Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Stand: 01/2026

1. Vertragsparteien

Dieser Vertrag wird geschlossen zwischen:

Auftragsverarbeiter
Matthias Papst
TeamStamp
Zugspitzstraße 7
83395 Freilassing
Deutschland

– nachfolgend „Auftragsverarbeiter“ –

und

dem jeweiligen Nutzer der Software „TeamStamp“, sofern dieser personenbezogene Daten Dritter verarbeitet,

– nachfolgend „Verantwortlicher“ –

2. Zustandekommen des Vertrags (digitale Zustimmung)

(1) Dieser Vertrag wird elektronisch geschlossen.

(2) Die Zustimmung erfolgt durch aktive Bestätigung (Checkbox) im Rahmen der Registrierung oder im Kundenbereich.

(3) Mit der Zustimmung bestätigt der Verantwortliche, dass er personenbezogene Daten im Sinne der DSGVO verarbeitet und TeamStamp als Auftragsverarbeiter einsetzt.

(4) Die jeweils gültige Version ist im Kundenbereich einsehbar und versioniert.

3. Gegenstand und Dauer der Verarbeitung

(1) Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der webbasierten Software „TeamStamp“.

(2) Die Verarbeitung dient der Bereitstellung einer SaaS-Lösung zur Arbeitszeitverwaltung und organisatorischen Unterstützung.

(3) Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrages über die Nutzung von TeamStamp.

4. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere:

  • Speicherung und Verwaltung von Arbeitszeitdaten
  • Verwaltung von Organisations- und Planungsdaten
  • Benutzerverwaltung
  • Authentifizierung und Zugriffskontrolle
  • IT-Sicherheitsmaßnahmen
  • Nutzung des integrierten KI-Hilfe-Assistenten
  • Supportleistungen

Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters erfolgt nicht.

5. Art der personenbezogenen Daten

Je nach Nutzung können folgende Datenarten betroffen sein:

  • Stammdaten (Name, E-Mail-Adresse)
  • Beschäftigtendaten
  • Arbeitszeit- und Planungsdaten
  • Login- und Protokolldaten
  • Kommunikationsdaten innerhalb der Anwendung
  • Inhalte, die im KI-Assistenten eingegeben werden

6. Kategorien betroffener Personen

  • Mitarbeiter des Verantwortlichen
  • Nutzerkontoinhaber
  • ggf. weitere durch den Verantwortlichen eingetragene Personen

7. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
  2. die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO sicherzustellen;
  3. geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen;
  4. den Verantwortlichen bei der Wahrung von Betroffenenrechten gemäß Art. 12–23 DSGVO zu unterstützen;
  5. Datenschutzverletzungen unverzüglich mitzuteilen;
  6. nach Vertragsende personenbezogene Daten zu löschen oder zurückzugeben;
  7. dem Verantwortlichen erforderliche Informationen zur Verfügung zu stellen, um die Einhaltung der DSGVO nachzuweisen.

8. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter gewährleistet insbesondere:

  • TLS-/HTTPS-Verschlüsselung der Datenübertragung
  • rollenbasierte Zugriffskontrollen
  • sichere Authentifizierungsmechanismen
  • Serverbetrieb über gesicherte Rechenzentren
  • Einsatz von Firebase App Check zur Missbrauchsvermeidung
  • Protokollierung sicherheitsrelevanter Ereignisse
  • regelmäßige Sicherheitsupdates
  • Zugriffsbeschränkung nach dem Need-to-know-Prinzip

9. Subunternehmer

Der Verantwortliche stimmt dem Einsatz folgender Subunternehmer zu:

Google Ireland Limited – Hosting (Firebase), Infrastruktur, Gemini API
Stripe Payments Europe Ltd. – Zahlungsabwicklung

Der Auftragsverarbeiter stellt sicher, dass mit allen Subunternehmern datenschutzkonforme Vereinbarungen gemäß Art. 28 DSGVO bestehen.

10. Datenübermittlung in Drittländer

Sofern eine Übermittlung personenbezogener Daten in Drittländer erfolgt, geschieht dies ausschließlich auf Grundlage:

  • EU-Standardvertragsklauseln
  • Angemessenheitsbeschlüssen der EU-Kommission
  • oder anderer geeigneter Garantien gemäß Art. 44 ff. DSGVO

11. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist insbesondere verantwortlich für:

  • die Rechtmäßigkeit der Datenerhebung
  • die Information der betroffenen Personen
  • die Wahrung der Betroffenenrechte
  • die Prüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung

12. Unterstützung bei Betroffenenanfragen

Der Auftragsverarbeiter unterstützt den Verantwortlichen im technisch möglichen und zumutbaren Rahmen bei:

  • Auskunftsersuchen
  • Löschbegehren
  • Berichtigungen
  • Einschränkungen der Verarbeitung
  • Datenübertragbarkeit

13. Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

  • Art der Verletzung
  • betroffene Datenkategorien
  • voraussichtliche Auswirkungen
  • ergriffene oder geplante Gegenmaßnahmen

14. Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags werden personenbezogene Daten gelöscht oder – auf Wunsch – in einem gängigen, maschinenlesbaren Format bereitgestellt.

(2) Gesetzliche Aufbewahrungspflichten bleiben unberührt.

15. Kontrollrechte

(1) Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags in angemessenem Umfang zu überprüfen.

(2) Prüfungen haben unter Wahrung von Geschäfts- und Betriebsgeheimnissen zu erfolgen.

(3) Vor-Ort-Prüfungen sind mit angemessener Vorankündigung zulässig.

16. Haftung

(1) Die Haftung richtet sich nach Art. 82 DSGVO.

(2) Im Übrigen gelten die Haftungsregelungen der AGB von TeamStamp.

17. Schlussbestimmungen

(1) Änderungen dieses Vertrags bedürfen der Textform.

(2) Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.

(3) Es gilt deutsches Recht.

Zurück zur Startseite