Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO)
§ 1 Vertragsparteien und Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und Nutzung der SaaS-Plattform Parzellio.
(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen auf der Grundlage des zwischen den Parteien geschlossenen Software-as-a-Service-Nutzungsvertrages (nachfolgend „Hauptvertrag"), in dessen Rahmen der Auftragsverarbeiter Zugang zu personenbezogenen Daten erhalten kann, die dem Verantwortlichen als datenschutzrechtlich Verantwortlichem obliegen.
(2) Dieser AVV konkretisiert und ergänzt den Hauptvertrag hinsichtlich aller datenschutzrechtlichen Pflichten der Parteien. Im Konfliktfall zwischen dem Hauptvertrag und diesem AVV gehen die Regelungen dieses AVV vor, soweit sie datenschutzrechtliche Belange betreffen.
(3) Die Anlage 1 (Technische und Organisatorische Maßnahmen) ist Bestandteil dieses AVV und kann auf Anfrage unter info@parzellio.de angefordert werden.
§ 2 Gegenstand, Art und Zweck der Verarbeitung
(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der cloudbasierten Verwaltungssoftware „Parzellio", die dem Verantwortlichen als Kleingartenverein ermöglicht, Mitgliedsdaten, Pachtdaten, Verbrauchsdaten und Rechnungen digital zu erfassen, zu verwalten und auszuwerten.
(2) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen und umfasst folgende Verarbeitungsarten:
- Erheben und Erfassen von Daten über die Eingabefunktionen der Software;
- Speichern der Daten in einer verschlüsselten Clouddatenbank (Supabase);
- Strukturieren, Ordnen und Abfragen von Daten zum Zweck der Vereinsverwaltung;
- Verwenden und Auswerten zur Erstellung von Rechnungen, Zählerstandsauswertungen und Mitgliederübersichten;
- Übermitteln von Transaktions-E-Mails an Mitglieder über den E-Mail-Dienst Resend;
- Löschen und Vernichten von Daten nach Ablauf der vertraglich vereinbarten Aufbewahrungsfristen.
(3) Der Zweck der Verarbeitung ist die Unterstützung des Verantwortlichen bei der digitalen Verwaltung des Kleingartenvereins. Eine Verarbeitung zu anderen als den in diesem AVV und im Hauptvertrag genannten Zwecken ist dem Auftragsverarbeiter untersagt.
(4) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, sofern in § 8 dieses AVV nichts anderes geregelt ist.
§ 3 Dauer der Verarbeitung
(1) Die Laufzeit dieses AVV ist an die Laufzeit des Hauptvertrages geknüpft. Der AVV tritt mit Abschluss des Registrierungsprozesses in Kraft.
(2) Nach Beendigung des Hauptvertrages enden auch die auf Grundlage dieses AVV erbrachten Verarbeitungsleistungen. Die Regelungen über die Löschung und Rückgabe von Daten in § 11 dieses AVV bleiben unberührt.
§ 4 Art der personenbezogenen Daten und Kategorien betroffener Personen
4.1 Kategorien betroffener Personen
- Vereinsmitglieder des Kleingartenvereins (aktive und passive Mitglieder);
- Pächterinnen und Pächter von Kleingartenparzellen;
- Vorstandsmitglieder und sonstige Funktionsträger des Vereins.
4.2 Arten der verarbeiteten personenbezogenen Daten
- Stamm- und Identifikationsdaten: Vorname, Nachname, Geburtsdatum, Mitgliedsnummer;
- Kontaktdaten: Postanschrift, Telefonnummer, E-Mail-Adresse;
- Vertragsdaten: Parzellennummer, Parzellenbezeichnung, Beginn und Ende des Pachtverhältnisses, Pachtzins;
- Bankdaten und Zahlungsdaten: IBAN, BIC, Name des Kontoinhabers, SEPA-Lastschriftmandat;
- Verbrauchsdaten: Zählerstände für Strom und Wasser, Ablesedatum;
- Finanzbuchhaltungsdaten: Rechnungsnummer, Rechnungsbetrag, Zahlungsstatus;
- Protokolldaten: Zeitstempel von Dateneingaben, Nutzerkennungen;
- Audit-Protokolldaten: Administrator-E-Mail-Adresse, IP-Adresse, Aktionstyp, betroffene Ressource und Zeitstempel zur Erfüllung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.
4.3 Besondere Kategorien personenbezogener Daten
Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO ist nicht Gegenstand dieses AVV und durch den Verantwortlichen nicht in die Plattform einzupflegen.
§ 5 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
(2) Weisungen können erteilt werden durch schriftliche oder elektronische (E-Mail) Nachricht an info@parzellio.de, durch die bestimmungsgemäße Nutzung der Plattform sowie durch Änderungsvereinbarungen in Textform.
(3) Die Hauptvertragsleistungen (Betrieb der Software, Datensicherung, Systemwartung) gelten als vorab erteilte Weisungen des Verantwortlichen.
§ 6 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere zu:
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen;
- Vertraulichkeitsverpflichtung aller zur Datenverarbeitung befugten Personen;
- Implementierung technischer und organisatorischer Maßnahmen (TOMs) gemäß Art. 32 DSGVO, einschließlich der Verschlüsselung besonders sensibler Finanzdaten (IBAN, SEPA-Mandatsdaten) im Ruhezustand mittels AES-256-GCM;
- Beauftragung von Unterauftragsverarbeitern nur unter den Bedingungen des § 8;
- Unterstützung des Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO);
- Unterstützung bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO;
- Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO.
§ 7 Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung in seinem Verantwortungsbereich allein zuständig.
(2) Der Verantwortliche ist verpflichtet, den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmäßigkeiten zu informieren, Weisungen nur von befugten Personen erteilen zu lassen und das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO eigenverantwortlich zu führen.
§ 8 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Inanspruchnahme folgender Unterauftragsverarbeiter:
| Anbieter | Serverstandort | Zweck | Drittlandtransfer |
|---|---|---|---|
| Vercel Inc. | Frankfurt a. M., Deutschland (AWS eu-central-1) | Hosting und Infrastruktur | Nein (Daten in DE/EU); SCCs vorsorglich |
| Supabase Inc. | EU-Zentraleuropa (AWS eu-central-1) | Datenbankdienste, Authentifizierung, Speicherung | Nein (Daten in EU-Region); SCCs vorsorglich |
| Resend Inc. | EU / USA (Daten innerhalb EU konfiguriert) | Transaktionaler E-Mail-Versand | Möglich (US-Mutter); SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| United Domains AG | Deutschland | Domain-Registrierung, DNS-Verwaltung | Nein |
| Upstash Inc. | USA (EU-Redis-Cluster konfiguriert) | Temporäre Speicherung von IP-Adressen zur Missbrauchserkennung (Rate Limiting) | Möglich (US-Mutter); SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
(2) Bei beabsichtigtem Wechsel oder Hinzunahme weiterer Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen mindestens 14 Tage vorher. Der Verantwortliche kann innerhalb von 10 Kalendertagen schriftlich widersprechen.
§ 9 Meldepflichten bei Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach eigener Kenntnisnahme, per E-Mail.
(2) Die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde und die Benachrichtigungspflicht gegenüber den betroffenen Personen verbleiben beim Verantwortlichen.
§ 10 Kontrolle und Nachweispflicht
Der Verantwortliche kann sich von der Einhaltung der datenschutzrechtlichen Vorschriften durch Auskünfte, Vorlage von Zertifikaten oder nach rechtzeitiger Ankündigung (mindestens 10 Arbeitstage) durch Vor-Ort-Inspektionen überzeugen.
§ 11 Löschung und Rückgabe von Daten nach Vertragsbeendigung
(1) Nach Beendigung des Hauptvertrages ist der Auftragsverarbeiter verpflichtet, auf Weisung des Verantwortlichen alle personenbezogenen Daten vollständig zu löschen oder in einem maschinenlesbaren Format (JSON oder CSV) zur Verfügung zu stellen.
(2) Der Verantwortliche hat nach Beendigung eine Frist von 30 Kalendertagen. Innerhalb dieser Frist bleiben die Daten im Read-Only-Modus zugänglich. Nach Ablauf der Frist erfolgt die endgültige Löschung automatisch.
(3) Die erfolgte Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.
§ 12 Haftung
(1) Für die Haftung im Verhältnis der Parteien zueinander gelten die Haftungsregelungen der AGB, soweit dieser AVV keine abweichenden Regelungen enthält.
(2) Im Außenverhältnis gegenüber betroffenen Personen haften Verantwortlicher und Auftragsverarbeiter nach Maßgabe von Art. 82 DSGVO.
§ 13 Schlussbestimmungen
(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragsverarbeiters.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (E-Mail genügt).
(3) Sollte eine Bestimmung dieses AVV unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(4) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Angelegenheiten vor.