Auftragsverarbeitungsvertrag (AVV)

Pflicht-Anlage zum Hauptvertrag (Nutzungsbedingungen MyJF) nach Art. 28 DSGVO. Wird mit Vertragsschluss automatisch zwischen dem Anbieter und der Trägerorganisation der Wehr geschlossen.

Stand:

Parteien

Verantwortlicher (im Sinne von Art. 4 Nr. 7 DSGVO): die jeweilige Trägerorganisation der Wehr (Stadt, Gemeinde, Verein o. ä.), vertreten durch den im Admin-Panel hinterlegten Verantwortlichen.

Auftragsverarbeiter (im Sinne von Art. 4 Nr. 8 DSGVO):
David Dülle Creative
Inhaber: David Dülle
Auf der Höhe 22, 21339 Lüneburg
E-Mail: info@my-jf.de

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

1. Gegenstand: Bereitstellung und Betrieb der Webanwendung MyJF unter der Subdomain der jeweiligen Wehr (<wehr-slug>.my-jf.de) einschließlich der dabei anfallenden Verarbeitungstätigkeiten.
2. Dauer: Der Vertrag gilt für die Dauer des Hauptvertrags (Nutzungsbedingungen) zwischen den Parteien.

§ 2 Art und Zweck der Verarbeitung

1. Art: Erhebung, Speicherung, Strukturierung, Veränderung, Auslesen, Verwendung, Übermittlung an die berechtigten Endnutzer der Wehr, Einschränkung, Löschung.
2. Zwecke:
• Mitglieder-Verwaltung der Wehr
• Termin-Abstimmung (RSVPs)
• Eltern-Kind-Verknüpfungen + Eltern-Einwilligungs-Workflow nach Art. 8 DSGVO
• Lern-Spiele für Mitglieder
• Optional: Synchronisation mit Wehr-eigenem Google-Kalender
• Sicherheits-Auditierung der Plattform

§ 3 Art der personenbezogenen Daten

• Stammdaten: Username, Anzeigename, Rolle, Status
• Auth-Daten: bcrypt-Hash des Passworts, optional TOTP-Secret + Backup-Codes
• Eltern-Daten bei Minderjährigen: Eltern-E-Mail-Adresse, Einwilligungs-Datum
• Inhaltsdaten: Termin-Antworten (Ja/Nein/Vielleicht), Spielstände, ggf. Notizen zu Terminen
• Beziehungsdaten: Eltern-Kind-Verknüpfungen
• Technische Daten: Login-Cookie, IP-Adressen (kurzzeitig für Rate-Limiting), Server-Logs (max. 14 Tage)

Nicht verarbeitet: Klarnamen-Adressen, Geburtsdaten, Telefonnummern, Bilder, Gesundheitsdaten, biometrische Daten, Daten besonderer Kategorien (Art. 9 DSGVO).

§ 4 Kategorien betroffener Personen

• Mitglieder der Jugendfeuerwehr (Jugendliche, typischerweise 10-18 Jahre)
• Eltern / Erziehungsberechtigte
• Betreuer + Admins der Wehr

§ 5 Pflichten des Auftragsverarbeiters

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Eine Übermittlung in Drittländer erfolgt nur gemäß § 8.
2. Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3. Der Auftragsverarbeiter ergreift sämtliche nach Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung. Die aktuell umgesetzten technischen und organisatorischen Maßnahmen sind auf Anforderung als Anlage 2 zu diesem AVV erhältlich.
4. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung:
   • der Anträge auf Wahrnehmung der Betroffenenrechte (Art. 12-22 DSGVO)
   • der Sicherheitsmeldungen (Art. 33, 34 DSGVO)
   • der Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
   • der vorherigen Konsultation (Art. 36 DSGVO)
5. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
6. Nach Wahl des Verantwortlichen werden alle personenbezogenen Daten nach Abschluss der Vertragsbeziehung gelöscht oder zurückgegeben. Standard: 30 Tage Schutzfrist ab Lösch-Anforderung durch den Admin, Datenexport (DSGVO Art. 20) jederzeit möglich.

§ 6 Pflichten des Verantwortlichen

1. Der Verantwortliche teilt dem Auftragsverarbeiter alle Weisungen rechtsverbindlich mit und verantwortet die Rechtmäßigkeit der Datenverarbeitung.
2. Der Verantwortliche ist verantwortlich für:
• die Einholung der Einwilligungen der Betroffenen: insbesondere der Eltern bei Minderjährigen unter 16 (Art. 8 DSGVO)
• die Information der Betroffenen über die Verarbeitung (Datenschutzerklärung der Wehr)
• die Bestellung eines eigenen Datenschutzbeauftragten, falls erforderlich
• die Pflege der eigenen Stammdaten und das Setzen korrekter Rollen
• die verpflichtende Hinterlegung einer eigenen Datenschutz-URL und einer Impressum-URL im Admin-Panel: diese werden im Footer der Wehr-Instanz angezeigt und sind rechtsverbindlich

§ 7 Subunternehmer (Sub-Auftragsverarbeiter)

1. Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Sub-AVs) mit allgemeiner Zustimmung des Verantwortlichen einsetzen. Die aktuell eingesetzten Sub-AVs werden auf Anforderung mitgeteilt und umfassen:
• IONOS SE, Elgendorfer Straße 57, 56410 Montabaur (Hosting; Sitz: Deutschland)
• Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin, Irland (Zahlungsabwicklung)
• Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Calendar API + OAuth, optional pro Wehr)
• Konfigurierter SMTP-Provider (für Bestätigungs-Mails): wird vom Anbieter offen ausgewiesen
2. Beabsichtigt der Auftragsverarbeiter, einen weiteren Sub-AV einzusetzen oder einen bestehenden zu ersetzen, informiert er den Verantwortlichen mindestens 30 Tage vorab per E-Mail an die hinterlegte Admin-Adresse. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen widersprechen. Ein berechtigter Widerspruch berechtigt den Verantwortlichen zur außerordentlichen Kündigung des Hauptvertrags.
3. Der Auftragsverarbeiter schließt mit jedem Sub-AV einen eigenen AVV mit Pflichten, die denen dieses Vertrages entsprechen.

§ 8 Drittlandtransfer

Sofern Sub-AVs Daten in Drittländer (außerhalb des EWR) verarbeiten, werden die EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) und ggf. zusätzliche Schutzmaßnahmen (Verschlüsselung) angewendet. Aktuell betrifft dies: Stripe Inc. (USA), Google LLC (USA): beide als Sub-Sub-AVs unter ihren EU-Tochtergesellschaften, abgesichert durch SCC + EU-US Data Privacy Framework.

§ 9 Meldepflichten

1. Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben.
2. Der Verantwortliche bleibt für die Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO zuständig (72-Stunden-Frist).

§ 10 Kontrollrechte

1. Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrages durch den Auftragsverarbeiter zu kontrollieren: durch Einsichtnahme in vorzulegende Unterlagen, Anforderung von Auskünften oder durch eine Vor-Ort-Prüfung.
2. Vor-Ort-Prüfungen sind mindestens 30 Tage vorher anzukündigen und während der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durchzuführen. Die Kosten trägt der Verantwortliche.
3. Der Auftragsverarbeiter kann eine Prüfung verweigern, wenn berechtigte Geheimhaltungsinteressen anderer Tenants entgegenstehen. Alternativen: Einsichtnahme in zusammengefasste Berichte, ISO-27001-Zertifikat des Hosters.

§ 11 Vergütung

Die Erbringung der in § 5 genannten Unterstützungsleistungen ist mit der Vergütung des Hauptvertrags abgegolten, soweit der Aufwand 4 Personenstunden je Kalenderjahr nicht überschreitet. Darüber hinausgehender Aufwand wird zum Stundensatz von 95 € (zzgl. ggf. anfallender USt.) berechnet, wenn die Mehrarbeit auf einer übermäßigen Anzahl von Anfragen oder auf schuldhaftem Handeln des Verantwortlichen beruht.

§ 12 Haftung

Es gelten die Haftungsregelungen des Hauptvertrags (Nutzungsbedingungen, § 10).

§ 13 Schlussbestimmungen

1. Bei Widerspruch zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV hinsichtlich der Datenverarbeitung vor.
2. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
3. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
4. Änderungen und Ergänzungen bedürfen der Textform.