binnen zwei Wochen aus wichtigem datenschutzrechtlichem Grund widersprechen; in diesem Fall darf jede Partei den Hauptvertrag zum geplanten Wechselzeitpunkt kündigen.
(3) Mit allen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.
Hinweis: Der Zahlungsdienstleister Stripe verarbeitet Zahlungsdaten des Kunden alseigener Verantwortlicher und ist deshalb kein Unterauftragsverarbeiter. Beschäftigtendaten werden nicht an Stripe übermittelt.
§ 7 Unterstützung des Kunden
(1) Der Anbieter unterstützt den Kunden mit geeigneten Maßnahmen bei der Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit). Die Anwendung stellt hierfür Export- und Löschfunktionen bereit.
(2) Wendet sich eine betroffene Person direkt an den Anbieter, leitet er das Anliegen unverzüglich an den Kunden weiter.
(3) Der Anbieter unterstützt den Kunden bei Datenschutz-Folgenabschätzungen und der Meldung von Datenschutzverletzungen (Art. 32–36 DSGVO).
§ 8 Meldung von Verletzungen
Der Anbieter meldet dem Kunden Verletzungen des Schutzes personenbezogener Datenunverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, in Textform — mit Beschreibung des Vorfalls, betroffener Datenkategorien, wahrscheinlicher Folgen und ergriffener Gegenmaßnahmen.
§ 9 Nachweise und Kontrollen
(1) Der Anbieter weist die Einhaltung dieses Vertrags auf Anfrage nach — vorrangig durch geeignete Dokumentation (Beschreibung der TOM, Nachweise der Unterauftragsverarbeiter).
(2) Reicht dies nicht aus, kann der Kunde nach rechtzeitiger Ankündigung (mind. zwei Wochen) während der Geschäftszeiten Kontrollen durchführen oder durchführen lassen. Die Kontrolle darf den Betrieb nicht unverhältnismäßig stören; der Prüfer darf kein Wettbewerber des Anbieters sein.
§ 10 Löschung und Rückgabe
(1) Nach Beendigung des Hauptvertrags werden die Daten des Kunden noch 60 Tagevorgehalten, damit ein Export möglich ist: 30 Kalendertage Übergangsfrist und anschließend 30 Kalendertage Abruffrist (Ziff. B.6.1 und B.9.1 des Annexes zum Anbieterwechsel unsererAGB). Danach werden Instanz und Datenbank vollständig gelöscht.
(2) Sicherungskopien werden verschlüsselt gespeichert und spätestens35 Tage nach ihrer Erstellung gelöscht. Ein in der Anwendung gelöschter Datensatz kann daher für längstens diesen Zeitraum noch in einer Sicherung enthalten sein. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
(3) Der Kunde kann seine Daten jederzeit selbst exportieren — als CSV, XLSX, PDF sowie über eine REST-Schnittstelle (JSON); für die Lohnbuchhaltung zusätzlich als DATEV-LODAS. Einzelheiten: Datenexport & Anbieterwechsel.
Anlage 1: Technische und organisatorische Maßnahmen
Vertraulichkeit
- Zutrittskontrolle: Die Server stehen in ISO-27001-zertifizierten Rechenzentren von Hetzner (Deutschland/EU) mit Zutrittskontrolle, Videoüberwachung und Alarmanlagen. Der Anbieter selbst betreibt keine eigenen Rechenzentren.
- Zugangskontrolle: Zugriff auf die Anwendung nur über persönliche Konten; Passwörter werden ausschließlich als Hash gespeichert und nie per E-Mail versendet (Vergabe über einmalige, zeitlich befristete Setup-Links). Für Enterprise-Kunden ist Single Sign-On (SAML) mit dem firmeneigenen Identitätsanbieter möglich. Mitarbeiter-Geräte der App werden über zeitlich befristete Einmal-Tokens gekoppelt; die Kopplung ist jederzeit widerrufbar. Administrativer Zugang zur Infrastruktur nur über verschlüsselte Schlüssel und IP-Beschränkung.
- Zugriffskontrolle: Rollen- und Rechtekonzept innerhalb der Anwendung (Mitarbeiter / Teamleiter / Administrator). Mitarbeiter sehen nur ihre eigenen Daten.
- Trennungskontrolle: Jeder Kunde erhält eine eigene Anwendungsinstanz und eine eigene Datenbank; eine Vermischung von Kundendaten ist technisch ausgeschlossen.
Integrität
- Weitergabekontrolle: Sämtliche Verbindungen (Web, App, API) ausschließlich über TLS. E-Mail-Versand über authentifizierte, verschlüsselte Verbindungen (SPF, DKIM, DMARC eingerichtet).
- Eingabekontrolle: Änderungen an Zeiteinträgen werden protokolliert; Zeitkorrekturen erhalten einen nachvollziehbaren Vermerk (wer, wann, warum). Abgeschlossene Monate können gesperrt werden.
Verfügbarkeit und Belastbarkeit
- Regelmäßige, automatisierte Datensicherung der Datenbanken; Wiederherstellung wird geprüft.
- Redundante Speicherung der Daten auf mehreren Knoten.
- Laufendes Monitoring von Verfügbarkeit und Fehlerraten mit automatischer Alarmierung; öffentliche Statusseite unter status.taptime.cloud.
- Sicherheitsupdates werden zeitnah eingespielt; Aktualisierungen erfolgen unterbrechungsfrei.
Verfahren zur Überprüfung und Bewertung
- Datenschutz-Management: Verzeichnis von Verarbeitungstätigkeiten, Löschkonzept (30 Tage nach Vertragsende), Verträge mit allen Unterauftragsverarbeitern.
- Incident-Response: definierter Meldeweg, Benachrichtigung des Kunden binnen 24 Stunden (§ 8).
- Datenschutz durch Technikgestaltung: Es werden nur die für die Zeiterfassung erforderlichen Daten erhoben — keine Standortdaten, keine biometrischen Daten, kein Tracking, keine Werbe-IDs. Mitarbeiter können die App ohne E-Mail-Adresse und ohne Passwort nutzen.
Fragen zum Datenschutz? hello@taptime.cloud · Siehe auch Datenschutzerklärung und AGB.