Allgemeine Geschäftsbedingungen für HEXLE LZE (Zeiterfassung/-management) - HEXLE Development & IT Solutions e.U.

Hinweis

Diese AGB für HEXLE LZE ergänzen die Allgemeinen Geschäftsbedingungen (Rahmen-AGB) der HEXLE Development & IT Solutions und gelten ausschließlich für die Nutzung der Software HEXLE LZE (im Folgenden „HEXLE LZE” oder „Software”). Im Falle von Widersprüchen gehen die Regelungen dieser produktspezifischen AGB den Regelungen der Rahmen-AGB vor.

---

1. Leistungsumfang von HEXLE LZE

HEXLE LZE ist eine cloudbasierte Softwarelösung zur digitalen Zeiterfassung und zum Zeitmanagement. Der genaue Leistungsumfang, die verfügbaren Funktionen, Speicherkapazitäten und die Möglichkeiten der Nutzerverwaltung richten sich nach dem vom Kunden gewählten Tarif und den in der jeweiligen Leistungsbeschreibung oder dem individuellen Angebot festgelegten Spezifikationen.

• Funktionen: HEXLE LZE ermöglicht insbesondere die Erfassung von Arbeitszeiten (Kommt/Geht-Zeiten, Pausen), die Zuordnung zu Projekten oder Tätigkeiten, die Verwaltung von Abwesenheiten (Urlaub, Krankheit) sowie die Generierung von Auswertungen und Berichten. Detaillierte Funktionsbeschreibungen sind auf der HEXLE Website (https://lze.hexle.at) oder in der Produktdokumentation zu finden.
• Speicherkapazitäten: Die zur Verfügung gestellte Speicherkapazität für erfasste Zeiten, Nutzerdaten und Dokumente richtet sich nach dem gebuchten Tarif. Bei Überschreitung der vereinbarten Kapazität kann HEXLE Zusatzkosten gemäß der jeweils gültigen Preisliste verrechnen oder den Kunden zur Reduzierung der Daten auffordern.
• Nutzerverwaltung: Die Anzahl der nutzbaren Accounts und die Hierarchie der Nutzerrechte (z.B. Administrator, Mitarbeiter) hängen vom gewählten Tarif ab. Der Kunde ist für die korrekte Anlage und Verwaltung seiner Nutzeraccounts verantwortlich.

2. Nutzungsbedingungen

2.1 Pflichten des Kunden

Der Kunde verpflichtet sich, HEXLE LZE ausschließlich bestimmungsgemäß und im Einklang mit den geltenden Gesetzen und diesen AGB zu nutzen. Insbesondere ist der Kunde verantwortlich für:

• Die rechtmäßige Erfassung und Verarbeitung von Arbeitszeiten seiner Mitarbeiter gemäß den gesetzlichen Bestimmungen (z.B. Arbeitszeitgesetz, Kollektivverträge). HEXLE übernimmt keine Gewähr für die rechtliche Korrektheit der vom Kunden mit HEXLE LZE erfassten oder verarbeiteten Daten.
• Die Bereitstellung korrekter und vollständiger Daten bei der Registrierung und während der Nutzung der Software.
• Die Verhinderung missbräuchlicher Nutzung von HEXLE LZE, insbesondere das Hochladen oder Speichern von rechtswidrigen Inhalten, das Ausführen von schädlichem Code oder das Stören des Betriebs der Software.
• Die Einhaltung der Kompatibilitätsanforderungen für die Nutzung von HEXLE LZE (z.B. Browserversionen, Internetverbindung). HEXLE übernimmt keine Verantwortung für Nutzungseinschränkungen, die auf einer Nichterfüllung dieser Anforderungen seitens des Kunden beruhen.

2.2 Zugangsdaten

Der Kunde ist verpflichtet, seine Zugangsdaten (Benutzernamen, Passwörter) geheim zu halten und vor dem unberechtigten Zugriff Dritter zu schützen. Er ist für alle Aktivitäten verantwortlich, die unter seinen Zugangsdaten erfolgen. Bei Verlust oder unbefugter Nutzung der Zugangsdaten hat der Kunde HEXLE unverzüglich zu informieren.

2.3 Umgang mit personenbezogenen Daten der Mitarbeiter

Der Kunde ist alleiniger Verantwortlicher im Sinne der DSGVO für die personenbezogenen Daten seiner Mitarbeiter, die über HEXLE LZE erfasst werden. HEXLE agiert in diesem Verhältnis als Auftragsverarbeiter. Der Kunde stellt sicher, dass die Erfassung und Verarbeitung von Arbeitszeiten seiner Mitarbeiter im Einklang mit den geltenden arbeitsrechtlichen Bestimmungen (insbesondere AZG, ArbVG) erfolgt. Insbesondere ist der Kunde verantwortlich für die Einholung einer allfälligen Zustimmung des Betriebsrats gemäß § 96 Abs. 1 Z 3 bzw. § 96a ArbVG, sofern ein solcher eingerichtet ist. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist verpflichtend (siehe Abschnitt 7 dieser AGB).

3. Service Level Agreements (SLA)

HEXLE ist bestrebt, eine hohe Verfügbarkeit und Performance von HEXLE LZE sicherzustellen. Die nachfolgenden Regelungen definieren die vereinbarten Service Level:

• Verfügbarkeit (Uptime): HEXLE gewährleistet eine durchschnittliche jährliche Verfügbarkeit der HEXLE LZE-Dienste von 99,0%. Ausgenommen hiervon sind geplante Wartungsfenster, die dem Kunden frühzeitig mitgeteilt werden, sowie Ausfälle, die außerhalb des Verantwortungsbereichs von HEXLE liegen (z.B. höhere Gewalt, Störungen des öffentlichen Internets, Handlungen Dritter).
• Support-Zeiten: Der Kundensupport ist werktags (Montag bis Freitag, ausgenommen österreichische Feiertage) von 08:00 Uhr bis 18:00 Uhr MESZ/MEZ erreichbar.
• Reaktionszeiten bei Störungen:
  • Kritische Störungen (Produktionseinstellung, Kernfunktionen nicht nutzbar): Reaktion innerhalb von 2 Stunden während der Support-Zeiten.
  • Wesentliche Störungen (Einschränkung der Nutzung, aber Kernfunktionen verfügbar): Reaktion innerhalb von 4 Stunden während der Support-Zeiten.
  • Geringfügige Störungen (Kosmetische Fehler, kleine Funktionsfehler): Reaktion innerhalb von 12 Stunden während der Support-Zeiten.
  • Lösungszeit: HEXLE wird sich bemühen, Störungen schnellstmöglich zu beheben. Es kann jedoch keine bestimmte Lösungszeit garantiert werden, da diese von der Art und Komplexität der Störung abhängt.

4. Lizenzbedingungen

HEXLE räumt dem Kunden ein nicht-ausschließliches, nicht übertragbares und zeitlich auf die Vertragslaufzeit beschränktes Recht zur Nutzung von HEXLE LZE im Rahmen des gebuchten Tarifs und dieser AGB ein. Jegliche darüberhinausgehende Nutzung, insbesondere die Vervielfältigung, Verbreitung, öffentliche Zugänglichmachung oder Bearbeitung der Software, ist untersagt. Das Reverse Engineering oder die Dekompilierung der Software ist nicht gestattet.

5. Datenverarbeitung

HEXLE ist sich der Sensibilität der über HEXLE LZE erfassten Daten bewusst. Die Speicherung und Verarbeitung der Daten erfolgt auf Servern in Österreich oder der Europäischen Union unter Einhaltung der Vorschriften der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG).

• Verantwortlichkeit: Der Kunde ist der Verantwortliche im Sinne der DSGVO für die über HEXLE LZE erfassten personenbezogenen Daten seiner Mitarbeiter. HEXLE agiert als Auftragsverarbeiter.
• Auftragsverarbeitungsvertrag (AVV): Für die Verarbeitung personenbezogener Daten im Auftrag des Kunden wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) zwischen HEXLE und dem Kunden abgeschlossen. Dieser AVV ist integraler Bestandteil des Vertrages über die Nutzung von HEXLE LZE und detailliert die Pflichten und Verantwortlichkeiten beider Parteien hinsichtlich des Datenschutzes (siehe Abschnitt 7 dieser AGB).
• Verarbeitung: HEXLE verarbeitet die eingegebenen Daten ausschließlich im Rahmen der Leistungserbringung und nach Weisung des Kunden gemäß dem abgeschlossenen AVV.
• Datensicherung: HEXLE implementiert angemessene technische und organisatorische Maßnahmen zum Schutz der Daten vor Verlust, Zerstörung, unberechtigtem Zugriff oder Missbrauch. Regelmäßige Datensicherungen werden durchgeführt, um die Wiederherstellbarkeit der Daten im Falle eines technischen Fehlers zu gewährleisten. Die genauen Sicherungsintervalle und -maßnahmen sind im AVV detailliert beschrieben.

6. Preise

Die Preise für die Nutzung von HEXLE LZE richten sich nach dem vom Kunden gewählten Tarifmodell. Die jeweils gültigen Preise sind in der aktuellen Preisliste auf der HEXLE Website (https://lze.hexle.at) oder im individuellen Angebot aufgeführt. Alle Preise verstehen sich in Euro (€) und, soweit nicht anders angegeben, zuzüglich der gesetzlichen Umsatzsteuer. Abweichungen von den allgemeinen Regelungen zu Preisen und Zahlung in den Rahmen-AGB sind gesondert in der Leistungsbeschreibung oder dem individuellen Angebot zu regeln.

---

7. Auftragsverarbeitungsvertrag (AVV) für HEXLE LZE

nach Art. 28 der Datenschutz-Grundverordnung (DSGVO)

7.1 Gegenstand, Dauer und Leistungsumfang des Auftrags

1. Gegenstand: Die vorliegende Vereinbarung regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Erbringung der Dienstleistung HEXLE LZE (Zeiterfassung/-management) durch den Auftragnehmer (HEXLE) für den Auftraggeber. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich nach dokumentierter Weisung des Auftraggebers.
2. Leistungsumfang: Die Verarbeitung umfasst alle Tätigkeiten, die zur Bereitstellung, Wartung und Pflege der Softwarelösung HEXLE LZE zur digitalen Zeiterfassung und zum Zeitmanagement des Auftraggebers notwendig sind.
3. Dauer: Diese Vereinbarung tritt mit Vertragsabschluss in Kraft und endet automatisch mit Beendigung der Leistungsvereinbarung (Hauptvertrag) über die Nutzung von HEXLE LZE.

7.2 Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Daten

1. Zweck: Erfassung, Verwaltung, Speicherung und Auswertung von Personendaten der Mitarbeiter und Zeiterfassungsdaten zur Erfüllung von:
   • Zeiterfassung (Kommt/Geht-Zeiten, Pausen, Projektzuordnung),
   • Abwesenheitsverwaltung (Urlaub, Krankheit),
   • Auswertungen und Berichte,
   • Support und Wartung (Der Auftragsverarbeiter darf zur Bearbeitung von Supportfällen Einsicht in personenbezogene Daten nehmen, sofern dies zur Behebung technischer Probleme erforderlich ist).
2. Kategorien betroffener Personen:
   • Mitarbeiter des Auftraggebers.
   • Gegebenenfalls: Externe Mitarbeiter, Freelancer des Auftraggebers.
3. Kategorien personenbezogener Daten:
   • Identifikationsdaten: Name, Kontaktdaten (E-Mail), Benutzerkennung, Personalnummer.
   • Zeiterfassungsdaten: Arbeitszeiten, Pausenzeiten, Projektzuordnungen, Abwesenheiten (Krankenstände). (Hinweis: Informationen über Krankenstände können als Gesundheitsdaten nach Art. 9 DSGVO gelten. Der Auftraggeber ist für das Vorliegen einer Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO verantwortlich. HEXLE stellt durch besondere technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für diese Datenkategorie sicher.)
   • Organisationsdaten: Details über das Unternehmen des Auftraggebers (Name, Abteilungen, Standorte etc.).

7.3 Pflichten und Weisungsrecht des Auftraggebers (Verantwortlicher)

Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen der DSGVO, insbesondere hinsichtlich der Rechtmäßigkeit der Verarbeitung (z.B. Vorliegen einer Rechtsgrundlage gemäß Art. 6 DSGVO) und der Wahrung der Rechte der betroffenen Personen, verantwortlich. Er hat insbesondere:

1. Die Überprüfung der Rechtmäßigkeit der Verarbeitung, inkl. Informationspflichten (Art. 12 ff. DSGVO) sicherzustellen.
2. Alle Weisungen zu erteilen und zu dokumentieren.
3. Den Auftragnehmer unverzüglich bei Fehlern oder Unregelmäßigkeiten zu informieren.

7.4 Pflichten des Auftragnehmers (Auftragsverarbeiter)

Der Auftragnehmer verpflichtet sich insbesondere:

1. Verarbeitung nur auf Weisung: Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten, es sei denn, eine gesetzliche Verpflichtung zwingt ihn dazu (Art. 28 Abs. 3 lit. a DSGVO).
2. Informationspflicht bei rechtswidrigen Weisungen: Den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragnehmers gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).
3. Vertraulichkeit: Sicherzustellen, dass zur Verarbeitung der Daten befugte Personen zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
4. Sicherheit der Verarbeitung (TOMs): Geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO zu treffen. Die konkreten Maßnahmen sind unter TOM (Technische und organisatorische Maßnahmen) detailliert festgehalten (z.B. Verschlüsselung, Zugangskontrolle, Pseudonymisierung).
5. Unterauftragsverhältnisse (Subunternehmer):
   • Der Auftragnehmer ist berechtigt, die unter Genehmigte Unterauftragsverarbeiter gelisteten Unternehmen, insbesondere für Hosting- und Wartungsleistungen, als Subunternehmer (weitere Auftragsverarbeiter) hinzuzuziehen. Die Beauftragung dieser gelisteten Unternehmen gilt mit Abschluss dieses Vertrages als genehmigt.
   • Der Auftragnehmer hat Subunternehmer vertraglich zur Einhaltung der gleichen Datenschutzpflichten zu verpflichten, die zwischen dem Auftraggeber und dem Auftragnehmer gelten (Art. 28 Abs. 4 DSGVO).
   • Beabsichtigt der Auftragnehmer, einen neuen Subunternehmer hinzuzuziehen oder einen bestehenden zu ersetzen, muss er dies dem Auftraggeber 14 Tage vor der beabsichtigten Hinzuziehung schriftlich oder in Textform anzeigen. Der Auftraggeber hat das Recht, innerhalb dieser Frist begründeten Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erhebt der Auftraggeber begründeten Einspruch, wird HEXLE den betreffenden Unterauftragsverarbeiter nicht einsetzen. Können sich die Parteien nicht auf eine alternative Lösung einigen, steht dem Auftraggeber ein Sonderkündigungsrecht für den betroffenen Dienst zu.
   • Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Bestimmungen dieses Vertrages durch seine Subunternehmer.
6. Unterstützungspflichten:
   • Unterstützung des Auftraggebers bei der Beantwortung von Anträgen Betroffener (Art. 12-22 DSGVO).
   • Unterstützung bei der Einhaltung der Pflichten gem. Art. 32-36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
7. Meldepflicht bei Datenschutzverletzungen: Unverzügliche Meldung, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, von Verletzungen des Schutzes personenbezogener Daten des Auftraggebers an diesen (Art. 33, 34 DSGVO).
8. Löschung und Rückgabe: Nach Beendigung des Vertrages die Daten innerhalb von 90 Tagen nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 28 Abs. 3 lit. g DSGVO).
9. Drittlandtransfer: Eine Verarbeitung personenbezogener Daten in Drittländern außerhalb der EU/des EWR erfolgt nur, sofern die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind (insbesondere Angemessenheitsbeschluss oder Standardvertragsklauseln). Die aktuell genehmigten Unterauftragsverarbeiter und deren Drittlandsgarantien sind unter Genehmigte Unterauftragsverarbeiter einsehbar.

7.5 Kontrollrechte des Auftraggebers

1. Kontrollrecht: Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung und der getroffenen TOMs in angemessenem Umfang zu überprüfen, etwa durch Audits oder die Einsichtnahme in Nachweise des Auftragnehmers (Art. 28 Abs. 3 lit. h DSGVO).
2. Nachweispflicht: Der Auftragnehmer verpflichtet sich, dem Auftraggeber alle zur Einhaltung seiner Pflichten notwendigen Informationen zur Verfügung zu stellen und Nachweise zu erbringen.

7.6 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet gegenüber betroffenen Personen für den gesamten Schaden, der durch eine nicht DSGVO-konforme Verarbeitung verursacht wurde (Art. 82 Abs. 2 DSGVO). Im Innenverhältnis trägt jede Partei den Anteil am Schaden, der ihrem Verschulden entspricht. Der Auftragnehmer haftet insbesondere für Schäden, die aus einer Verarbeitung resultieren, die nicht den Weisungen des Auftraggebers oder seinen eigenen Pflichten aus der DSGVO entspricht.

---

8. Informationen zu E-Mail-Benachrichtigungen

HEXLE LZE versendet verschiedene E-Mail-Benachrichtigungen im Rahmen der Zeiterfassungs- und Organisationsfunktionen. Nachfolgend finden Sie Informationen darüber, warum Sie bestimmte E-Mails erhalten:

8.1 Einladung zur Organisation

Warum erhalte ich diese E-Mail? Sie erhalten diese E-Mail, weil ein Administrator einer Organisation Sie als neuen Mitarbeiter zu HEXLE LZE eingeladen hat. Der Organisationsname ist in der E-Mail genannt. Um der Organisation beizutreten und Ihre Arbeitszeiten erfassen zu können, müssen Sie sich anmelden und die Einladung akzeptieren. Falls Sie diese Einladung nicht erwartet haben oder die genannte Organisation nicht kennen, können Sie die E-Mail ignorieren oder unseren Support kontaktieren.

8.2 Täglicher Bericht

Warum erhalte ich diese E-Mail? Sie erhalten diese E-Mail, weil Sie oder Ihr Administrator den täglichen Berichtsversand in HEXLE LZE aktiviert haben. Diese E-Mail enthält eine Übersicht Ihrer geplanten Aktivitäten und Arbeitszeiten für den heutigen Tag. Der tägliche Bericht hilft Ihnen, den Überblick über Ihre anstehenden Aufgaben zu behalten. Möchten Sie diesen Bericht nicht mehr erhalten, können Sie die Einstellung in Ihrem HEXLE LZE-Profil oder über Ihren Administrator anpassen.

8.3 Wöchentlicher Bericht

Warum erhalte ich diese E-Mail? Sie erhalten diese E-Mail, weil Sie oder Ihr Administrator den wöchentlichen Berichtsversand in HEXLE LZE aktiviert haben. Diese E-Mail enthält eine Zusammenfassung Ihrer erfassten Arbeitszeiten, Abwesenheiten und Aktivitäten der vergangenen Woche. Der wöchentliche Bericht dient zur Übersicht und Dokumentation Ihrer Arbeitszeit. Möchten Sie diesen Bericht nicht mehr erhalten, können Sie die Einstellung in Ihrem HEXLE LZE-Profil oder über Ihren Administrator anpassen.

Stand: März 2026