Auftragsverarbeitung nach Art. 28 DSGVO
Vertrag zur Auftragsverarbeitung
Zwischen dem Verein als Verantwortlichem und dem Anbieter Mitgliederverwaltung als Auftragsverarbeiter, zur Erbringung der unten beschriebenen Verarbeitungsleistung.
Verantwortlicher („Verein")
[Vereinsname]
[Straße und Hausnummer]
[PLZ und Ort]
vertreten durch: [Name der vertretungsberechtigten Person]
Auftragsverarbeiter („Anbieter")
Mitgliederverwaltung · Michael Becker
Wotanstraße 31
10365 Berlin
E-Mail: info@mitgliederverwaltung.app
Der Verein nutzt die vom Anbieter betriebene Dienstleistung Mitgliederverwaltung zur Verwaltung seiner Mitglieder, Parzellen und Rechnungen. Dabei werden personenbezogene Daten i. S. d. Art. 4 Nr. 1 DSGVO im Auftrag des Vereins verarbeitet.
Dieser Vertrag regelt die Rechte und Pflichten beider Parteien gemäß Art. 28 DSGVO.
§ 1Gegenstand und Dauer
- Gegenstand ist die Bereitstellung der Software Mitgliederverwaltung zur elektronischen Führung der Vereinsdaten.
- Die Verarbeitung erfolgt für die Dauer des Hauptvertrags; mit dessen Beendigung endet auch dieser Vertrag automatisch.
§ 2Art und Zweck der Verarbeitung
Zweck ist die vertragsgemäße Erbringung der Dienstleistung. Der Anbieter verarbeitet Daten ausschließlich für:
- Erheben, Speichern und Auslesen von Stammdaten der Vereinsmitglieder
- Erstellung, Versand und Verwaltung von Rechnungen und Zahlungsnachweisen
- Kommunikation mit Mitgliedern über Portal und E-Mail
- Auswertung und Reporting im Rahmen der Vereinsführung
- Export- und Druckfunktionen
§ 3Art der Daten und Kategorien der Betroffenen
Arten der verarbeiteten Daten
- Stamm- und Kontaktdaten (Name, Anschrift, Geburtsdatum, Telefon, E-Mail)
- Vereins- und Parzellendaten (Mitglieds-Nr., Parzellen-Nr., Status, Eintrittsdatum)
- Zahlungs- und Rechnungsdaten (Betrag, Verwendung, IBAN für SEPA)
- Kommunikationsdaten (Portal-Nachrichten, versandte E-Mails)
Kategorien Betroffener
- Aktive und ehemalige Mitglieder des Vereins
- Vorstand und bevollmächtigte Personen
- Bewerber auf eine Mitgliedschaft
- Vertragspartner (soweit im System erfasst)
§ 4Pflichten des Auftragsverarbeiters
- Verarbeitung nur auf dokumentierte Weisung des Vereins.
- Vertraulichkeitsverpflichtung aller zur Verarbeitung befugten Personen.
- Umsetzung der Maßnahmen nach Art. 32 DSGVO gemäß Anlage 1.
- Unterstützung des Vereins bei Betroffenenrechten (Art. 12–23) und Meldepflichten (Art. 33–34).
- Nachweispflicht und Duldung von Kontrollen.
§ 5Pflichten des Verantwortlichen
- Der Verein ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO.
- Der Verein informiert den Anbieter unverzüglich über Fehler oder Unregelmäßigkeiten.
- Der Verein benennt eine Ansprechperson für Datenschutz; erreichbar unter [E-Mail-Adresse].
§ 6Unterauftragnehmer
- Der Verein genehmigt die in Anlage 2 genannten Unterauftragnehmer.
- Bei Hinzunahme oder Austausch informiert der Anbieter mindestens 30 Tage vorher per E-Mail. Der Verein kann schriftlich widersprechen.
§ 7Rechte Betroffener
Unterstützung des Vereins bei Anträgen nach Kap. III DSGVO — Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.
§ 8Meldepflichten
Meldung von Datenschutzverletzungen unverzüglich, spätestens binnen 48 Stunden nach Kenntniserlangung. Meldung per E-Mail an die vom Verein benannte Ansprechperson.
§ 9Löschung und Rückgabe nach Vertragsende
- Löschung aller überlassenen Daten binnen 90 Tagen nach Vertragsende — es sei denn, der Verein wünscht Herausgabe oder es besteht gesetzliche Aufbewahrungspflicht.
- Vorheriger Datenexport auf Anfrage. Löschung wird auf Wunsch schriftlich dokumentiert.
§ 10Schlussbestimmungen
- Änderungen und Ergänzungen bedürfen der Textform — einschließlich dieser Klausel.
- Deutsches Recht. Gerichtsstand: Sitz des Anbieters, soweit zulässig.
- Salvatorische Klausel.
Für den Verein (Verantwortlicher)
Unterschrift
Für den Anbieter (Auftragsverarbeiter)
Unterschrift
Anlage 1 · zu § 4 Abs. 3
Technische und organisatorische Maßnahmen
Nach Art. 32 DSGVO. Stand der Technik zum Zeitpunkt des Vertragsschlusses — fortlaufende Anpassung an aktuelle Bedrohungslagen zugesichert.
Zutrittskontrolle Art. 32 Abs. 1 b
Schutz der Rechenzentren und Server vor unbefugtem physischen Zutritt.
- Hosting in zertifizierten EU-Rechenzentren (ISO 27001, C5)
- Zutritt nur mit elektronischem Badge und Biometrie
- 24/7-Videoüberwachung mit Aufzeichnung
- Besucherprotokoll und Begleitpflicht
Zugangs- und Zugriffskontrolle Art. 32 Abs. 1 b
Verhinderung unbefugter Nutzung durch Identifikation und Berechtigungsprüfung.
- Rollen- und rechtebasiertes Berechtigungssystem (RBAC)
- Passwort-Hashing mit bcrypt, BSI-konforme Anforderungen
- Optionale 2FA für Administrator-Zugänge
- Sitzungs-Timeouts, automatische Abmeldung
- Audit-Logs aller administrativen Aktionen
Verschlüsselung Art. 32 Abs. 1 a
Vertraulichkeit während Übertragung und Speicherung.
- TLS 1.3 für alle Verbindungen (HTTPS, HSTS)
- Datenbank at rest: AES-256
- Verschlüsselte Backups mit separater Schlüsselverwaltung
Integrität und Verfügbarkeit Art. 32 Abs. 1 b+c
Schutz vor zufälliger Veränderung, Verlust und Ausfall.
- Tägliche verschlüsselte Backups, 30 Tage Rückholbarkeit
- Point-in-Time Recovery, Replikation
- Monitoring, Alerting, USV im Rechenzentrum
- Regelmäßige Wiederanlauf-Tests
Auftragskontrolle und Trennungsgebot Art. 32 Abs. 1 b
Daten unterschiedlicher Vereine werden strikt getrennt.
- Mandantenfähige Architektur, logische Trennung auf DB-Ebene
- Eindeutige Mandanten-IDs in allen Datensätzen
- Getrennte Export- und Löschverfahren je Mandant
Datensparsamkeit und Pseudonymisierung Art. 32 Abs. 1 a
Reduktion auf das erforderliche Maß.
- Erhebung nur vertraglich vereinbarter Datenfelder
- Automatische Löschung von Log-Daten nach 14 Tagen
- IP-Anonymisierung in statistischen Auswertungen
Anlage 2 · zu § 6
Unterauftragnehmer
Die folgenden Dienstleister werden zum Zeitpunkt des Vertragsschlusses eingesetzt. Mit allen bestehen AV-Verträge nach Art. 28 DSGVO.
| Anbieter | Zweck | Sitz · Ort der Verarbeitung |
|---|
| Hetzner Online GmbH | Hosting, DB-Betrieb, Backup-Speicherung | Gunzenhausen · Rechenzentrum Falkenstein (DE) |
| Servivum | Transaktionale E-Mails (Rechnungen, Benachrichtigungen) | Deutschland · EU |
Zahlungsabwicklung erfolgt ausschließlich per Rechnung (Überweisung). Es werden keine externen Zahlungsdienstleister eingebunden.
Mitgliederverwaltung