Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Rahmen der Lohnabrechnungs- und HR-Dienstleistungen gemäß dem zwischen den Parteien geschlossenen Vertrag über die Nutzung der pair.HR-Plattform (nachfolgend „Hauptvertrag“ bzw. „AGB“). Gegenstand der Dienstleistungen sind insbesondere Lohn- und Gehaltsabrechnung, Zeiterfassung, Abwesenheitsverwaltung, digitale Personalakte und Dokumentenverteilung.

pair.HR agiert dabei als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Der Kunde ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Pair.HR verarbeitet personenbezogene Daten der Beschäftigten des Kunden ausschließlich im Auftrag und nach Weisung des Kunden.

Mit diesem AVV soll die Einhaltung von Art. 28 Abs. 3 und 4 der Datenschutz-Grundverordnung (DSGVO) sichergestellt werden.

Abschluss des AVV: Dieser AVV wird mit Abschluss des Hauptvertrags auf der pair.HR-Plattform geschlossen. Die Zustimmung zu den AGB umfasst die Zustimmung zu diesem AVV. Der AVV kann alternativ separat unterzeichnet werden.

Klausel 1: Zweck und Anwendungsbereich

a) Mit diesem AVV (im Folgenden „Klauseln“) soll die Einhaltung von Art. 28 Abs. 3 und 4 DSGVO im Rahmen der Lohnabrechnungs- und HR-Dienstleistungen durch den Auftragsverarbeiter gemäß dem Hauptvertrag sichergestellt werden.

b) Die in Anhang I aufgeführten Parteien haben diesen Klauseln zugestimmt.

c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

d) Die Anhänge I bis IV sind Bestandteil der Klauseln.

e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der DSGVO unterliegt.

f) Soweit die Kernverarbeitung in der EU/im EWR erfolgt, sind keine zusätzlichen Garantien nach Kapitel V DSGVO erforderlich. Für den Einsatz von Unterauftragsverarbeitern mit Sitz in Drittländern gelten Klausel 7.8 und Anhang IV.

Klausel 2: Unabänderbarkeit der Klauseln

a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn zur Aktualisierung der Anhänge.

b) Die Parteien können weitere Klauseln oder zusätzliche Garantien hinzufügen, sofern diese den Klauseln nicht widersprechen.

Klausel 3: Auslegung

Begriffe der DSGVO haben in diesen Klauseln dieselbe Bedeutung. Die Klauseln sind im Lichte der DSGVO auszulegen und dürfen nicht in einer Weise ausgelegt werden, die den Rechten betroffener Personen zuwiderläuft.

Klausel 4: Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und dem Hauptvertrag (AGB) oder damit zusammenhängenden Vereinbarungen haben diese Klauseln Vorrang.

Klausel 5: Kopplungsklausel

Eine Einrichtung kann mit Zustimmung aller Parteien jederzeit beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

---

Klausel 6: Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge sind in Anhang II aufgeführt.

Klausel 7: Pflichten des Auftragsverarbeiters

7.1 Weisungen

a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der pair.HR-Plattform durch den Verantwortlichen und dessen Konfigurationsentscheidungen gelten als generelle Weisung. Darüber hinausgehende Weisungen bedürfen der Textform (E-Mail ausreichend). Weisungsbefugt ist die im Hauptvertrag benannte Kontaktperson des Verantwortlichen oder ein von ihr bevollmächtigter Vertreter.

b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass Weisungen gegen die DSGVO oder geltende Datenschutzbestimmungen verstoßen.

c) Bei widersprüchlichen Weisungen setzt der Auftragsverarbeiter die Verarbeitung bis zur Klärung aus und informiert den Verantwortlichen unverzüglich.

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die Daten nur für die in Anhang II genannten Zwecke.

7.3 Dauer der Verarbeitung

Die Daten werden nur für die in Anhang II angegebene Dauer verarbeitet.

7.4 Sicherheit der Verarbeitung

a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen. Bei der Beurteilung des Schutzniveaus berücksichtigen die Parteien den Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Risiken für betroffene Personen.

b) Der Auftragsverarbeiter gewährt Personal nur insoweit Zugang, als dies für die Durchführung des Vertrags erforderlich ist. Alle befugten Personen sind zur Vertraulichkeit verpflichtet.

7.5 Sensible Daten

Bei der Lohnabrechnung können Gesundheitsdaten (eAU, Schwerbehinderteneigenschaft, Mutterschutz) und Religionszugehörigkeit (Kirchensteuer) anfallen. In diesen Fällen wendet der Auftragsverarbeiter die in Anhang III Abschnitt 8 aufgeführten besonderen Maßnahmen an.

7.6 Dokumentation und Einhaltung

a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b) Der Auftragsverarbeiter bearbeitet Anfragen umgehend.

c) Der Auftragsverarbeiter stellt alle für den Compliance-Nachweis erforderlichen Informationen zur Verfügung. Er gestattet Prüfungen mit angemessener Vorankündigung (mindestens 14 Tage). Der Verantwortliche kann die Prüfung selbst oder durch einen unabhängigen, zur Verschwiegenheit verpflichteten Prüfer durchführen lassen.

d) Die Parteien stellen den Aufsichtsbehörden die Informationen auf Anfrage zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die in Anhang IV aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens vier (4) Wochen im Voraus in Textform (über die Plattform oder per E-Mail) über beabsichtigte Änderungen der Liste. Der Verantwortliche kann innerhalb von zwei (2) Wochen nach Zugang der Mitteilung Einwände erheben. Werden Einwände erhoben, bemühen sich die Parteien um eine einvernehmliche Lösung. Gelingt dies nicht innerhalb von 30 Tagen, steht dem Verantwortlichen ein Sonderkündigungsrecht bezogen auf die betroffene Leistung mit einer Frist von 30 Tagen zu.

b) Die Beauftragung erfolgt im Wege eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt.

c) Der Auftragsverarbeiter stellt auf Verlangen eine Kopie der Untervergabevereinbarung zur Verfügung (ggf. mit Schwärzung von Geschäftsgeheimnissen).

d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang für die Einhaltung der Pflichten durch den Unterauftragsverarbeiter.

e) Der Auftragsverarbeiter vereinbart eine Drittbegünstigtenklausel zugunsten des Verantwortlichen.

7.8 Internationale Datenübermittlungen

a) Eine Übermittlung in Drittländer erfolgt nur auf dokumentierte Weisung des Verantwortlichen und muss mit Kapitel V DSGVO im Einklang stehen.

b) Die Kernverarbeitung der Lohndaten erfolgt ausschließlich auf Servern in der EU (Google Cloud Frankfurt, AWS Frankfurt). Soweit KI-Unterauftragsverarbeiter mit Sitz in den USA eingesetzt werden (OpenAI, Anthropic), erfolgt die Datenverarbeitung über EU-Endpunkte bzw. EU-gehostete Infrastruktur (siehe Anhang IV). Die Absicherung erfolgt durch EU-Standardvertragsklauseln, das EU-US Data Privacy Framework und ergänzende technische Maßnahmen (Verschlüsselung, Pseudonymisierung, Zero Data Retention).

c) Der Auftragsverarbeiter hat für Drittlandtransfers ein Transfer Impact Assessment (TIA) durchgeführt und dokumentiert. Dieses wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

7.9 KI-spezifische Pflichten

a) Der Auftragsverarbeiter setzt KI-Dienste ausschließlich für administrative Unterstützungstätigkeiten ein (Übersetzung von Kommunikation, Plausibilitätsprüfungen, Dokumentenerkennung/OCR, Datenextraktion). Die KI trifft keine eigenständigen Entscheidungen über Beschäftigungsverhältnisse. Eine Nutzung von Kundendaten zum Training von KI-Modellen durch den Auftragsverarbeiter oder seine Unterauftragsverarbeiter ist ausdrücklich untersagt und vertraglich mit allen KI-Unterauftragsverarbeitern ausgeschlossen.

b) Alle KI-generierten Ergebnisse in der Lohnabrechnung werden einer menschlichen Überprüfung unterzogen (Human-in-the-Loop). Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.

c) Der Auftragsverarbeiter nutzt ausschließlich KI-Dienste mit vertraglich zugesicherter Data Isolation (kein Datenaustausch zwischen verschiedenen Kunden/Mandanten).

d) Bei Wechsel eines KI-Anbieters oder wesentlicher Änderung der KI-Anbieter-Policies informiert der Auftragsverarbeiter den Verantwortlichen gemäß dem Verfahren nach Klausel 7.7 lit. a.

e) Der Auftragsverarbeiter bewertet den KI-Einsatz laufend im Hinblick auf die Verordnung (EU) 2024/1689 (KI-Verordnung). Nach derzeitiger Einschätzung handelt es sich nicht um Hochrisiko-KI-Systeme im Sinne von Art. 6 Abs. 2 i. V. m. Anhang III Nr. 4 der KI-Verordnung, da die KI ausschließlich für administrative Unterstützungstätigkeiten eingesetzt wird (Übersetzung, Plausibilitätsprüfungen, OCR, Datenextraktion) und keine Entscheidungen über Beschäftigungsverhältnisse trifft (keine Einstellung, Beförderung, Kündigung, Aufgabenzuweisung oder Leistungsbewertung). Sollte sich die Einstufung aufgrund geänderter Funktionalitäten oder Rechtsauffassungen ändern, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich und unterstützt ihn bei der Erfüllung der daraus resultierenden Pflichten.

7.10 Behördliche Anfragen und Auskunftsersuchen

a) Erhält der Auftragsverarbeiter ein Auskunftsersuchen einer Behörde (Aufsichtsbehörde, Strafverfolgungsbehörde, Steuerbehörde oder sonstige staatliche Stelle), das sich auf Daten des Verantwortlichen bezieht, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich vor Herausgabe der Daten, sofern dies rechtlich zulässig ist.

b) Der Auftragsverarbeiter beschränkt die Herausgabe auf das rechtlich erforderliche Minimum und prüft die Rechtmäßigkeit des Ersuchens.

c) Sofern ein US-behördliches Ersuchen auf Grundlage des US CLOUD Act oder vergleichbarer Rechtsgrundlagen erfolgt, wird der Auftragsverarbeiter alle zumutbaren Rechtsmittel ausschöpfen, bevor Daten herausgegeben werden, und den Verantwortlichen informieren.

Klausel 8: Unterstützung des Verantwortlichen

a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über Anträge betroffener Personen und beantwortet sie nicht selbst, sofern nicht dazu ermächtigt.

b) Der Auftragsverarbeiter unterstützt bei der Erfüllung der Betroffenenrechte, insbesondere: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20 DSGVO).

c) Der Auftragsverarbeiter unterstützt bei: Datenschutz-Folgenabschätzungen (Art. 35 DSGVO), Konsultation der Aufsichtsbehörden (Art. 36), Gewährleistung der Datenrichtigkeit und Sicherheit der Verarbeitung (Art. 32 DSGVO).

8.2 Kostentragung für Unterstützungsleistungen

Die Unterstützung bei der Beantwortung einzelner Betroffenenanfragen und bei der Meldung von Datenschutzverletzungen ist im Rahmen des Hauptvertrags unentgeltlich. Für darüber hinausgehende Unterstützungsleistungen (insbesondere umfangreiche Datenschutz-Folgenabschätzungen, Audit-Unterstützung, umfangreiche Datenexporte) kann der Auftragsverarbeiter eine angemessene Vergütung auf Basis des tatsächlichen Aufwands verlangen. Der Auftragsverarbeiter informiert den Verantwortlichen vorab über voraussichtliche Kosten.

Klausel 9: Meldung von Datenschutzverletzungen

9.1 Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung durch eine für die Datensicherheit zuständige Person des Auftragsverarbeiters. Die Meldung erfolgt an die vom Verantwortlichen benannte Kontaktperson sowie parallel an security@pair.group.

9.2 Die Meldung umfasst mindestens: (a) Beschreibung der Art der Verletzung (Kategorien und ungefähre Anzahl betroffener Personen und Datensätze), (b) Kontaktdaten der Anlaufstelle, (c) voraussichtliche Folgen, (d) ergriffene und vorgeschlagene Maßnahmen. Nicht sofort verfügbare Informationen werden ohne unangemessene Verzögerung nachgereicht.

9.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung an die Aufsichtsbehörde (Art. 33 DSGVO), der Benachrichtigung betroffener Personen (Art. 34 DSGVO) und der Dokumentation des Vorfalls (Art. 33 Abs. 5 DSGVO).

---

Klausel 10: Verstöße und Beendigung

a) Bei Nichteinhaltung kann der Verantwortliche die Verarbeitung aussetzen.

b) Kündigung durch den Verantwortlichen, wenn: (1) Einhaltung nicht innerhalb eines Monats wiederhergestellt, (2) erheblicher oder fortdauernder Verstoß, (3) Nichtbefolgung einer bindenden behördlichen/gerichtlichen Entscheidung.

c) Kündigung durch den Auftragsverarbeiter, wenn der Verantwortliche auf rechtswidrigen Weisungen besteht (Klausel 7.1 lit. b).

d) Nach Beendigung löscht der Auftragsverarbeiter alle Daten oder gibt sie zurück. Gemäß dem Hauptvertrag stellt pair.HR dem Kunden nach Vertragsende alle Daten für 30 Tage über die Plattform automatisch zum Export bereit. Nach Ablauf der 30 Tage erfolgt die vollständige Löschung. Der Auftragsverarbeiter bestätigt die Löschung schriftlich (E-Mail ausreichend).

Klausel 11: Haftung

a) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet gegenüber betroffenen Personen gemäß Art. 82 Abs. 2 DSGVO nur für Schäden, die durch eine nicht den Pflichten der DSGVO entsprechende oder gegen die Weisungen des Verantwortlichen verstoßende Verarbeitung verursacht wurden.

b) Die Haftungsbeschränkungen des Hauptvertrags (AGB) gelten auch für diesen AVV, soweit sie nicht im Widerspruch zu zwingenden gesetzlichen Regelungen stehen. Die Haftung gegenüber betroffenen Personen nach Art. 82 DSGVO bleibt unberührt.

c) Im Innenverhältnis trägt jede Partei den Anteil der Entschädigung, der ihrem Anteil an der Verantwortung für die Verarbeitung entspricht (Art. 82 Abs. 5 DSGVO). Hat eine Partei den gesamten Schadenersatz gezahlt, kann sie gegen die andere Partei im entsprechenden Umfang Rückgriff nehmen.

Klausel 12: Anwendbares Recht und Gerichtsstand

a) Für diesen AVV gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

b) Ausschließlicher Gerichtsstand für Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Hamburg, soweit gesetzlich zulässig.

Klausel 13: Änderungen und Versionierung

a) Änderungen dieses AVV bedürfen der Textform. Die aktuelle Version des AVV ist auf der pair.HR-Website veröffentlicht.

b) Änderungen an den Anhängen (insbesondere Anhang IV, Unterauftragsverarbeiter) werden gemäß Klausel 7.7 mitgeteilt. Änderungen an den Klauseln 1–13 werden dem Verantwortlichen 30 Tage vor Inkrafttreten mitgeteilt.

---

ANHANG I – VERTRAGSPARTEIEN

Verantwortlicher:

Der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO wird durch den bei der Registrierung auf der pair.HR-Plattform erstellten Account identifiziert. Die zum Zeitpunkt der Registrierung hinterlegten sowie im weiteren Nutzungsverlauf ergänzten Unternehmensdaten (insbesondere Firmenname, Anschrift, Kontaktperson, E-Mail-Adresse) gelten als Angaben des Verantwortlichen im Sinne dieses AVV.

Der Verantwortliche ist verpflichtet, seine Unternehmensdaten in der Plattform vollständig und aktuell zu halten. Unvollständige Angaben zum Zeitpunkt der Registrierung berühren nicht die Wirksamkeit dieses AVV, können jedoch die Leistungserbringung einschränken. Insbesondere setzt die Nutzung der Lohnabrechnungsdienste die vollständige Hinterlegung der Unternehmensdaten voraus (Firmenname, Anschrift, Betriebsnummer, Ansprechpartner mit E-Mail und Telefon).

Abschluss und Nachweis: Dieser AVV wird durch Akzeptanz der AGB bei Registrierung auf der pair.HR-Plattform geschlossen. Der Zeitpunkt der Zustimmung, die akzeptierte Dokumentenversion und die bei Registrierung verwendete E-Mail-Adresse werden protokolliert.

Auftragsverarbeiter:

pair.HR GmbH Rödingsmarkt 14 Mediadeck, 20459 Hamburg Handelsregister: Amtsgericht Hamburg, HRB 196747 Geschäftsführung: Konstantin Loebner, Mehdi Afridi Kontakt Datenschutz: datenschutz@pair.group Kontakt Sicherheitsvorfälle: security@pair.group

---

1. Gegenstand und Dauer

Gegenstand: Verarbeitung personenbezogener Daten der Beschäftigten des Verantwortlichen im Rahmen der Lohnabrechnungs- und HR-Dienstleistungen über die pair.HR-Plattform.

Dauer: Laufzeit des Hauptvertrags zuzüglich 30 Tage Bereitstellungsfrist nach Vertragsende.

2. Art und Zweck der Verarbeitung

Art: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung (an Sozialversicherungsträger, Finanzämter, Krankenkassen, Berufsgenossenschaften, Minijob-Zentrale, Unterauftragsverarbeiter Paychex), Abgleich, Einschränkung, Löschen, Vernichten.

Zwecke: Erstellung von Lohn- und Gehaltsabrechnungen; SV-Meldungen; Sofortmeldungen (§ 28a Abs. 4 SGB IV); eAU-Abruf; Beitragsabrechnungen und -nachweise; Lohnsteueranmeldungen; Zeiterfassung und Abwesenheitsverwaltung; digitale Personalaktenführung; Erstellung und Verteilung von Lohndokumenten (PDF); Erstattungsanträge U1/U2; KI-gestützte Unterstützung der vorgenannten Prozesse.

3. Kategorien betroffener Personen

Arbeitnehmer des Verantwortlichen (Vollzeit, Teilzeit), geringfügig Beschäftigte (Minijobber), kurzfristig Beschäftigte, Werkstudenten, Praktikanten, Auszubildende, Geschäftsführer (soweit auf Lohnabrechnung geführt), freie Mitarbeiter (soweit über Plattform verwaltet).

4. Kategorien personenbezogener Daten

a) Stammdaten: Name, Vorname, Geburtsdatum, Geburtsort, Geburtsname, Geschlecht, Staatsangehörigkeit, Anschrift, Kontaktdaten (Telefon, E-Mail), Familienstand, Anzahl Kinder.

b) Beschäftigungsdaten: Personalnummer, Eintrittsdatum, Austrittsdatum, Berufsbezeichnung, Abteilung, Arbeitsvertragsdaten, Befristungsangaben, Arbeitszeitmodell, Urlaubsanspruch, Probezeit.

c) Vergütungsdaten: Gehaltshöhe (Brutto), Zulagen, Sonderzahlungen, vermögenswirksame Leistungen (VWL-Vertragsnummer, Anbieter, Betrag), betriebliche Altersvorsorge (Versorger, Vertragsnummer, Beitragshöhe, Durchführungsweg), Sachbezüge, Dienstwagen (Bruttolistenpreis, 1%-Regelung/Fahrtenbuch), Firmenticket.

d) Steuerliche Daten: Steuer-Identifikationsnummer, Steuerklasse, Kinderfreibeträge, Kirchensteuermerkmal, ELStAM-Daten.

e) Sozialversicherungsdaten: Sozialversicherungsnummer, Krankenkasse, Beitragsgruppenschlüssel, Umlagepflichten (U1/U2), Betriebsnummer des Arbeitgebers, Umlagesätze, Berufsgenossenschaft, Gefahrtarifstelle.

f) Bankverbindung: IBAN, BIC, Name des Kreditinstituts.

g) Zeitwirtschaftsdaten: Arbeitszeiten, Überstunden, Urlaubstage, Krankheitstage, sonstige Fehlzeiten, Elternzeit, Mutterschutz.

h) Pfändungsdaten (soweit relevant): Pfändungs- und Überweisungsbeschlüsse, Pfändungsgrenzen, Drittschuldnererklärungen.

i) Kurzarbeitergeld-Daten (soweit relevant): KUG-Anträge, Abrechnungslisten, Ist-/Soll-Arbeitszeiten.

j) Besondere Kategorien (Art. 9 DSGVO): Gesundheitsdaten (nur soweit für Lohnabrechnung erforderlich: eAU-Daten, Schwerbehinderteneigenschaft, Mutterschutz, Wiedereingliederung, Erstattungsanträge U1). Religionszugehörigkeit (ausschließlich für Kirchensteuerzwecke).

5. Ort der Verarbeitung

Kernverarbeitung auf Servern in der EU (Google Cloud Frankfurt, AWS Frankfurt). KI-Dienste über EU-Endpunkte. Detaillierte Auflistung je Unterauftragsverarbeiter in Anhang IV.

---

Gemäß Art. 32 DSGVO trifft der Auftragsverarbeiter folgende Maßnahmen:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Cloud-Infrastruktur: Google Cloud Frankfurt (ISO 27001, SOC 2 Type II zertifiziert) mit physischer Zutrittskontrolle (biometrisch, Chipkarte, Videoüberwachung, 24/7 Sicherheitspersonal). pair.HR-Büroräume: Zugangskontrolle (Schlüssel/Chipkarte), Clean-Desk-Policy, verschließbare Schränke, Bildschirmsperre bei Abwesenheit. Mitarbeiter: Verpflichtung auf Vertraulichkeit, regelmäßige Datenschutz-Schulungen.

1.2 Zugangskontrolle

Individuelle Benutzerkonten mit starken Passwortrichtlinien (min. 12 Zeichen, Komplexitätsanforderungen). Zwei-Faktor-Authentifizierung (2FA) obligatorisch für Plattformzugang (TOTP oder FIDO2). Single Sign-On (SSO) via Google/Microsoft mit OAuth 2.0 / OpenID Connect. Automatische Sperrung nach 5 fehlgeschlagenen Anmeldeversuchen. Sitzungs-Timeout nach 30 Minuten Inaktivität. Protokollierung aller Systemzugriffe (Aufbewahrung: 90 Tage).

1.3 Zugriffskontrolle

Logische Mandantentrennung auf Datenbankebene (Row-Level-Security mit mandantenspezifischen Tenant-IDs; jede Datenbankabfrage wird automatisch auf den jeweiligen Mandanten gefiltert). Rollenbasiertes Zugriffskonzept (RBAC) auf Modulebene (z. B. Lohnabrechnung, Zeiterfassung, Personalakte separat berechtigbar). Vier-Augen-Prinzip bei sensiblen Vorgängen (Lohndatenänderungen, Abrechnungsfreigabe). Zugriff auf Lohndaten nur für autorisierte Mitarbeiter. Regelmäßige Überprüfung der Berechtigungen (quartalsweise), Entzug bei Ausscheiden.

1.4 Trennungskontrolle

Strikte Zweckbindung: Daten werden nur für die vertraglich vereinbarten Zwecke verarbeitet. Produktivsystem strikt getrennt von Test-/Entwicklungsumgebung. Keine Verwendung von Echtdaten in Testumgebungen; generierte synthetische Testdaten.

1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

Interne technische IDs (UUIDs) statt Klarnamen für Datenbankabfragen. Synthetische Testdaten für Entwicklung. KI-Verarbeitung: Soweit möglich Pseudonymisierung vor Übermittlung an KI-Dienste (Entfernung von Klarnamen und SV-Nummern; Ersetzung durch interne IDs).

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

TLS 1.2+ (bevorzugt TLS 1.3) für alle Verbindungen. HTTPS für sämtlichen Web-Zugriff. Verschlüsselte Datenübertragung an Sozialversicherungsträger und Finanzbehörden über zertifizierte Schnittstellen (dakota.AG). API-Kommunikation mit KI-Diensten über HTTPS mit API-Key-Authentifizierung über verschlüsselte Kanäle. Protokollierung aller Datenexporte. Datenbankverschlüsselung: AES-256 at rest und in transit.

2.2 Eingabekontrolle

Vollständiges Audit-Trail (Append-only) für alle Änderungen an Lohndaten (Wer, Was, Wann). Versionierung von Abrechnungen. Unveränderliche Protokolle, regelmäßige Kontrolle durch Qualitätssicherung.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Tägliche automatische Backups mit geografisch getrennter Speicherung (separates Google Cloud-Rechenzentrum in der EU). Backups verschlüsselt (AES-256). Aufbewahrung: 30 Tage. Vierteljährliche Test-Wiederherstellungen (dokumentiert). Redundante Server-Infrastruktur mit Load Balancing. Ziel-Verfügbarkeit: 99,5 % (gemäß AGB § 4.3). USV und Notstromaggregate in Rechenzentren (Google Cloud SLA). Disaster-Recovery: RTO 24 Stunden, RPO 24 Stunden. Automatisches Monitoring (24/7) mit Alarmmeldungen an On-Call-Team. Eskalation: Reaktion innerhalb 2 Stunden während Servicezeiten.

4. Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Jährliches internes Datenschutz-Audit. Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DSGVO. Jährliche Pflichtschulung Datenschutz für alle Mitarbeiter. Regelmäßige Security-Patches (kritische Patches innerhalb 48h). Jährliche Penetrationstests durch externen Dienstleister (Ergebnisse auf Anfrage verfügbar).

5. Auftragskontrolle

Verarbeitung ausschließlich gemäß Hauptvertrag und AVV. Keine Eigennutzung der Daten. Schriftliche Verträge (DPAs) mit allen Unterauftragsverarbeitern. Prüfung der DSGVO-Konformität vor Einsatz neuer Dienste.

6. Vorfallsmanagement (Data Breach)

Dokumentierter Incident Response Plan. Meldung an Verantwortlichen: unverzüglich, max. 24h nach Kenntniserlangung. Kontakt: security@pair.group. Interne Eskalation und Dokumentation. Automatisches Monitoring kritischer Systeme.

7. Privacy by Design und Privacy by Default (Art. 25 DSGVO)

Datensparsamkeit: Nur erforderliche Daten werden erhoben. Minimale Datenverarbeitung als Voreinstellung. Automatische Löschung nach Vertragsende (30 Tage Export-Frist). Plattform-Features mit erhöhter Datenverarbeitung nur nach aktiver Aktivierung durch den Kunden.

8. Besondere Maßnahmen bei sensiblen Daten (Art. 9 DSGVO)

Erweiterte Zugriffsbeschränkungen: Nur autorisierte Lohnsachbearbeiter. Vier-Augen-Prinzip bei Gesundheitsdaten. Gesonderte Schulung. Besondere Protokollierung des Zugriffs auf sensible Datenfelder. Verschlüsselung sensibler Datenfelder (AES-256). Sensible Daten werden bei KI-Verarbeitung soweit möglich nicht an externe KI-Dienste übermittelt, sondern intern verarbeitet.

9. KI-spezifische technische Maßnahmen

Ausschließliche Nutzung von API-Zugängen mit Zero Data Retention (OpenAI EU-Endpoint) bzw. projektbezogener Isolation (Vertex AI, AWS Bedrock). Private Endpoints / VPC Peering für KI-API-Kommunikation, soweit verfügbar. Pseudonymisierung vor KI-Übermittlung (automatisierter Prozess: Klarnamen, SV-Nummern, Steuer-IDs werden durch interne IDs ersetzt, Re-Identifizierung nur in pair.HR-Datenbank). Monitoring der KI-API-Aufrufe und -Antworten. Kein Caching von KI-Ausgaben über die Verarbeitungssitzung hinaus.

10. Nachweis der Wirksamkeit

Dokumentation der TOMs (dieses Dokument). Protokollierung (Logs, Audit-Trails). Jährliche interne Audits. Jährliche externe Penetrationstests. Die TOMs werden bei Bedarf angepasst; der Verantwortliche wird über wesentliche Änderungen informiert.

---

Der Auftragsverarbeiter ist gemäß Klausel 7.7 berechtigt, Unterauftragsverarbeiter einzusetzen. Stand: März 2026.

1. Hosting / Server-Infrastruktur

Feld

Details

Unterauftrags­versarbeiter

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, D04 E5W5, Irland

Leistung

Cloud-Hosting (Google Cloud Platform)

Standort

Frankfurt am Main, Deutschland (europe-west3)

Zweck

Bereitstellung der technischen Infrastruktur für die pair.HR-Plattform

Datenkategorien

Alle in Anhang II genannten personenbezogenen Daten

Vertrag

Google Cloud Data Processing Addendum (CDPA)

Drittlandtransfer

Nein – Verarbeitung ausschließlich in der EU

2. Lohnabrechnungserstellung

Feld

Details

Unterauftrags­versarbeiter

Paychex Europe Germany GmbH (vormals Paychex Deutschland GmbH), Troplowitzstr. 5, 22529 Hamburg, HRB 90249 AG Hamburg, USt-ID: DE 813965723

Leistung

Technische Erstellung der Lohn- und Gehaltsabrechnungen, Meldewesen

Standort

Hamburg, Deutschland; Hosting: Amazon Web Services (AWS) in Deutschland

Zweck

Durchführung der Entgeltabrechnung und gesetzlicher Meldungen im Auftrag und nach Weisung von pair.HR

Datenkategorien

Alle lohnabrechnungsrelevanten Daten gemäß Anhang II Nr. 4 a)–j)

Vertrag

AVV gemäß Art. 28 DSGVO

Drittlandtransfer

Nein – Verarbeitung ausschließlich in Deutschland

Besonderheit

ITSG-zertifizierte Cloud-Lösung; 100%ige Tochter der Paychex Inc. (USA), aber Datenverarbeitung ausschließlich in DE

2a. Hosting-Infrastruktur für Paychex

Feld

Details

Unterauftrags­versarbeiter

Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg

Leistung

Cloud-Hosting-Infrastruktur für Paychex-Lohnabrechnungssystem

Standort

Frankfurt am Main, Deutschland (eu-central-1)

Zweck

Bereitstellung der Server-Infrastruktur, auf der Paychex die Lohnabrechnung betreibt

Datenkategorien

Alle lohnabrechnungsrelevanten Daten (verschlüsselt)

Vertrag

AWS GDPR DPA

Drittlandtransfer

Nein – Verarbeitung in Deutschland

3. KI-Dienst: OpenAI

Feld

Details

Unterauftrags­versarbeiter

OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA

Leistung

KI-gestützte Textverarbeitung und Datenextraktion für HR-Prozesse

Standort

EU (Verarbeitung über EU-Endpunkt eu.api.openai.com)

Zweck

Unterstützung bei Dokumentenverarbeitung, Datenextraktion, Plausibilitätsprüfungen

Datenkategorien

Pseudonymisierte Auszüge: Dokumenteninhalte (ohne Klarnamen/SV-Nr. soweit technisch möglich), Beschäftigungsdaten, Vergütungsdaten. Keine Übermittlung von Gesundheitsdaten.

Vertrag

Data Processing Addendum (DPA)

Drittlandtransfer

API-Verarbeitung in EU mit Zero Data Retention. Absicherung: EU-US DPF + EU-SCCs + TIA

Besonderheit

Kein Training mit Kundendaten (vertraglich zugesichert). Data Isolation gewährleistet.

4. KI-Dienst: Google Gemini (Vertex AI)

Feld

Details

Unterauftrags­versarbeiter

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Leistung

KI-gestützte Analyse und Verarbeitung für HR-Prozesse

Standort

Frankfurt am Main (Vertex AI europe-west3)

Zweck

Unterstützung bei automatisierter Verarbeitung von HR-Daten

Datenkategorien

Pseudonymisierte Auszüge: Dokumenteninhalte, Beschäftigungsdaten, Vergütungsdaten. Keine Übermittlung von Gesundheitsdaten.

Vertrag

Google Cloud CDPA

Drittlandtransfer

Nein – Verarbeitung in EU. Kein Training (kostenpflichtiger Tier).

5. KI-Dienst: Anthropic Claude

Feld

Details

Unterauftrags­versarbeiter

Anthropic, PBC, 548 Market St., PMB 90375, San Francisco, CA 94104, USA

Leistung

KI-gestützte Textverarbeitung für HR-Prozesse

Standort

EU (AWS Bedrock Frankfurt eu-central-1 / Vertex AI Frankfurt europe-west3)

Zweck

Unterstützung bei Dokumentenverarbeitung und HR-Datenanalyse

Datenkategorien

Pseudonymisierte Auszüge: Dokumenteninhalte, Beschäftigungsdaten. Keine Übermittlung von Gesundheitsdaten.

Vertrag

DPA / AWS Bedrock CDPA / Google Vertex AI CDPA

Drittlandtransfer

Verarbeitung in EU über EU-Infrastruktur. Absicherung: EU-SCCs + TIA

Besonderheit

Kein Training mit Kundendaten. EU-Processing via Bedrock/Vertex.

6. Dokumentenverarbeitung: Google Document AI

Feld

Details

Unterauftrags­versarbeiter

Google Ireland Limited

Leistung

Automatisierte Dokumentenerkennung und -extraktion (OCR)

Standort

Frankfurt am Main (europe-west3)

Zweck

Verarbeitung hochgeladener HR-Dokumente (Verträge, Bescheinigungen, eAU)

Datenkategorien

Dokumenteninhalte (Name, Adresse, Vertragsdaten, soweit auf Dokumenten enthalten)

Vertrag

Google Cloud CDPA

Drittlandtransfer

Nein – Verarbeitung in EU

7. E-Mail-Kommunikation

Feld

Details

Unterauftrags­versarbeiter

Google Ireland Limited

Leistung

E-Mail-Infrastruktur (Google Workspace)

Standort

EU (Datenspeicherung in EU-Rechenzentren, EU-Datenresidenz konfiguriert)

Zweck

Kommunikation mit dem Verantwortlichen, ggf. Versand von Lohndokumenten per E-Mail

Datenkategorien

E-Mail-Adressen, Kommunikationsinhalte, ggf. Lohndokumente als Anhang

Vertrag

Google Workspace CDPA

Drittlandtransfer

EU-Datenresidenz konfiguriert

8. Zahlungsabwicklung

Feld

Details

Unterauftrags­versarbeiter

Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Leistung

Zahlungsabwicklung (SEPA-Lastschrift, Kreditkarte)

Standort

EU (Irland)

Zweck

Einzug der monatlichen Vergütung vom Verantwortlichen

Datenkategorien

Name des Verantwortlichen, Bankverbindung (IBAN), Rechnungsbeträge

Vertrag

Stripe DPA

Drittlandtransfer

Übermittlung in USA möglich; EU-US DPF

Besonderheit

Verarbeitet nur Zahlungsdaten des Verantwortlichen, nicht die Daten der Arbeitnehmer

9. Plattform-Analyse

Feld

Details

Unterauftrags­versarbeiter

PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA

Leistung

Produktanalyse und Feature-Tracking innerhalb der pair.HR-Plattform

Standort

EU (Google Cloud Frankfurt, Self-Hosted/EU-Cloud)

Zweck

Analyse der Plattformnutzung zur Produktverbesserung

Datenkategorien

Pseudonymisierte Nutzungsdaten: Benutzer-ID (anonymisiert), aufgerufene Funktionen, Zeitstempel, Geräteinformationen. Keine Lohn- oder HR-Inhaltsdaten.

Vertrag

DPA gemäß Art. 28 DSGVO

Drittlandtransfer

Nein – EU-Cloud-Hosting. PostHog Inc. als US-Anbieter: EU-SCCs als Absicherung.

10. Cookie-Consent-Management

Feld

Details

Unterauftrags­versarbeiter

CookieYes Limited, 3 Warren Yard, Warren Park, Wolverton Mill, Milton Keynes, MK12 5NW, UK

Leistung

Cookie-Einwilligungsverwaltung

Standort

Vereinigtes Königreich

Zweck

Dokumentation der Cookie-Einwilligungen von Website-Besuchern

Datenkategorien

Consent-Informationen (Einwilligungsstatus, Zeitstempel, IP-Adresse anonymisiert)

Vertrag

CookieYes DPA

Drittlandtransfer

UK: Angemessenheitsbeschluss (gültig bis 27.12.2027)

Aktualisierung: Die aktuelle Liste der Unterauftragsverarbeiter ist auf der pair.HR-Website unter [URL einfügen] veröffentlicht. Änderungen werden gemäß Klausel 7.7 mit einer Frist von vier Wochen angekündigt.

Seite | pair.HR GmbH | datenschutz@pair.group