Allgemeine Geschäftsbedingungen

Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für die Nutzung der cloudbasierten HR-SaaS-Plattform „Apo HR Tool“(nachfolgend „Plattform“) zwischen der Apo HR Tool GmbH (nachfolgend„Anbieter“) und dem Kunden, der die Plattform im Rahmen eines Nutzungsvertrags einsetzt (nachfolgend „Kunde“).

Die AGB gelten ausschließlich. Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden nur dann Vertragsbestandteil, wenn der Anbieter ihrer Geltung ausdrücklich zugestimmt hat. Dies gilt auch dann, wenn der Anbieter Leistungen in Kenntnis der AGB des Kunden vorbehaltlos erbringt.

Gegenstand dieser AGB ist die Bereitstellung der Apo HR Tool SaaS-Plattform, die dem Kunden folgende Funktionsbereiche als webbasierte Anwendung zur Verfügung stellt:

• HR-Management: Verwaltung von Mitarbeiterstammdaten, Personalakten, Verträgen und organisationsstrukturen in einer Multi-Tenant-Umgebung.
• Zeiterfassung: Digitale Arbeitszeiterfassung mit Kommen-/Gehen-Buchungen inklusive optionaler biometrischer Authentifizierung mittels Gesichtserkennung.
• Abwesenheitsmanagement:Verwaltung von Urlaubsanträgen, Krankmeldungen und Sonderurlaub inklusive Genehmigungsworkflows.
• Schichtplanung: Dienstplan- und Schichterstellung mit Berücksichtigung von Qualifikationen, Verfügbarkeiten und gesetzlichen Ruhezeiten.
• Biometrische Authentifizierung: Gesichtserkennung zur eindeutigen Identifikation von Mitarbeitern bei der Zeiterfassung auf Basis eines mathematischen Merkmalsvektors (Embedding). Es werden keine Rohbilder gespeichert.
• Berichte und Auswertungen: Erstellung von Arbeitszeitnachweisen, Abwesenheitsstatistiken und weiteren HR-relevanten Berichten im JSON- und CSV-Format.

Die Plattform wird als Software-as-a-Service (SaaS) über das Internet bereitgestellt. Der Kunde erhält keinen Zugriff auf den Quellcode, keine Installation vor Ort und kein Recht zur Vervielfältigung der Software. Der Anbieter stellt die Plattform nach Maßgabe dieser AGB und der jeweils gültigen Leistungsbeschreibung zur Verfügung.

Die Nutzung der Plattform setzt eine Registrierung des Kunden voraus. Im Rahmen der Registrierung wird ein Mandantenkonto (Tenant) angelegt, das die Grundlage für die Multi-Tenant-Architektur der Plattform bildet.

Benutzerrollen

Innerhalb eines Mandanten können folgende Benutzerrollen vergeben werden:

• Administrator: Verwaltung des Mandantenkontos, Einladung von Mitarbeitern, Konfiguration von Arbeitszeitmodellen und Schichtplänen sowie Einsicht in alle Daten des Mandanten.
• Manager: Genehmigung von Abwesenheitsanträgen, Einsicht in Berichte und Auswertungen der zugeordneten Mitarbeiter.
• Mitarbeiter: Buchung von Kommen/Gehen, Erstellung von Abwesenheitsanträgen und Einsicht in die eigenen Stamm- und Arbeitszeitdaten.

Registrierungsdaten

Der Kunde ist verpflichtet, bei der Registrierung vollständige und wahrheitsgemäße Angaben zu machen. Änderungen der Registrierungsdaten sind dem Anbieter unverzüglich mitzuteilen. Der Kunde ist für die Vertraulichkeit seiner Zugangsdaten (E-Mail-Adresse und Passwort) verantwortlich. Der Kunde haftet für alle Handlungen, die unter Verwendung seiner Zugangsdaten vorgenommen werden, es sei denn, der Kunde hat den Missbrauch seiner Zugangsdaten nicht zu vertreten.

Der Kunde verpflichtet sich zur Einhaltung der folgenden Pflichten:

• Datenrichtigkeit: Der Kunde ist verpflichtet, sämtliche in die Plattform eingepflegten Daten auf Richtigkeit, Vollständigkeit und Aktualität zu prüfen. Der Anbieter übernimmt keine Gewähr für die Richtigkeit der vom Kunden oder dessen Mitarbeitern eingegebenen Daten.
• Rechtmäßige Nutzung: Der Kunde nutzt die Plattform ausschließlich im Rahmen der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Arbeitszeitgesetzes (ArbZG). Der Kunde stellt sicher, dass die Verarbeitung personenbezogener Daten seiner Mitarbeiter auf der Plattform durch eine Rechtsgrundlage gedeckt ist.
• Vertraulichkeit der Zugangsdaten: Der Kunde hat seine Zugangsdaten geheim zu halten und vor unbefugtem Zugriff Dritter zu schützen. Der Kunde hat den Anbieter unverzüglich zu informieren, wenn der Verdacht besteht, dass Zugangsdaten Dritten bekannt geworden sind oder unbefugte Zugriffe auf das Konto stattgefunden haben.
• Keine missbräuchliche Nutzung: Der Kunde wird es unterlassen, Maßnahmen zu ergreifen, die die Funktionsfähigkeit der Plattform beeinträchtigen oder dazu geeignet sind, die Sicherheitsinfrastruktur der Plattform zu umgehen. Insbesondere ist die automatische Auslesung, das Scraping oder die systematische Extraktion von Daten ohne ausdrückliche Zustimmung des Anbieters untersagt.
• Mitarbeiterverantwortung: Der Kunde stellt sicher, dass seine Mitarbeiter über die Datenverarbeitung im Rahmen der Plattform gemäß Art. 13, 14 DSGVO informiert werden und erforderliche Einwilligungen, insbesondere zur Verarbeitung biometrischer Daten gemäß Art. 9 DSGVO, eingeholt werden.

Der Anbieter haftet unbeschränkt für Schäden, die durch Vorsatz oder grobe Fahrlässigkeit verursacht wurden, sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit.

Für einfache Fahrlässigkeit haftet der Anbieter nur, sofern Pflichten verletzt werden, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht, deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Kunde regelmäßig vertrauen darf (Kardinalpflichten). In diesem Fall ist die Haftung auf den typischen, vorhersehbaren Schaden begrenzt. Diese Haftungsbeschränkung gilt nicht bei arglistigem Verschweigen von Mängeln, bei Übernahme einer Garantie oder bei zwingenden gesetzlichen Haftungstatbeständen.

Keine Haftung für Datenverlust: Der Anbieter haftet nicht für den Verlust von Daten, es sei denn, dieser Verlust ist auf vorsätzliches oder grob fahrlässiges Verhalten des Anbieters zurückzuführen. Der Kunde ist verpflichtet, regelmäßig eigene Sicherungskopien seiner Daten zu erstellen. Der Anbieter empfiehlt den regelmäßigen Export relevanter Daten über die in der Plattform bereitgestellten Exportfunktionen.

Serviceunterbrechungen: Der Anbieter ist bestrebt, eine Verfügbarkeit der Plattform von mindestens 99,5 % im Jahresmittel sicherzustellen. Hiervon ausgenommen sind Zeiten, in denen die Plattform aufgrund von Wartungsarbeiten nicht erreichbar ist (angekündigte Wartungsfenster) sowie Störungen, die auf Umstände zurückzuführen sind, die der Anbieter nicht zu vertreten hat (höhere Gewalt, behördliche Anordnungen, Störungen bei Drittanbietern wie Supabase Inc. oder Vercel Inc.). Der Anbieter haftet nicht für mittelbare Schäden, Folge- oder Vermögensschäden, entgangenen Gewinn oder nicht realisierte Kosteneinsparungen, soweit diese nicht durch Vorsatz oder grobe Fahrlässigkeit verursacht wurden.

Der Schutz personenbezogener Daten hat für den Anbieter höchste Priorität. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten erfolgt ausschließlich im Rahmen der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

Für detaillierte Informationen zur Verarbeitung personenbezogener Daten, zu Betroffenenrechten, zu eingesetzten Dienstleistern sowie zur Speicherdauer wird auf die separate Datenschutzerklärung verwiesen, die integraler Bestandteil dieser AGB ist.

Technisch-organisatorische Maßnahmen

Der Anbieter hat folgende Sicherheitsmaßnahmen implementiert:

• Row-Level Security (RLS): Datenbankebene-Zugriffskontrolle, die sicherstellt, dass jeder Benutzer ausschließlich auf die Daten seines Mandanten zugreifen kann.
• Tenant-Isolation: Strikte Trennung der Daten zwischen verschiedenen Mandanten durch RLS-Policies und Anwendungslogik.
• Verschlüsselung: TLS 1.3 für die Datenübertragung (Transportverschlüsselung) und AES-256 für die Datenverschlüsselung im Ruhezustand.
• Audit-Logs: Manipulationssichere Protokollierung aller Zugriffe auf personenbezogene Daten.

Die Nutzung der Plattform ist abhängig vom gewählten Tarifmodell kostenpflichtig. Der Anbieter bietet folgende Tarifmodelle an:

• Starter: Geeignet für kleine Unternehmen und Start-ups mit bis zu 20 Mitarbeitern. Grundfunktionen wie HR-Management, Zeiterfassung und Abwesenheitsmanagement.
• Professional: Für mittelständische Unternehmen mit bis zu 200 Mitarbeitern. Erweiterte Funktionen inklusive Schichtplanung, Berichte und Auswertungen sowie biometrische Authentifizierung.
• Enterprise: Für Großunternehmen und Konzerne mit individueller Mitarbeiteranzahl. Alle Funktionen inklusive API-Zugriff, individueller Integrationen und bevorzugtem Support.

Die jeweils gültigen Preise und Leistungsbeschreibungen für die einzelnen Tarifmodelle sind auf der Website des Anbieters unter apohrtool.de/preise einsehbar. Sofern nicht anders vereinbart, erfolgt die Abrechnung monatlich oder jährlich (bei jährlicher Zahlung mit einem Preisvorteil) auf Basis der Anzahl aktiver Mitarbeiter zum Abrechnungszeitpunkt.

Die Zahlung erfolgt per SEPA-Lastschrift oder auf Rechnung. Alle Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer. Bei Zahlungsverzug ist der Anbieter berechtigt, die Zugänge zur Plattform bis zum vollständigen Zahlungseingang zu sperren.

Der Nutzungsvertrag wird auf unbestimmte Zeit geschlossen, sofern nicht ausdrücklich eine Mindestlaufzeit vereinbart wurde. Die Mindestlaufzeit beträgt zwölf Monate, sofern im Tarifmodell oder in der individuellen Vereinbarung nichts Abweichendes geregelt ist.

Die Kündigung des Vertrags kann durch beide Parteien mit einer Frist von drei Monaten zum Ende des Vertragsjahres erfolgen, sofern nichts Abweichendes vereinbart wurde. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

Eine außerordentliche Kündigung durch den Anbieter ist insbesondere dann möglich, wenn der Kunde gegen wesentliche Pflichten aus diesen AGB verstößt (z. B. Zahlungsverzug, rechtswidrige Nutzung der Plattform) und den Verstoß nach schriftlicher Abmahnung nicht binnen einer angemessenen Frist abstellt.

Datenexport nach Kündigung

Nach Vertragsbeendigung hat der Kunde für einen Zeitraum von 30 Tagen die Möglichkeit, seine in der Plattform gespeicherten Daten über die bereitgestellten Exportfunktionen (JSON, CSV) herunterzuladen. Nach Ablauf dieser Frist werden sämtliche Daten des Kunden unwiderruflich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Anbieter weist den Kunden ausdrücklich darauf hin, rechtzeitig vor Vertragsbeendigung einen vollständigen Datenexport durchzuführen.

Der Anbieter behält sich das Recht vor, diese AGB mit Wirkung für die Zukunft zu ändern, sofern dies aus rechtlichen oder technischen Gründen erforderlich ist oder die Änderungen für den Kunden zumutbar sind.

Über bevorstehende Änderungen wird der Kunde mindestens vier Wochen vor Inkrafttreten per E-Mail informiert. Der Kunde hat das Recht, den geänderten AGB innerhalb dieser Frist zu widersprechen. Widerspricht der Kunde nicht innerhalb der Frist oder setzt er die Nutzung der Plattform nach Inkrafttreten der Änderungen fort, gelten die geänderten AGB als vom Kunden angenommen.

Bei einem Widerspruch des Kunden gegen die geänderten AGB ist der Anbieter berechtigt, den Vertrag außerordentlich zum Zeitpunkt des Inkrafttretens der Änderungen zu kündigen.

Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) und des internationalen Privatrechts.

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist, soweit gesetzlich zulässig, Berlin. Der Anbieter ist berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu verklagen.

Sollte eine Bestimmung dieser AGB unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt eine wirksame und durchführbare Regelung, die dem wirtschaftlichen Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt. Gleiches gilt für den Fall einer Regelungslücke.

Der Kunde hat keine Aufrechnungs-, Zurückbehaltungs- oder Minderungsrechte, es sei denn, der Anbieter erkennt diese an oder sie sind rechtskräftig festgestellt.

Stand dieser AGB: Juni 2026