Vertrag zwischen {Kunde} (Verantwortlicher) und Unistack IT (Auftragsverarbeiter), Stand 10.06.2026.
1. Gegenstand
Bereitstellung der SaaS-Anwendung UniStack Office für die Zeit- und Abwesenheitserfassung der Beschäftigten des Verantwortlichen.
2. Art und Zweck der Verarbeitung
Speicherung und Verarbeitung der in der Anwendung erfassten Stamm-, Arbeitszeit- und Abwesenheitsdaten zum Zweck der Erfüllung der gesetzlichen Aufzeichnungspflichten des Verantwortlichen.
3. Art der personenbezogenen Daten
Siehe Datenschutzerklärung. Insbesondere: Name, dienstliche E-Mail, Rolle, Arbeitszeitdatensätze, Abwesenheitsanträge.
4. Kategorien betroffener Personen
Beschäftigte des Verantwortlichen.
5. Weisungsrecht
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
6. Technische und organisatorische Maßnahmen (TOM)
- Transportverschlüsselung (TLS 1.2+) für sämtliche Verbindungen
- Verschlüsselung sensitiver Felder at-rest (2FA-Secret, Recovery-Codes)
- Rollenbasierte Zugriffskontrolle (RBAC) inkl. Owner-Override
- Rate-Limiting auf Login, Passwortänderung und Agent-API
- Tägliche Off-site-Backups (verschlüsselt)
- Audit-Log für sicherheitsrelevante Aktionen
- Hosting in der EU
7. Sub-Auftragsverarbeiter
Liste in der Datenschutzerklärung. Änderungen werden mit einer Frist von 30 Tagen vorher mitgeteilt; ein Widerspruchsrecht besteht aus wichtigem Grund.
8. Ort der Verarbeitung
Ausschließlich innerhalb der EU/EWR.
9. Rechte der betroffenen Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit).
10. Meldung von Vorfällen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens 24 h nach Kenntnisnahme, über Datenschutzverletzungen.
11. Laufzeit und Beendigung
Der Vertrag läuft solange der Hauptvertrag besteht. Nach Beendigung werden die Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.