Auftragsverarbeitungsvertrag
Standardvertragsklauseln gemäß Art. 28 Abs. 3 der Verordnung 2016/679 (Datenschutz-Grundverordnung) für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter.
Version 1.0, gültig ab 08-07-2026 · Zuletzt aktualisiert: 7. Juli 2026 · contact@justparity.com
1. Die Parteien
Auftragsverarbeiter
Just Parity ApS
CVR-Nr. 46363906, Vesterbrogade 208, 1800 Frederiksberg C, Dänemark
Kontakt: contact@justparity.com
Verantwortlicher
Der Kunde
Wie im Servicevertrag mit JustParity definiert
Jeweils eine "Partei" und zusammen die "Parteien". Diese Standardvertragsklauseln (die "Klauseln") sind integraler Bestandteil des Servicevertrags zwischen den Parteien.
2. Präambel
Diese Klauseln legen die Rechte und Pflichten des Auftragsverarbeiters fest, wenn dieser personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Die Klauseln wurden im Hinblick auf die Einhaltung von Art. 28 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung) durch die Parteien gestaltet.
Im Zusammenhang mit der Bereitstellung der JustParity-Compliance-Plattform verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß diesen Klauseln.
Die Klauseln haben Vorrang vor etwaigen entsprechenden Bestimmungen in anderen Vereinbarungen zwischen den Parteien.
Zu diesen Klauseln gehören vier Anhänge, die integraler Bestandteil der Klauseln sind:
- Anhang A: Informationen zur Verarbeitung (Zweck, Datenkategorien, betroffene Personen, Dauer)
- Anhang B: Unterauftragsverarbeiter (genehmigte Unterauftragsverarbeiter und Bedingungen)
- Anhang C: Weisung zur Verarbeitung (Sicherheitsmaßnahmen, Standort, Übermittlungen, Prüfungen)
- Anhang D: Regelung sonstiger Angelegenheiten durch die Parteien
Zu besonderen Kategorien personenbezogener Daten
JustParity verarbeitet nach Geschlecht aufgeschlüsselte Entgeltdaten zur Analyse des Entgeltgefälles (mit der Entgelttransparenzrichtlinie (EU) 2023/970 als Hintergrund). Die Verarbeitung kann Daten umfassen, die in Kombination besondere Kategorien gemäß Art. 9 DSGVO offenbaren können, einschließlich Daten zur Gewerkschaftszugehörigkeit (über Entgeltmeldungen). Der Verantwortliche haftet dafür, dass eine Rechtsgrundlage für die besonderen Kategorien vorliegt, typischerweise Art. 9 Abs. 2 lit. b, vgl. § 7 Abs. 2 und § 12 des dänischen Datenschutzgesetzes in Verbindung mit dem dänischen Gleichlohngesetz. Bei Verantwortlichen, die dem deutschen Recht unterliegen, kommt als nationale Grundlage insbesondere § 26 Abs. 3 BDSG in Betracht; da dessen Anwendbarkeit als eigenständige Rechtsgrundlage nach der Rechtsprechung des EuGH (Urteil vom 30. März 2023, C-34/21) umstritten ist, wird vorrangig Art. 9 Abs. 2 lit. b DSGVO herangezogen.
3. Rechte und Pflichten des Verantwortlichen
Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung, den Datenschutzbestimmungen des sonstigen Unionsrechts oder des dänischen Rechts sowie diesen Klauseln erfolgt.
Der Verantwortliche hat das Recht und die Pflicht, über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden.
Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass für die Verarbeitung personenbezogener Daten, mit der der Auftragsverarbeiter beauftragt wird, eine Rechtsgrundlage besteht.
4. Der Auftragsverarbeiter handelt auf Weisung
4.1 Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, es sei denn, er ist nach dem Unionsrecht oder dem dänischen Recht, dem er unterliegt, dazu verpflichtet. Die Weisungen sind in den Anhängen A und C festgelegt. Nachträgliche Weisungen können während der laufenden Verarbeitung erteilt werden, müssen jedoch stets dokumentiert und schriftlich aufbewahrt werden.
4.2 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen die Datenschutz-Grundverordnung oder gegen Datenschutzbestimmungen des sonstigen Unionsrechts oder des dänischen Rechts verstößt. Der Auftragsverarbeiter ist nicht verpflichtet, eine Weisung zu befolgen, die zu einem Verstoß gegen geltendes Recht führen würde.
4.3 Die Aktivierung einer Entgeltsystem-Integration über die JustParity-Plattform durch den Verantwortlichen stellt eine dokumentierte Weisung an den Auftragsverarbeiter dar, die von dem betreffenden Entgeltsystem übermittelten personenbezogenen Daten zu empfangen und zu verarbeiten. Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass die Übermittlung auf einer Rechtsgrundlage beruht.
5. Vertraulichkeit
Der Auftragsverarbeiter darf den Zugang zu personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur Personen gewähren, die seiner Weisungsbefugnis unterliegen, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und nur im erforderlichen Umfang.
Die Liste der zugangsberechtigten Personen wird laufend überprüft. Der Zugang wird gesperrt, sobald er nicht mehr erforderlich ist. Die Vertraulichkeitspflicht besteht auch nach Beendigung der Klauseln fort.
6. Sicherheit der Verarbeitung (Art. 32 DSGVO)
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein diesen Risiken angemessenes Schutzniveau zu gewährleisten.
Da die Verarbeitung Entgeltdaten, Geschlechtsdaten und potenziell Daten zur Gewerkschaftszugehörigkeit (Art. 9) umfasst, ist ein hohes Sicherheitsniveau zu gewährleisten.
Der Auftragsverarbeiter trifft mindestens die folgenden Maßnahmen, vgl. Anhang C:
- Verschlüsselung: TLS 1.3 für Daten während der Übertragung, AES-256 für ruhende Daten, verschlüsselte Datenbankverbindungen und Backups
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) nach dem Least-Privilege-Prinzip, Mehr-Faktor-Authentifizierung (MFA) für privilegierten Zugriff, eindeutige Benutzerkonten, automatischer Sitzungs-Timeout
- Datenisolierung: Multi-Tenant Row Level Security (RLS). Kundendaten sind mittels Row-Level Security logisch getrennt, sodass die Daten eines Kunden vor dem Zugriff durch andere Kunden geschützt sind
- Protokollierung und Überwachung: Jeder Zugriff auf personenbezogene Daten wird protokolliert, Systemadministrator-Aktivitäten werden gesondert protokolliert, automatische Benachrichtigung bei unbefugten Zugriffsversuchen
- Schwachstellenmanagement: Laufendes Schwachstellen-Scanning, kritische Sicherheitspatches werden so schnell wie möglich und innerhalb der risikobasierten Fristen des Incident-Response-Verfahrens eingespielt, sowie regelmäßige Penetrationstests gemäß dem Sicherheitsprogramm
- Backup und Wiederherstellung: Tägliches automatisches Backup, Point-in-Time-Recovery, Notfallwiederherstellungsplan mit dokumentierten RTO und RPO
- Incident Response: Dokumentiertes Verfahren zur Behandlung von Sicherheitsvorfällen, Klassifizierung nach Schweregrad, Eskalation und Benachrichtigung gemäß Abschnitt 10
- Personal: Alle Mitarbeiter mit Zugang zu personenbezogenen Daten haben eine Vertraulichkeitserklärung unterzeichnet und erhalten regelmäßige Sicherheitsschulungen
Der Auftragsverarbeiter verpflichtet sich, das Gesamtsicherheitsniveau nicht wesentlich zu senken, ohne den Verantwortlichen zuvor schriftlich zu unterrichten.
7. Einsatz von Unterauftragsverarbeitern
7.1 Der Auftragsverarbeiter verfügt über die allgemeine Genehmigung des Verantwortlichen zum Einsatz der in Anhang B aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter stellt sicher, dass mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung geschlossen wird, die diesem dieselben Datenschutzpflichten auferlegt, wie sie in diesen Klauseln festgelegt sind.
7.2 Der Auftragsverarbeiter unterrichtet den Verantwortlichen schriftlich über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mit einer Frist von mindestens 30 Tagen und gibt dem Verantwortlichen damit die Möglichkeit, gegen solche Änderungen Einspruch zu erheben.
7.3 Der Verantwortliche kann innerhalb von 14 Tagen nach Erhalt der Mitteilung begründeten Einspruch gegen einen neuen Unterauftragsverarbeiter erheben. Der Auftragsverarbeiter bemüht sich in angemessenem Umfang um eine alternative Lösung. Können sich die Parteien nicht einigen, kann der Verantwortliche den betroffenen Teil des Servicevertrags mit Wirkung zu dem Zeitpunkt kündigen, zu dem der neue Unterauftragsverarbeiter eingesetzt werden sollte.
7.4 Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten des Unterauftragsverarbeiters in vollem Umfang verantwortlich. Dies berührt nicht die Rechte der betroffenen Personen gemäß der Datenschutz-Grundverordnung, insbesondere Art. 79 und 82.
8. Übermittlung in Drittländer oder an internationale Organisationen
Jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen darf vom Auftragsverarbeiter nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen und stets im Einklang mit Kapitel V der Datenschutz-Grundverordnung vorgenommen werden.
Personenbezogene Daten werden in EU/EWR-Rechenzentren gespeichert und verarbeitet (vorwiegend Frankfurt, Deutschland). Einzelne Unterauftragsverarbeiter sind US-Unternehmen, deren konzernverbundene Muttergesellschaften Support-Zugriff aus Drittländern haben können. Für solche Übermittlungen wurden EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c geschlossen, ergänzt durch das EU-US Data Privacy Framework, soweit der Anbieter zertifiziert ist.
Die Weisungen des Verantwortlichen zur Übermittlung personenbezogener Daten in Drittländer, einschließlich der Übermittlungsgrundlage, sind in Anhang C aufgeführt.
9. Unterstützung des Verantwortlichen
9.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen so weit wie möglich bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Personen gemäß Kapitel III der Datenschutz-Grundverordnung. Dies umfasst Unterstützung in Bezug auf:
- die Informationspflicht bei Erhebung personenbezogener Daten bei der betroffenen Person
- die Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
- das Auskunftsrecht
- das Recht auf Berichtigung
- das Recht auf Löschung ("Recht auf Vergessenwerden")
- das Recht auf Einschränkung der Verarbeitung
- die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung
- das Recht auf Datenübertragbarkeit
- das Widerspruchsrecht
- das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden
9.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei:
- der Meldung einer Verletzung des Schutzes personenbezogener Daten an die dänische Datenschutzbehörde (Datatilsynet), vgl. Art. 33
- der Benachrichtigung der betroffenen Personen über eine Verletzung, vgl. Art. 34
- Datenschutz-Folgenabschätzungen (DSFA), vgl. Art. 35, indem er alle erforderlichen technischen Informationen über die Verarbeitungstätigkeiten, Sicherheitsmaßnahmen und Datenflüsse der Plattform bereitstellt
- der vorherigen Konsultation der dänischen Datenschutzbehörde (Datatilsynet), vgl. Art. 36
10. Meldung von Verletzungen des Schutzes personenbezogener Daten
10.1 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Unterrichtung erfolgt spätestens 24 Stunden, nachdem der Auftragsverarbeiter von der Verletzung Kenntnis erlangt hat, damit der Verantwortliche seine Pflicht zur Meldung der Verletzung an die dänische Datenschutzbehörde (Datatilsynet) innerhalb von 72 Stunden erfüllen kann, vgl. Art. 33.
10.2 Die Unterrichtung muss die folgenden Angaben enthalten (vgl. Art. 33 Abs. 3):
- die Art der Verletzung, einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen
- die Kategorien und die ungefähre Zahl der betroffenen personenbezogenen Datensätze
- die wahrscheinlichen Folgen der Verletzung
- die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
- die Kontaktdaten der Kontaktperson des Auftragsverarbeiters
11. Löschung und Rückgabe von Daten
11.1 Bei Beendigung der Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten gibt der Auftragsverarbeiter alle personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (CSV oder JSON) an den Verantwortlichen zurück und löscht anschließend vorhandene Kopien spätestens 30 Tage nach Beendigung, sofern das geltende Recht keine Speicherung vorschreibt.
11.2 Der Auftragsverarbeiter bestätigt dem Verantwortlichen schriftlich, dass die Löschung durchgeführt wurde, auch bei allen Unterauftragsverarbeitern.
11.3 Die folgenden Vorschriften schreiben die Speicherung personenbezogener Daten nach Beendigung vor: das dänische Buchführungsgesetz (5 Jahre), die Steuer- und Abgabengesetzgebung sowie das Arbeitsrecht. Solche Daten werden weiterhin gemäß den Sicherheitsbestimmungen dieser Klauseln gespeichert und gelöscht, sobald die Aufbewahrungspflicht endet. Für Verantwortliche, die dem deutschen Recht unterliegen, können eigene gesetzliche Aufbewahrungsfristen gelten, insbesondere nach § 257 HGB und § 147 AO (in der Regel sechs bis zehn Jahre für buchhaltungs- und steuerrelevante Unterlagen); für deren Einhaltung ist der Verantwortliche selbst verantwortlich.
12. Audit und Inspektion
12.1 Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Art. 28 der Datenschutz-Grundverordnung und dieser Klauseln erforderlich sind, und ermöglicht und trägt zu Überprüfungen, einschließlich Inspektionen, bei, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden.
12.2 Der Verantwortliche kann einmal jährlich mit einer Frist von mindestens 30 Tagen eine ordentliche Prüfung durchführen. Die Prüfung kann im gegenseitigen Einvernehmen durch einen unabhängigen Dritten durchgeführt werden. Alternativ kann der Auftragsverarbeiter einen unabhängigen Prüfbericht als Nachweis der Einhaltung zur Verfügung stellen.
12.3 Bei begründetem Verdacht auf einen Verstoß oder nach einer Sicherheitsverletzung kann der Verantwortliche mit angemessener Frist eine außerordentliche Prüfung durchführen.
12.4 Der Auftragsverarbeiter ist verpflichtet, der dänischen Datenschutzbehörde (Datatilsynet), die nach geltendem Recht Zugang zu den Räumlichkeiten des Verantwortlichen oder des Auftragsverarbeiters hat, gegen Vorlage eines entsprechenden Ausweises Zugang zu den Räumlichkeiten des Auftragsverarbeiters zu gewähren.
13. Vereinbarungen der Parteien zu sonstigen Fragen
13.1 Die Gesamthaftung des Auftragsverarbeiters aus diesen Klauseln ist auf den Betrag begrenzt, den der Verantwortliche in den 12 Monaten vor dem den Anspruch auslösenden Ereignis an Abonnementgebühren gezahlt hat. Die Haftungsbeschränkung gilt nicht für Ansprüche, die aus einer Verletzung der Rechte der betroffenen Personen gemäß Art. 82 entstehen (zwingende Vorschrift), oder soweit der Schaden auf grober Fahrlässigkeit oder Vorsatz beruht.
13.2 Diese Klauseln unterliegen dänischem Recht. Streitigkeiten werden von den dänischen Gerichten entschieden, wobei das Gericht in Frederiksberg (Retten på Frederiksberg) in erster Instanz zuständig ist.
14. Inkrafttreten und Beendigung
Die Klauseln treten mit Abschluss des Servicevertrags in Kraft. Jede Partei kann eine Neuverhandlung der Klauseln verlangen, wenn Gesetzesänderungen oder Unzweckmäßigkeiten dazu Anlass geben.
Die Klauseln gelten, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Nach Beendigung gelten die Bestimmungen zur Vertraulichkeit (Abschnitt 5) und zur Löschung (Abschnitt 11) fort.
15. Kontaktpersonen
Die Kontaktpersonen der Parteien für Fragen zu diesen Klauseln und für die Meldung von Verletzungen des Schutzes personenbezogener Daten sind:
Auftragsverarbeiter (Just Parity ApS)
Allgemeine Anfragen: contact@justparity.com
Verletzungen des Datenschutzes: security@justparity.com
Name und Titel des/der Sicherheitsverantwortlichen: ______________________
Verantwortlicher (der Kunde)
Bei Abschluss der Vereinbarung auszufüllen:
Kontaktperson: ______________________
Datenschutzbeauftragter (DSB), falls zutreffend: ______________________
E-Mail: ______________________
Anhänge
Anhang A: Informationen zur Verarbeitung
| A.1 Zweck | Bereitstellung der JustParity-Compliance-Plattform für die EU-Entgelttransparenzrichtlinie (2023/970), einschließlich Jobarchitektur, Entgeltbänder, Analyse des Entgeltgefälles, Berichterstattung an Behörden, Bearbeitung von Mitarbeiteranfragen und Audit-Trail |
| A.2 Art der Verarbeitung | Erhebung über API-Integration mit Entgeltsystemen, Strukturierung und Kategorisierung, statistische Analyse und Berechnung, Berichterstellung, Anzeige in einer Webanwendung, Speicherung in einer verschlüsselten Datenbank, Löschung bei Beendigung oder auf Weisung |
| A.3 Personenbezogene Daten | Allgemeine: Name, Mitarbeiter-ID, Position, Jobebene, Jobkategorie, Abteilung, Eintrittsdatum, Austrittsdatum, Arbeitszeit, Grundgehalt, Zulagen, Bonus, Altersvorsorge, Benefits, Gehaltshistorie, E-Mail, Aktivitätsprotokoll Besondere Kategorien (Art. 9): Geschlecht (zur Berechnung des Entgeltgefälles, Rechtsgrundlage: Art. 9 Abs. 2 lit. b, vgl. § 7 Abs. 2 und § 12 des dänischen Datenschutzgesetzes; der Verantwortliche haftet für die Grundlage). Gewerkschaftszugehörigkeit kann indirekt in importierten Entgeltdatensätzen vorkommen. CPR-Nummern: Können transient aus angebundenen Entgeltsystemen empfangen und ausschließlich zur technischen Ableitung des Geschlechts (letzte Ziffer) verwendet werden. Die CPR-Nummer wird nicht gespeichert. |
| A.4 Betroffene Personen | Derzeitige und ehemalige Mitarbeiter des Verantwortlichen sowie Plattformnutzer (HR-Mitarbeiter, Führungskräfte) |
| A.5 Dauer | Die Verarbeitung erfolgt, solange der Servicevertrag in Kraft ist. Löschung spätestens 30 Tage nach Beendigung, vgl. Abschnitt 11. |
Anhang B: Unterauftragsverarbeiter
Bei Inkrafttreten der Klauseln hat der Verantwortliche den Einsatz der folgenden Unterauftragsverarbeiter genehmigt. Änderungen werden mindestens 30 Tage vor Wirksamwerden mitgeteilt, vgl. Abschnitt 7.2.
| Juristische Einheit | Land | Datenstandort | Verarbeitungstätigkeit | Übermittlungsgrundlage |
|---|---|---|---|---|
| Supabase Inc. | USA | EU (AWS eu-central-1, Frankfurt) | Cloud-Hosting, Datenbank, Authentifizierung. Kern: alle personenbezogenen Daten inkl. Art. 9 (Geschlecht) sowie transiente CPR-Nummer | SCC (Art. 46 Abs. 2 lit. c). Nicht DPF-zertifiziert |
| Netlify, Inc. | USA | EU-CDN und Serverless | Hosting, CDN, Serverless Functions; speichert das Gmail-Service-Secret in Netlify Blobs | EU-US DPF mit SCC als Fallback |
| Google Ireland Limited (Betrieb: Google LLC, USA) | Irland / USA | EU/US | Transaktionale E-Mails (Gmail DWD) | EU-US DPF (Google LLC) sowie SCC |
| Slack Technologies LLC (Salesforce, Inc.) | USA | EU (Slack EU Residency) | Interne Benachrichtigungen bei Benutzererstellung | EU-US DPF (Salesforce) sowie SCC |
| Functional Software, Inc. (Sentry) | USA | EU (de.sentry.io) bei EU-Org, sonst US | Clientseitiges Fehlermonitoring | EU-Region: keine Übermittlung, sonst EU-US DPF sowie SCC |
| Redis-Anbieter (wird festgelegt, z. B. Upstash Inc.) | USA/EU | EU (eu-central-1) empfohlen | Rate-Limiting; verarbeitet IP-Adressen | EU-Region, sonst SCC |
Anhang C: Weisung zur Verarbeitung personenbezogener Daten
C.1 Gegenstand der Verarbeitung
Der Auftragsverarbeiter wird angewiesen, Entgeltdaten, Beschäftigungsdaten und demografische Daten aus dem/den Entgeltsystem(en) des Verantwortlichen über eine API-Integration zu empfangen, diese in Jobarchitektur und Entgeltbänder zu strukturieren, eine statistische Analyse der nach Geschlecht aufgeschlüsselten Entgeltunterschiede durchzuführen, gesetzlich vorgeschriebene Berichte zu erstellen und dem Verantwortlichen die Daten über eine webbasierte Plattform zur Verfügung zu stellen.
C.2 Sicherheit der Verarbeitung
Da die Verarbeitung Entgeltdaten und besondere Kategorien personenbezogener Daten (Geschlecht, potenziell Gewerkschaftszugehörigkeit) umfasst, ist ein hohes Sicherheitsniveau zu gewährleisten. Die konkreten Maßnahmen sind in Abschnitt 6 beschrieben.
C.3 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen in dem Umfang und in der Weise, die in Abschnitt 9 dargelegt sind. Der Auftragsverarbeiter stellt technische Informationen und Dokumentationen zur Verwendung in Folgenabschätzungen und vorherigen Konsultationen bereit.
C.4 Aufbewahrungsdauer und Löschroutine
Personenbezogene Daten werden gespeichert, solange der Servicevertrag in Kraft ist. Bei Beendigung werden die Daten innerhalb von 30 Tagen gelöscht oder zurückgegeben, vgl. Abschnitt 11. Gesetzlich vorgeschriebene Aufbewahrung (Buchführungsgesetz, Steuerrecht, Arbeitsrecht) ist ausgenommen.
C.5 Standort der Verarbeitung
Die Verarbeitung personenbezogener Daten findet in EU/EWR-Rechenzentren statt. Einzelne Unterauftragsverarbeiter sind US-Unternehmen, deren konzernverbundene Muttergesellschaften Support-Zugriff aus Drittländern auf SCC/DPF-Grundlage haben können, vgl. Anhang B. Die konkreten Rechenzentren sind für die jeweiligen Unterauftragsverarbeiter in Anhang B aufgeführt. Eine Verarbeitung an anderen Standorten ist ohne vorherige schriftliche Genehmigung des Verantwortlichen nicht zulässig.
C.6 Weisung zur Übermittlung in Drittländer
Der Verantwortliche weist den Auftragsverarbeiter an, personenbezogene Daten in EU/EWR-Rechenzentren zu verarbeiten. Die US-Mutterunternehmen einzelner Unterauftragsverarbeiter können konzernverbundenen Support-Zugriff aus Drittländern haben; für diese Übermittlungen wurden EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c geschlossen, ergänzt durch das EU-US Data Privacy Framework, soweit der Anbieter zertifiziert ist.
C.7 Verfahren zur Prüfung des Auftragsverarbeiters
Der Verantwortliche oder ein Vertreter des Verantwortlichen kann mit einer Frist von 30 Tagen eine jährliche Prüfung durchführen, vgl. Abschnitt 12. Der Auftragsverarbeiter kann alternativ einen unabhängigen Prüfbericht zur Verfügung stellen. Eine außerordentliche Prüfung kann bei begründetem Verdacht oder nach einer Sicherheitsverletzung durchgeführt werden.
C.8 Verfahren zur Prüfung der Unterauftragsverarbeiter
Der Auftragsverarbeiter führt eine laufende Überwachung der Unterauftragsverarbeiter durch und stellt sicher, dass diese die Datenschutz-Grundverordnung und diese Klauseln einhalten. Der Verantwortliche kann eine Dokumentation der Einhaltung durch die Unterauftragsverarbeiter anfordern.
Anhang D: Regelung sonstiger Angelegenheiten durch die Parteien
D.1 Integrationen von Drittanbietern
JustParity integriert externe Entgeltsysteme über API (unter anderem Zenegy, Planday, Xena). Die Aktivierung einer Integration stellt eine dokumentierte Weisung dar, vgl. Abschnitt 4.3. Der Verantwortliche ist dafür verantwortlich, eine Rechtsgrundlage für die Übermittlung aus dem Entgeltsystem an JustParity sicherzustellen.
Fragen zum Auftragsverarbeitungsvertrag?
Haben Sie Fragen oder wünschen Sie eine Kopie im PDF-Format? Kontaktieren Sie uns.