Vereinbarung zur Auftragsverarbeitung

gemäß Art. 28 DSGVO

abgeschlossen zwischen

dem Verein

(Vereinsname und Anschrift)
— nachfolgend „Verantwortlicher" —

und

Matthias Fölser, Österreich
Kontakt: [email protected]
— nachfolgend „Auftragsverarbeiter" —

§ 1 Gegenstand und Dauer

Gegenstand dieser Vereinbarung ist der Betrieb der SaaS-Anwendung „Vereinskasse" für den Verantwortlichen durch den Auftragsverarbeiter. Die Dauer dieser Vereinbarung entspricht der Laufzeit des Nutzungsvertrags über die Anwendung. Sie endet automatisch mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter speichert und verarbeitet Vereins-Finanzdaten, Belege und Benutzerkonten des Verantwortlichen. Zweck der Verarbeitung ist die Vereins-Rechnungsverwaltung: Beleg-Einreichung, Buchhaltung, Rechnungserstellung, Bankabgleich und Projektabrechnung.

§ 3 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind Vereinsmitglieder, Funktionäre sowie Vertragspartner des Vereins (z. B. Mieter, Rechnungsempfänger, Lieferanten).

§ 4 Art der Daten

Verarbeitet werden Stammdaten (Name, E-Mail-Adresse), Bankverbindungen (IBAN), Belege und Rechnungen einschließlich Fotos und PDF-Dateien sowie Buchhaltungs- und Kontodaten des Vereins.

§ 5 Weisungsrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Anwendung durch den Verantwortlichen und seine Benutzer gilt als solche Weisung. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich.

§ 6 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 7 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft insbesondere folgende technische und organisatorische Maßnahmen zum Schutz der Daten:

eigene Datenbank mit eigenen Zugangsdaten pro Verein (Mandantentrennung)
TLS-Verschlüsselung sämtlicher Verbindungen
Passwörter werden ausschließlich bcrypt-gehasht gespeichert
rollenbasierte Zugriffskontrolle in der Anwendung
tägliche verschlüsselte Backups mit getrenntem Speicherort
Zugriff auf Produktionssysteme ausschließlich durch den Auftragsverarbeiter mittels Schlüssel-Authentifizierung
Protokollierung sicherheitsrelevanter Ereignisse

Der Auftragsverarbeiter darf diese Maßnahmen an den Stand der Technik anpassen, solange das vereinbarte Schutzniveau nicht unterschritten wird.

§ 8 Subprozessoren

Der Verantwortliche genehmigt den Einsatz der nachfolgend genannten Subunternehmer:

Anbieter	Zweck	Sitz
Hetzner Online GmbH	Hosting und Backups	Deutschland
Cloudflare, Inc.	DNS, Bot-Schutz (Turnstile; nur auf Login, Registrierung und Beleg-Einreichung), E-Mail-Empfang für ein optionales Banking-Postfach	USA (EU-Standardvertragsklauseln / Data Privacy Framework)
Google LLC	Versand von System-E-Mails wie Verifizierungen und Benachrichtigungen (Gmail-SMTP) sowie optionaler „Mit Google anmelden"-Login	USA (Data Privacy Framework)
Browser-Push-Dienste (Google, Mozilla, Apple)	Zustellung von Web-Push-Benachrichtigungen — nur, wenn diese aktiviert wurden	je nach Browser

Beabsichtigt der Auftragsverarbeiter, weitere Subunternehmer einzusetzen oder bestehende zu ersetzen, informiert er den Verantwortlichen vorab. Der Verantwortliche kann binnen 30 Tagen nach dieser Information widersprechen.

§ 9 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Art. 12–23 DSGVO), soweit die Verarbeitung in der Anwendung betroffen ist. Gleiches gilt, soweit erforderlich, für die Durchführung von Datenschutz-Folgenabschätzungen, soweit sie den Auftragsverarbeiter betreffen.

§ 10 Meldung von Verletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch binnen 48 Stunden nach Kenntnis. Die Meldung enthält die zur Beurteilung des Vorfalls erforderlichen Informationen, soweit sie dem Auftragsverarbeiter vorliegen.

§ 11 Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter sämtliche Daten des Verantwortlichen vollständig, einschließlich der Backups nach Ablauf der rollierenden Backup-Aufbewahrung. Auf Wunsch des Verantwortlichen stellt der Auftragsverarbeiter vor der Löschung einen vollständigen Export der Daten bereit.

§ 12 Nachweis und Kontrolle

Der Verantwortliche kann vom Auftragsverarbeiter Auskunft über die umgesetzten technischen und organisatorischen Maßnahmen verlangen. Der Auftragsverarbeiter erbringt Nachweise z. B. durch geeignete Dokumentation. Darüber hinaus duldet und unterstützt der Auftragsverarbeiter Prüfungen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer, soweit sie mit angemessener Frist angekündigt werden und den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen.

Für den Verein (Verantwortlicher)

Ort, Datum

Unterschrift

Der Auftragsverarbeiter

Ort, Datum

Unterschrift