Verantwortlicher (Auftraggeber):
Das Unternehmen, das die Timera-Anwendung im Rahmen eines Vertrages mit Flowdas nutzt.
Auftragsverarbeiter:
Mawaldi, Abdulrahman und Mhjazi, Moaz und Saranek, Eyad GbR
Geschäftsbezeichnung: Flowdas
Nora-Platiel-Straße 10, 110, 34127 Kassel, Deutschland
E-Mail: support@flowdas.de
Der Auftraggeber setzt die Timera-Anwendung zur digitalen Arbeitszeiterfassung seiner Beschäftigten ein. Im Rahmen dieser Leistungserbringung verarbeitet Flowdas personenbezogene Daten von Beschäftigten des Auftraggebers. Der Auftraggeber ist datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Flowdas ist Auftragsverarbeiter im Sinne des Art. 28 DSGVO.
(1) Gegenstand: Bereitstellung und Betrieb der Timera-Anwendung zur digitalen Arbeitszeiterfassung als Software-as-a-Service.
(2) Art der Verarbeitung: Erhebung, Speicherung, Verarbeitung, Auswertung, Übermittlung (an Arbeitgeber-Administratoren), Löschung personenbezogener Daten.
(3) Zweck: Digitale Erfassung, Verwaltung und Auswertung von Arbeitszeiten der Beschäftigten des Auftraggebers; Erfüllung der gesetzlichen Arbeitszeiterfassungspflicht gemäß § 3 ArbZG und BAG-Beschluss vom 13.09.2022 (Az. 1 ABR 22/21).
(4) Dauer: Für die Laufzeit des Hauptvertrages über die Nutzung der Timera-Anwendung.
| Datenkategorie | Konkrete Daten |
|---|---|
| Stammdaten | Vor- und Nachname, E-Mail-Adresse, Mitarbeiter-ID, Rolle |
| Zugangsdaten | Passwort (ausschließlich als bcrypt-Hash), Session-Token (JWT) |
| Arbeitszeitdaten | Zeitstempel Kommen/Gehen, Pausenzeiten, Buchungsnotizen, Projektzuordnungen |
| Abwesenheitsdaten | Urlaubsanträge, Krankmeldungen (inkl. Attest-Upload), Korrekturen |
| Technische Zugriffsdaten | IP-Adresse (pseudonymisiert als SHA-256-Hash), Browsertyp, Betriebssystem, Zugriffszeit |
| Gerätedaten | Terminal-ID des NFC-Stempelgeräts, Verbindungsstatus |
| Digitale Sitzungsdaten | Start-/Endzeit aktiver Bildschirmsitzungen (nur wenn vom Auftraggeber aktiviert) |
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht verarbeitet. Es werden keine biometrischen Daten erhoben.
Die Verarbeitung betrifft ausschließlich Beschäftigte des Auftraggebers: Arbeitnehmer (Mitarbeiter) und Administratoren (bevollmächtigte Mitarbeiter des Auftraggebers).
(1) Flowdas verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers — es sei denn, eine rechtliche Verpflichtung schreibt eine abweichende Verarbeitung vor.
(2) Weisungen erteilt der Auftraggeber in der Regel durch die Konfiguration der Anwendung (Admin-Dashboard) sowie in Textform per E-Mail.
(3) Flowdas weist den Auftraggeber unverzüglich darauf hin, wenn eine erteilte Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt.
(1) Flowdas stellt sicher, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben.
(2) Der Zugriff auf personenbezogene Daten ist auf das für die Leistungserbringung unbedingt erforderliche Minimum beschränkt (Need-to-know-Prinzip).
(3) Die Vertraulichkeitsverpflichtung gilt über das Ende des Beschäftigungsverhältnisses hinaus.
| Maßnahme | Umsetzung |
|---|---|
| Transportverschlüsselung | TLS 1.2/1.3 mit HSTS; alle API-Endpunkte nur via HTTPS erreichbar |
| Verschlüsselung ruhender Daten | Passwörter als bcrypt-Hash (Kostenfaktor 10); IP-Adressen als SHA-256-Hash mit Salt |
| Zugangskontrolle | JWT-basierte Authentifizierung (8h Ablauf), HttpOnly/Secure/SameSite-Cookies |
| Benutzerberechtigungen | Rollenbasiert (Mitarbeiter/Administrator/SuperAdmin); Mitarbeiter sehen nur eigene Daten |
| Mandantentrennung | Jeder Auftraggeber erhält ein isoliertes PostgreSQL-Schema — keine Datenvermischung |
| Netzwerksicherheit | Datenbank isoliert vom öffentlichen Internet; Rate-Limiting |
| Maßnahme | Umsetzung |
|---|---|
| Audit-Trail | Alle Datenänderungen werden revisionssicher protokolliert (GoBD Rz. 64) |
| GoBD-Archivierung | Automatische monatliche PDF-Archivierung mit SHA-256-Integritätsprüfung |
| Buchungshistorie | PostgreSQL-Trigger sichert jede Änderung an Zeitbuchungen unveränderbar |
| Maßnahme | Umsetzung |
|---|---|
| Backups | Tägliche automatisierte Sicherung |
| Wiederherstellung | Getestete Wiederherstellungsverfahren |
| Monitoring | Automatisierte Health-Checks für Datenbank und API |
| Verfügbarkeitsziel | 99,9 % im Jahresmittel |
| Maßnahme | Umsetzung |
|---|---|
| Datenminimierung | Keine Erhebung biometrischer Daten; keine GPS-Daten; kein Analytics |
| Automatische Löschung | Login-Logs: 90 Tage; Audit-Logs: 3 Jahre (Scheduler-Jobs) |
| Anonymisierung | Automatische Anonymisierung bei Kontolöschung |
(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung für den Einsatz folgender Sub-Auftragsverarbeiter:
| Sub-Auftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland | Hosting (VPS) + Object Storage (GoBD-Archivierung) | Deutschland (EU) |
(2) Die Verarbeitung der Auftraggeberdaten erfolgt ausschließlich auf Servern in Deutschland (EU). Hetzner setzt gemäß eigenem AVV (v1.2, Stand 16.02.2026) Unterauftragsverarbeiter in den USA und Singapur ein, die nach Angaben von Hetzner keinen Zugriff auf Daten europäischer Kunden haben.
(3) Änderungen bei Sub-Auftragsverarbeitern: Flowdas informiert den Auftraggeber spätestens 14 Tage vor Inkrafttreten über die beabsichtigte Hinzufügung oder den Austausch von Sub-Auftragsverarbeitern. Der Auftraggeber hat das Recht, innerhalb dieser Frist begründeten Einspruch zu erheben. Bei berechtigtem Einspruch steht dem Auftraggeber ein außerordentliches Kündigungsrecht zu.
(4) Flowdas verpflichtet Sub-Auftragsverarbeiter vertraglich zu denselben Datenschutzpflichten wie in diesem AVV festgelegt (Art. 28 Abs. 4 DSGVO).
| Recht | Technische Unterstützung durch Timera |
|---|---|
| Auskunft (Art. 15 DSGVO) | DSGVO-Export-Funktion im Admin-Dashboard; direkter Self-Service-Datenabruf für Mitarbeiter |
| Berichtigung (Art. 16 DSGVO) | Datenkorrekturen über Admin-Dashboard |
| Löschung (Art. 17 DSGVO) | Kontolöschung/-anonymisierung über Admin; Self-Service-Löschantrag per E-Mail |
| Einschränkung (Art. 18 DSGVO) | Kontodeaktivierung über Admin |
| Datenübertragbarkeit (Art. 20 DSGVO) | Maschinenlesbarer JSON-Export der Arbeitszeitdaten |
Anfragen betroffener Personen, die direkt an Flowdas gerichtet werden, leitet Flowdas unverzüglich an den Auftraggeber weiter.
(1) Datenpannen-Meldung: Bei Feststellung einer Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) benachrichtigt Flowdas den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden. Die Benachrichtigung enthält: Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl betroffener Personen sowie ergriffene Abhilfemaßnahmen.
(2) Datenschutzfolgenabschätzung (DSFA): Flowdas unterstützt den Auftraggeber auf Anfrage bei der Durchführung einer DSFA gemäß Art. 35 DSGVO. Hinweis: Bei Aktivierung der Funktion „Digitale Zeiterfassung" (Homeoffice-Bildschirmzeit) empfiehlt Flowdas dem Auftraggeber ausdrücklich die Prüfung einer DSFA.
(1) Nach Beendigung des Hauptvertrages löscht Flowdas alle mandantenspezifischen personenbezogenen Daten des Auftraggebers innerhalb von 30 Kalendertagen, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
(2) Der Auftraggeber kann vor der Löschung einen vollständigen Datenexport (JSON-Format) über den Admin-Bereich anfordern.
(3) Daten, die gesetzlichen Aufbewahrungsfristen unterliegen (§ 257 HGB: bis 10 Jahre; § 16 Abs. 2 ArbZG: mind. 2 Jahre), werden nach Ablauf der jeweiligen gesetzlichen Frist gelöscht.
(4) Auf Anforderung stellt Flowdas eine schriftliche Löschbestätigung aus.
(1) Flowdas stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten zur Verfügung.
(2) Audits werden mit einer Vorlaufzeit von mindestens 4 Wochen angekündigt und finden höchstens einmal pro Kalenderjahr statt, sofern kein begründeter Verdacht auf einen Verstoß vorliegt.
(3) Die Kosten eines Audits trägt der Auftraggeber, sofern kein schwerwiegender Verstoß von Flowdas festgestellt wird.
(1) Für Schäden, die einem Betroffenen aufgrund einer Verarbeitung entstehen, die gegen die DSGVO verstößt, haftet primär der Auftraggeber als Verantwortlicher.
(2) Flowdas haftet gegenüber dem Auftraggeber für Schäden, die auf einem Verstoß gegen die Pflichten aus diesem AVV beruhen, nach den Haftungsregelungen in § 11 der AGB.
(3) Soweit der Auftraggeber für Schäden in Anspruch genommen wird, die Flowdas zu vertreten hat, ist Flowdas verpflichtet, den Auftraggeber freizustellen (Art. 82 Abs. 3 DSGVO).
Dieser AVV tritt mit Abschluss des Hauptvertrages in Kraft und endet automatisch mit dessen Beendigung. Die Pflichten aus Art. 10 (Löschung) bleiben nach Vertragsende bestehen.
Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Kassel.
Anlage A — Technische und organisatorische Maßnahmen (vollständig): Verweis auf Art. 6 dieses AVV — vollständige TOM-Dokumentation auf Anfrage erhältlich.
Anlage B — Sub-Auftragsverarbeiter (aktuell):
| Anbieter | Dienst | Standort | AVV-Nachweis |
|---|---|---|---|
| Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen | VPS-Hosting, Object Storage | Nürnberg, Deutschland (EU) | AVV v1.2, Stand 16.02.2026, Kundennr. K0390570026, unterzeichnet 24.05.2026 |
Durch die Bestätigung der AGB beim Vertragsschluss (Checkout-Checkbox) stimmt der Auftraggeber diesem AVV zu. Der AVV wird als Bestandteil des Vertrages dokumentiert.