Auftragsverarbeitungsvertrag (AVV)

Version 1

Zwischen der Organisation (Verantwortlicher) und Helferstube (Auftragsverarbeiter) gemäß Art. 28 DSGVO.

Eingeloggte Vorstände sehen hier ihre Organisationsdaten eingesetzt. (Vorlage)

§ 1 Gegenstand und Dauer des Auftrags

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten von Helferinnen und Helfern durch den Auftragsverarbeiter (Helferstube) im Auftrag und nach Weisung des Verantwortlichen (der Organisation) im Rahmen der Nutzung der Helferstube-Plattform zur Planung und Koordination von Helferdiensten bei Veranstaltungen der Organisation. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO. Die Dauer dieses Auftrags entspricht der Laufzeit der Nutzung der Plattform und endet mit der vollständigen Löschung bzw. Anonymisierung der Auftragsdaten gemäß § 7.

§ 2 Art, Umfang und Zweck der Verarbeitung; Datenarten; betroffene Personen

Art der Verarbeitung: Erheben, Speichern, Organisieren, Anzeigen, Verändern, Übermitteln (an Empfänger gemäß Weisung) und Löschen. Zweck: ausschließlich die Helferkoordination der Organisation (Einteilung in Schichten/Dienste, Erfassung von Kuchenspenden/Beiträgen, optionale Benachrichtigungen) auf dokumentierte Weisung des Verantwortlichen. Datenarten: Name, optional E-Mail-Adresse und/oder Telefonnummer, Dienst-/Schicht- und Beitragszuordnungen sowie erteilte Einwilligungen und deren Zeitpunkt. Kategorien betroffener Personen: Helferinnen und Helfer der Organisation (einschließlich namentlich benannter Begleitpersonen). Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Er verpflichtet die zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO). Er trifft die erforderlichen technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO (§ 4). Er unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung von Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Art. 28 Abs. 3 lit. f DSGVO). Er meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich (Art. 33 DSGVO). Er stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und teilt mit, falls eine Weisung aus seiner Sicht gegen Datenschutzrecht verstößt.

§ 4 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter gewährleistet insbesondere: Hosting ausschließlich innerhalb der EU bei einem deutschen Anbieter (Hetzner, Falkenstein); Verschlüsselung ruhender Daten durch LUKS-verschlüsselte Volumes (Encryption at Rest); Transportverschlüsselung (TLS) bei der Übertragung; mandantengetrennten Zugriff über datenbankseitige Zugriffsregeln; rollenbasierte Zugriffsbeschränkung; datensparsames, PII-redigierendes Logging mit IP-Anonymisierung; verschlüsselte, regelmäßig getestete Backups (Wiederherstellbarkeit, Art. 32 Abs. 1 lit. c DSGVO); ein Pseudonymisierungs-/Löschkonzept (automatische Anonymisierung sechs Monate nach Veranstaltungsende ohne Folge-Einwilligung) sowie regelmäßige Überprüfung der Maßnahmen. Eine ausführliche TOM-Übersicht wird auf Anforderung bereitgestellt.

§ 5 Unterauftragsverarbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung der in der Anlage genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter stellt durch vertragliche Vereinbarungen sicher, dass diese gleichwertige Datenschutzpflichten einhalten (Art. 28 Abs. 4 DSGVO). Beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern teilt der Auftragsverarbeiter dem Verantwortlichen rechtzeitig mit; der Verantwortliche kann hiergegen Einspruch erheben. Sämtliche eingesetzten Unterauftragsverarbeiter verarbeiten die Daten innerhalb der EU bzw. des EWR.

§ 6 Weisungsrecht des Verantwortlichen

Die Verarbeitung erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Verantwortlichen, einschließlich der über die Funktionen der Plattform erteilten Weisungen. Mündliche Weisungen sind unverzüglich in Text- oder Schriftform zu bestätigen. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.

§ 7 Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Verarbeitung löscht oder anonymisiert der Auftragsverarbeiter die Helferdaten nach Wahl des Verantwortlichen und entsprechend dem Löschkonzept: automatische Anonymisierung sechs Monate nach Veranstaltungsende ohne Einwilligung in eine Folge-Kontaktaufnahme; jederzeitige Selbstbedienungs-Löschung durch die betroffenen Helfer (Art. 17 DSGVO); Löschung bei Beendigung des Organisations-Accounts. Gesetzliche Aufbewahrungspflichten (etwa aus dem Steuer- oder Handelsrecht im Zusammenhang mit Zahlungen) bleiben unberührt.

§ 8 Nachweise und Kontrollrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO) und ermöglicht sowie unterstützt Überprüfungen. Diese erfolgen in der Regel durch Bereitstellung aktueller Selbstauskünfte, Zertifikate oder der TOM-Dokumentation; weitergehende Kontrollen vor Ort sind nach rechtzeitiger Ankündigung und bei berechtigtem Anlass möglich.

§ 9 Haftung und Schlussbestimmungen

Für die Haftung gilt Art. 82 DSGVO. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt das Recht der Bundesrepublik Deutschland. Dieser Auftragsverarbeitungsvertrag geht im Umfang seines Regelungsgegenstands etwaigen abweichenden Regelungen der Allgemeinen Geschäftsbedingungen vor.

Anlage: Unterauftragsverarbeiter