Der Verein nutzt die vom Anbieter betriebene Dienstleistung Mitgliederverwaltung zur Verwaltung seiner Mitglieder, Parzellen und Rechnungen. Dabei werden personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO im Auftrag des Vereins verarbeitet.
Dieser Vertrag regelt die Rechte und Pflichten beider Parteien gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
- Gegenstand der Verarbeitung ist die Bereitstellung der Software Mitgliederverwaltung zur elektronischen Führung der Vereinsdaten.
- Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien bestehenden Hauptvertrags.
§ 2 Art und Zweck der Verarbeitung
Zweck ist die vertragsgemäße Erbringung der Dienstleistung. Der Anbieter verarbeitet Daten ausschließlich für:
- Erheben, Speichern und Auslesen von Stammdaten
- Erstellung und Verwaltung von Rechnungen
- Kommunikation mit Mitgliedern
- Auswertung, Reporting, Export
§ 3 Datenarten und Betroffene
Verarbeitete Daten
- Stamm- und Kontaktdaten (Name, Anschrift, Geburtsdatum, Telefon, E-Mail)
- Vereins- und Parzellendaten (Mitglieds-Nr., Parzellen-Nr., Status)
- Zahlungs- und Rechnungsdaten (Betrag, IBAN bei SEPA)
- Kommunikationsdaten (Portal-Nachrichten, E-Mails)
Kategorien Betroffener
- Aktive und ehemalige Mitglieder
- Vorstand und bevollmächtigte Personen
- Bewerber auf Mitgliedschaft
§ 4 Pflichten des Anbieters
- Verarbeitung nur auf dokumentierte Weisung des Vereins.
- Vertraulichkeitsverpflichtung aller Mitarbeitenden.
- Umsetzung der in Anlage 1 dokumentierten TOMs.
- Unterstützung bei Betroffenenrechten und Meldepflichten.
- Nachweispflicht und Duldung von Prüfungen.
Weitere Paragraphen § 5 – § 10
§ 5 Pflichten des Vereins
- Der Verein ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO.
- Der Verein informiert den Anbieter unverzüglich über Fehler oder Unregelmäßigkeiten.
- Der Verein benennt eine Ansprechperson für Datenschutzfragen.
§ 6 Unterauftragnehmer
Der Verein genehmigt die in Anlage 2 aufgeführten Unterauftragnehmer. Änderungen werden mit 30 Tagen Vorlauf mitgeteilt; der Verein hat ein Widerspruchsrecht.
§ 7 Rechte Betroffener
Der Anbieter unterstützt den Verein bei Anträgen nach Kapitel III DSGVO — Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.
§ 8 Meldepflichten
Meldung von Datenschutzverletzungen unverzüglich, spätestens binnen 48 Stunden nach Kenntniserlangung.
§ 9 Löschung nach Vertragsende
- Löschung aller Daten innerhalb von 90 Tagen.
- Möglichkeit zum Datenexport vor Löschung; Löschung wird dokumentiert.
§ 10 Schlussbestimmungen
- Änderungen bedürfen der Textform.
- Deutsches Recht, Gerichtsstand Sitz des Anbieters.
- Salvatorische Klausel.
Anl. 1 Technische & organisatorische Maßnahmen
Nach Art. 32 DSGVO. Stand der Technik zum Zeitpunkt des Vertragsschlusses.
Zutrittskontrolle Art. 32 b
- Hosting in zertifizierten EU-Rechenzentren (ISO 27001, C5)
- Biometrischer Zutritt, 24/7-Videoüberwachung
Zugangs- & Zugriffskontrolle Art. 32 b
- Rollen- und rechtebasiertes Berechtigungssystem (RBAC)
- bcrypt-Passwort-Hashing, optional 2FA für Admins
- Sitzungs-Timeouts, Audit-Logs
Verschlüsselung Art. 32 a
- TLS 1.3 für alle Verbindungen, HSTS aktiv
- Datenbank at rest: AES-256
- Verschlüsselte Backups, separate Schlüsselverwaltung
Integrität & Verfügbarkeit Art. 32 b+c
- Tägliche Backups, 30 Tage Rückholbarkeit
- Point-in-Time Recovery, Replikation
- Regelmäßige Wiederanlauf-Tests
Mandantentrennung Art. 32 b
- Logische Trennung auf Datenbankebene je Verein
- Eindeutige Mandanten-IDs in allen Datensätzen
Anl. 2 Unterauftragnehmer
Mit allen bestehen AV-Verträge nach Art. 28 DSGVO. Sitz und Verarbeitung innerhalb der EU.
Zahlungsabwicklung erfolgt ausschließlich per Rechnung (Überweisung) — keine externen Zahlungsdienstleister.