Zwischen dem Clockodo-Kunden (Verantwortlicher) und der Clockodo GmbH (Auftragsverarbeiter), Viktoriastraße 25 A, 59425 Unna wird nachfolgender Vertrag geschlossen (Vertrag als PDF herunterladen).
Stand: 03.06.2025
Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem zwischen den Vertragsparteien bestehenden Vertragsverhältnis bezüglich der Nutzung der SaaS-Lösung clockodo.com und den dort aufgeführten Allgemeinen Geschäftsbedingungen ergeben. Der Auftraggeber ist datenschutzrechtlich der Verantwortliche, der Auftragnehmer ist Auftragsverarbeiter.
1.1 Der Gegenstand des Auftrags ergibt sich aus den Allgemeinen Geschäftsbedingungen und der Beschreibung in Anlage 1.
1.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit gemäß der Allgemeinen Geschäftsbedingungen.
1.3 Der vorliegende Vertrag ersetzt alle vorherigen Vereinbarungen zur Auftragsverarbeitung.
2.1 Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Art und Zweck der Aufgaben des Auftragnehmers sind der Anlage 1 zu entnehmen.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Verlagerungen oder Datenverarbeitungen in einem Drittland dürfen nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind. Das angemessene Schutzniveau ist hierbei festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO) oder wird hergestellt durch verbindliche interne Datenschutzvorschriften (Artt. 46 Abs. 2 lit. b i.V.m. 47 DSGVO), möglich ist auch die Festlegung durch Standarddatenschutzklauseln (Art. 46 Abs. 2 litt. c und d DSGVO) oder genehmigten Verhaltensregeln (Artt 46 Abs. 2 lit. e i.V.m. 40 DSGVO), durch einen genehmigten Zertifizierungsmechanismus (Artt. 46 Abs. 2 lit. f i.V.m. 42 DSGVO) kann ebenfalls ein Nachweis erfolgen.
2.2 Die Art der verwendeten personenbezogenen Daten (Datenkategorien) und die Kategorien betroffener Personen sind konkret beschrieben in der Anlage 1.
3.1 Der Auftragnehmer hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Verfügung zu stellen. Die jeweils aktuelle Fassung der technischen und organisatorischen Maßnahmen ist unter https://www.clockodo.com/de/trust-center/ zu finden.
3.2 Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4.1 Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung oder Verarbeitung von Daten dieser Person zu erteilen, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen. Dies setzt voraus, dass der Auftraggeber den Auftragnehmer hierzu schriftlich oder in Textform aufgefordert hat. Der Auftragnehmer wird keine Auskunftsverlangen beantworten und den Betroffenen insoweit an den Auftraggeber verweisen.
4.2 Wendet sich ein Betroffener mit Forderungen zur Berichtigung, Löschung oder Sperrung an den Auftragnehmer, wird der Auftragnehmer den Betroffenen an den Auftraggeber verweisen.
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß den Artt. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
Der Auftragnehmer hat schriftlich einen Datenschutzbeauftragten zu bestellen, der seine Tätigkeit gemäß Artt. 38 und 39 DSGVO ausübt. Die Kontaktdaten sind unter https://www.clockodo.com/de/datenschutz/ zu finden.
Der Auftragnehmer stellt die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29 und 32 Abs. 4 DSGVO sicher. Bei der Durchführung der Arbeiten werden nur Beschäftigte eingesetzt, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
6.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
6.2 Der Auftragnehmer nimmt die in Anlage 2 genannten Unterauftragnehmer zur Ausführung einzelner Verarbeitungstätigkeiten in Anspruch. Der Wechsel von bestehenden Unterauftragnehmern oder die Hinzuziehung neuer Unterauftragnehmer ist nur zulässig, wenn der Auftragnehmer eine solche Änderung dem Auftraggeber eine angemessene Zeit, mindestens aber vier Wochen, vorab mitteilt und der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Veränderung erhebt. Im Falle von technischen Problemen oder Datenschutzvorfällen beim Unterauftragnehmer ist der Auftragnehmer berechtigt, unverzüglich und ohne Einhaltung einer vorgegebenen Frist den Unterauftragnehmer zu wechseln, um die fortlaufende Sicherstellung des angebotenen Dienstes zu gewährleisten. Eine vertragliche Vereinbarung gem. des Artikel 28 Abs. 2-4 DSGVO ist obligatorisch.
7.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, welche mindestens vier Wochen vorab anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
7.2 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
7.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO oder aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits.
8.1 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artt. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen. Der Auftragnehmer hat die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden. Ebenso hat der Auftragnehmer den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen, insbesondere die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung oder die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
8.2 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten und nicht auf ein Fehlverhalten des Auftragnehmers oder eines Unterauftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen, welche im Einzelfall mit dem Auftraggeber im Vorfeld abgestimmt und vereinbart wird.
9.1 Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
9.2 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
10.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
10.2 Nach Beendigung der Leistungsvereinbarung wird der Auftragnehmer sämtliche Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, löschen oder zurückgeben. Die Rückgabe der Daten kann durch einen Export aus der Anwendung erfolgen, die Löschung der Daten erfolgt nach der in den Allgemeinen Geschäftsbedingungen genannten Vorhaltefrist oder kann auf direkte Weisung des Auftraggebers erfolgen.
10.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfrist über das Vertragsende hinaus aufzubewahren.
11.1 Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen der ausdrücklichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
11.2 Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung den Regelungen der Allgemeinen Geschäftsbedingungen vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
Im Einzelnen sind insbesondere die folgenden Tätigkeiten Bestandteil der Datenverarbeitung. Speicherung der vom Auftraggeber über die Nutzeroberfläche von clockodo.com eingegebenen Daten in einer Datenbank, Wiedergabe, Systematisierung, tabellarische und/oder grafische Auswertung der Daten sowie Löschung der Daten auf Anforderung des Auftraggebers, Wartung und Hosting der dem Service zugrundeliegenden IT-Systeme, Software und Datenbanken und der Umgang mit Backups.
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies erfolgt durch die Nutzung von clockodo.com, einer SaaS-Lösung zur Zeiterfassung. Bei den auf Basis der Allgemeinen Geschäftsbedingungen verarbeiteten personenbezogenen Daten handelt es sich um solche, die der Auftraggeber für die Arbeitszeiterfassung seiner Mitarbeiter sowie die Auswertung und Abrechnung bezüglich seiner Kunden bei clockodo.com eingibt.
Datenkategorien:
☒ Kontaktdaten
☒ Stammdaten
☒ Zeiterfassungsdaten
☒ Gesundheitsdaten
Kreis der Betroffenen:
☒ Beschäftigte
☒ Kunden
Auf darüberhinausgehende personenbezogene Daten die durch den Auftraggeber in Clockodo eingetragen werden können, hat der Auftragnehmer keinen Einfluss. Es obliegt dem Auftraggeber eine entsprechende Rechtsgrundlage hierfür nachzuweisen.
Rapidmail GmbH
Wentzingerstr. 21
79106 Freiburg i. Br.
Deutschland
Leistung: Versand von Newslettern und E-Mails aus der Anwendung
Microsoft Deutschland GmbH
Walter-Gropius-Str. 5
80807 München
Deutschland
Leistung: Webhosting der Anwendung my.clockodo.com inkl. Speicherung der Kundendaten (Serverstandort Deutschland)
CleverReach GmbH & Co. KG
//CRASH Building
Schafjückenweg 2
26180 Rastede
Deutschland
Leistung: Versand von Informationen zu anwendungsbezogenen Funktionen, sowie Transaktionsmails (keine Werbung)
Functional Software Inc. d/b/a Sentry
45 Fremont Street, 8th Floor
San Francisco, CA 94105
USA
Leistung: Anwendungsüberwachung und Fehlerverfolgung
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Leistung: Notfall-Server für Clockodo Datenbanken
Bechtle
Peerigon GmbH
Phoenix Logistik
Fidea