Auftragsverarbeitungsvertrag (gem. DSGVO)
Stand: 6. Juli 2026
Zum Zwecke der Bereitstellung der cloudbasierten Softwarelösung PressBuddy verarbeitet Lukas Junker, handelnd unter „Lukas Junker IT-Beratung“, Dietschweilerstraße 8a, 66882 Hütschenhausen, Deutschland (nachfolgend „Auftragnehmer“) personenbezogene Daten im Auftrag der Nutzer der Software (nachfolgend „Auftraggeber“).
Dieser Vertrag zur Auftragsverarbeitung (im Folgenden „AVV“) ist wesentlicher Bestandteil des Hauptvertrags über die Nutzung der Softwarelösung PressBuddy zwischen Auftraggeber und Auftragnehmer.
Präambel
P.1. Der vorliegende Auftragsverarbeitungsvertrag (kurz: „AVV“) konkretisiert für alle Verarbeitungen die Rechte und Pflichten der Parteien auf dem Gebiet des Datenschutzes, welche sich aus den zwischen den Parteien bereits oder künftig bestehenden rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnissen (kurz: „Hauptvertrag“) ergeben.
§ 1 Auftrag und Spezifika der Verarbeitung
1.1. Der AVV kommt mit all seinen Teilen zur Anwendung, sofern und soweit der Auftraggeber den Auftragnehmer zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO (kurz: „Daten“) verpflichtet hat.
1.2. Der AVV bildet den Rahmen für eine Vielzahl unterschiedlicher Vorgänge der Auftragsverarbeitung.
1.3. Bei etwaigen Widersprüchen gehen die Regelungen dieses AVV und all seiner Teile den Regelungen des zugehörigen Hauptvertrages vor.
1.4. Die für einzelne Verarbeitungen geltenden spezifischen datenschutzrechtlichen Festlegungen werden vor Beginn der Verarbeitung in Anlagen zum AVV geregelt.
1.5. Die AVA sind Teil des AVV. Bei etwaigen Widersprüchen gehen die Regelungen der AVA der allgemeineren Regelung im AVV vor. Wird im Folgenden oder in den AVA auf den AVV Bezug genommen, so ist der AVV mit allen seinen Teilen gemeint.
§ 2 Verantwortlichkeit und Verarbeitung auf Weisung
2.1. Der Auftraggeber ist im Rahmen dieses AVV für die Einhaltung der anwendbaren gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Offenlegung gegenüber dem Auftragnehmer sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich.
2.2. Der Auftragnehmer handelt ausschließlich weisungsgebunden, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a DSGVO vor (anderweitige gesetzliche Verarbeitungspflicht). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
2.3. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten oder schränkt deren Verarbeitung ein, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist.
2.4. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Vorschriften über den Datenschutz verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis diese vom Auftraggeber in Textform bestätigt oder abgeändert wurde. Die Ausführung offensichtlich datenschutzrechtswidriger Weisungen darf der Auftragnehmer jederzeit ablehnen.
2.5. Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der Daten befugten Personen die Weisungen des Auftraggebers kennen und diese beachten.
2.6. Der Auftragnehmer gewährleistet, dass alle zur Verarbeitung personenbezogener Daten befugten Personen vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der Tätigkeit fort.
§ 3 Sicherheit der Verarbeitung
3.1. Die Parteien vereinbaren TOM gemäß Art. 32 DSGVO zum angemessenen Schutz der Daten. Diese werden in der Anlage konkret aufgeführt.
3.2. Änderungen der vereinbarten TOM bleiben dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber in Textform mitzuteilen.
3.3. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten und soweit gesetzlich erforderlich bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, insbesondere im Zusammenhang mit der Sicherheit der Verarbeitung, Meldungen von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen sowie etwaigen Konsultationen mit Aufsichtsbehörden. Der Auftragnehmer ist berechtigt, hierfür einen angemessenen Aufwand gesondert zu berechnen, sofern die Unterstützung nicht durch einen Umstand erforderlich wird, den der Auftragnehmer zu vertreten hat.
§ 4 Unterrichtung bei Datenschutzverletzungen und Fehlern der Verarbeitung
4.1. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der ihm vom Auftraggeber offengelegten Daten im Sinne des Art. 4 Nr. 12 DSGVO in seinem Organisationsbereich bekannt werden oder ein konkreter Verdacht einer solchen Datenschutzverletzung beim Auftragnehmer besteht.
4.2. Stellt der Auftraggeber Fehler bei der Verarbeitung fest, hat er den Auftragnehmer unverzüglich hierüber zu unterrichten.
4.3. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Behebung der Datenschutzverletzung gemäß § 4.1 oder der Fehler gemäß § 4.2 sowie zur Minderung möglicher nachteiliger Folgen, insbesondere für die betroffenen Personen. Hierüber stimmt er sich mit dem Auftraggeber ab. Mündliche Unterrichtungen gemäß § 4.1 oder § 4.2 sind unverzüglich in Textform nachzureichen.
§ 5 Übermittlung von Daten an einen Empfänger in einem Drittland
5.1. Die Übermittlung von Daten an einen Empfänger in einem Drittland außerhalb von EU und EWR ist unter den in Art. 44 ff. DSGVO geschriebenen Bedingungen zulässig. Einzelheiten werden in einem oder mehreren AVA geregelt.
5.2. Soweit erforderlich, werden geeignete Transfermechanismen, insbesondere EU-Standardvertragsklauseln, sowie ergänzende technische und organisatorische Maßnahmen berücksichtigt. Einzelheiten werden in den jeweiligen Anlagen (AVA) geregelt.
§ 6 Unterbeauftragung weiterer Auftragsverarbeiter
6.1. Der Auftragnehmer darf die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter erbringen lassen. Die jeweils eingesetzten Unterauftragnehmer ergeben sich aus der aktuellen Subprozessorenliste unter pressbuddy.de/subprozessoren sowie aus Anlage 2 dieses AVV.
6.2. Der Auftragnehmer informiert den Auftraggeber in Textform rechtzeitig vorab über die Beauftragung von Unterauftragnehmern oder Änderungen in der Unterbeauftragung. Der Auftraggeber kann bei Vorliegen eines wichtigen Grundes der Unterbeauftragung innerhalb von vier Wochen nach Kenntnisnahme in Textform widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn ein begründeter Anlass zu Zweifeln besteht, dass der Unterauftragnehmer die vereinbarte Leistung entsprechend den anwendbaren gesetzlichen Bestimmungen zum Datenschutz oder gemäß dieser AVV erbringt.
6.3. Der Auftragnehmer wird mit dem Unterauftragnehmer die in diesem AVV getroffenen Regelungen inhaltsgleich vereinbaren. Insbesondere müssen die mit dem Unterauftragnehmer zu vereinbarenden technischen und organisatorischen Maßnahmen mindestens dasselbe Schutzniveau aufweisen.
6.4. Keine Unterbeauftragungen im Sinne dieser Regelung sind Leistungen, die der Auftragnehmer als reine Nebenleistung zur Unterstützung seiner geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes der Daten auch für solche Nebenleistungen angemessene Vorkehrungen zu ergreifen.
6.5. In dringenden Fällen, insbesondere zur Abwehr erheblicher Sicherheitsrisiken, zur Aufrechterhaltung des Betriebs oder bei Ausfall eines bestehenden Unterauftragnehmers, darf der Auftragnehmer ausnahmsweise ohne vorherige Einhaltung der Informationsfrist einen Unterauftragnehmer hinzuziehen oder ersetzen. Der Auftraggeber wird hierüber unverzüglich in Textform informiert. Das Widerspruchsrecht des Auftraggebers bleibt unberührt.
§ 7 Rechte betroffener Personen und Unterstützung des Auftraggebers
7.1. Macht eine betroffene Person Ansprüche gemäß Kapitel III der DSGVO bei einer der Parteien geltend, so informiert sie die jeweils andere Partei darüber unverzüglich. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Bearbeitung solcher Anträge sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
7.2. Für datenschutzbezogene Anfragen, Weisungen, Betroffenenersuchen und Meldungen zu Datenschutzvorfällen stellt der Auftragnehmer eine geeignete Kontaktstelle zur Verfügung.
§ 8 Kontroll- und Informationsrechte des Auftraggebers
8.1. Der Auftragnehmer weist dem Auftraggeber die Einhaltung seiner Pflichten mit geeigneten Mitteln nach. Der Auftraggeber überprüft die Geeignetheit.
8.2. Für die Überprüfung der Einhaltung der vereinbarten Schutzmaßnahmen nach § 8.1 und deren geprüfter Wirksamkeit kann der Auftragnehmer auf angemessene Zertifizierungen oder andere geeignete Prüfungsnachweise verweisen. Angemessen sind insbesondere Zertifizierungen nach Art. 40 DSGVO oder Nachweise nach Art. 42 DSGVO. Daneben kommen unter anderem in Betracht: eine Zertifizierung nach ISO 27001 oder ISO 27017, eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz oder eine Zertifizierung nach anerkannten und geeigneten Standards. Die Zertifizierungs- und Prüfungsverfahren sind von einem anerkannten unabhängigen Dritten durchzuführen. Der Auftragnehmer hat seine Zertifikate oder Prüfungsnachweise zur Verfügung zu stellen. Des Weiteren können andere geeignete Mittel (z. B. Tätigkeitsberichte des Datenschutzbeauftragten oder Auszüge aus Berichten der Wirtschaftsprüfer) zum Nachweis der Einhaltung der vereinbarten Schutzmaßnahmen dem Auftraggeber zur Verfügung gestellt werden. Das Inspektionsrecht des Auftraggebers aus § 8.3 bleibt hiervon unberührt.
8.3. Der Auftraggeber ist berechtigt, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, regelmäßig nach vorheriger Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit, Inspektionen beim Auftragnehmer zur Prüfung der Einhaltung der datenschutzrechtlichen Bestimmungen durchzuführen. Der Auftragnehmer darf die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der von ihm getroffenen technischen und organisatorischen Maßnahmen abhängig machen.
8.4. Zur Behebung der bei einer Inspektion getroffenen Feststellungen stimmen die Parteien umzusetzende Maßnahmen ab.
8.5. Macht eine Aufsichtsbehörde von Befugnissen nach Art. 58 DSGVO Gebrauch, so informieren sich die Parteien hierüber unverzüglich. Sie unterstützen sich in ihrem jeweiligen Verantwortungsbereich bei Erfüllung der gegenüber der jeweiligen Aufsichtsbehörde bestehenden Verpflichtungen.
§ 9 Haftung und Schadenersatz
9.1. Macht eine betroffene Person gegenüber einer Partei Schadenersatzansprüche wegen Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so hat die beanspruchte Partei die andere Partei hierüber unverzüglich zu informieren.
9.2. Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
9.3. Die Parteien unterstützen sich wechselseitig bei der Abwehr von Schadenersatzansprüchen betroffener Personen, es sei denn, dies würde die Rechtsposition der einen Partei im Verhältnis zur anderen Partei oder zur Aufsichtsbehörde gefährden.
§ 10 Laufzeit
10.1. Der AVV wird auf unbestimmte Zeit geschlossen. Die Laufzeit einer AVA wird in der AVA selbst geregelt; ohne eine solche Regelung entspricht die Laufzeit einer AVA derjenigen des AVV.
10.2. Der AVV kann mit einer Frist von drei Monaten zum Quartalsende gekündigt werden, wenn gleichzeitig oder zuvor alle AVA beendet wurden.
10.3. Eine AVA endet mit Beendigung des zugehörigen Hauptvertrags, ohne dass es einer gesonderten Kündigung dieser AVA bedarf. Der Auftragnehmer hat in diesem Fall nach Wahl des Auftraggebers unverzüglich die nach der AVA verarbeiteten Daten herauszugeben oder datenschutzkonform zu löschen und dies dem Auftraggeber in Textform (z. B. durch ein Löschprotokoll) zu bestätigen. Sofern der Auftragnehmer eine eigene gesetzliche Pflicht zur Speicherung dieser Daten hat, hat er dies dem Auftraggeber in Textform anzuzeigen.
§ 11 Schlussbestimmungen
11.1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber in Textform zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich in Textform darüber informieren, dass die Verantwortung für die Daten ausschließlich beim Auftraggeber liegt.
11.2. Mündliche Nebenabreden wurden nicht getroffen. Änderungen und Ergänzungen des AVV bedürfen zu ihrer Wirksamkeit der Textform und der ausdrücklichen Bezugnahme auf die AVV. Abweichende mündliche Abreden der Parteien sind unwirksam. Dies gilt auch für Änderungen dieser Klausel.
11.3. Sollte auch nur eine Bestimmung dieser Vereinbarung ganz oder teilweise rechtsunwirksam oder nichtig sein oder werden, bleibt dieser AVV im Übrigen gleichwohl aufrechterhalten und gültig. An Stelle der rechtsunwirksamen oder nichtigen Bestimmung gilt das Gesetz, sofern die hierdurch entstandene Lücke nicht durch ergänzende Vertragsauslegung gemäß §§ 133, 157 BGB geschlossen werden kann. Beide Parteien sind jedoch insoweit verpflichtet, unverzüglich eine rechtswirksame und datenschutzkonforme Vertragsergänzung abzustimmen und zu erstellen.
11.4. Es gilt deutsches Recht.
Anlage 1: Formblatt (AVA 1)
Die Parteien treffen zum Vertrag über die Auftragsverarbeitung (nachfolgend „AVV“) mit dieser AVA 1 ergänzend für die Erbringung von Leistungen durch den Auftragnehmer für den Auftraggeber folgende Festlegungen:
1. Gegenstand der Verarbeitung (des Auftrags)
1.1. Gegenstand des Auftrags ist die Bereitstellung und der Betrieb einer cloudbasierten Softwarelösung (SaaS) zur Erstellung, Bearbeitung, Speicherung und Veröffentlichung von Kommunikations- und Presseinhalten für Organisationen (z. B. Sportvereine und Verbände). Dies umfasst insbesondere die Verwaltung von Nutzern und Rollen, die Erstellung und Bearbeitung von Inhalten, die Planung und Terminierung von Veröffentlichungen sowie die Speicherung der im System verarbeiteten Inhalte einschließlich Mediendateien (z. B. Bilder).
1.2. Die Software kann Funktionen zur KI-gestützten Generierung von Textinhalten bereitstellen sowie optional Schnittstellen zu externen Plattformen (z. B. Social-Media-Diensten) enthalten, über die Inhalte veröffentlicht oder übertragen werden können. Eine Nutzung der Daten des Auftraggebers zum Training von KI-Modellen des Auftragnehmers oder Dritter erfolgt nicht, sofern der Auftraggeber hierzu keine vorherige ausdrückliche Weisung in Textform erteilt hat.
1.3. Soweit der Auftraggeber Support-, Einrichtungs- oder Wartungsleistungen anfordert, kann der Auftragnehmer im erforderlichen Umfang Zugriff auf die im System verarbeiteten Daten erhalten. Ein solcher Zugriff erfolgt ausschließlich weisungsgebunden, anlassbezogen und nur, soweit dies zur Fehleranalyse, Fehlerbehebung oder technischen Unterstützung erforderlich ist. Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragnehmers findet nicht statt.
2. Dauer des Auftrags
2.1. Die Dauer des Auftrags ergibt sich aus dem schriftlichen Hauptvertrag.
3. Zweck der Verarbeitung
3.1. Die Tätigkeit des Auftragnehmers dient folgenden vereinbarten Zwecken: Erstellung, Bearbeitung, Speicherung und Veröffentlichung von Kommunikations- und Presseinhalten durch den Auftraggeber unter Nutzung der bereitgestellten Softwarelösung (SaaS). Dies umfasst die Verwaltung von Nutzern und Rollen, interne Abstimmungen zwischen Nutzern, die Planung und Terminierung von Veröffentlichungen (z. B. Redaktionsplanung) sowie optional die KI-gestützte Generierung von Textinhalten.
4. Datenarten / -kategorien
4.1. Im Rahmen der Nutzung der Plattform können – abhängig vom konkreten Einsatz durch den Auftraggeber – insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:
- Stammdaten: z. B. Namen, Organisationszugehörigkeit sowie Funktions- oder Rollenbezeichnungen.
- Kontaktdaten: z. B. E-Mail-Adressen.
- Nutzungs- und Zugriffsdaten: z. B. Benutzerkonten, Nutzerkennungen, Rollen- und Berechtigungsinformationen sowie Login-Zeitpunkte.
- Inhalts- und Beitragsdaten: durch den Auftraggeber erstellte oder veröffentlichte Inhalte, insbesondere Texte, Presseberichte sowie Bild-, Video- und Audiodaten.
- Kommunikations- und Abstimmungsdaten: Daten, die im Rahmen der Nutzung der Plattform zwischen berechtigten Nutzern ausgetauscht oder verarbeitet werden.
- System- und technische Daten: technische Protokolldaten, die im Rahmen des Betriebs der Plattform zur Gewährleistung von Sicherheit und Stabilität verarbeitet werden (z. B. IP-Adressen, Login-Zeitpunkte, Systemprotokolle).
5. Kreis der Betroffenen
5.1. Je nach Einsatz der Plattform durch den Auftraggeber können insbesondere folgende Kategorien betroffener Personen von der Verarbeitung umfasst sein:
- Interne Nutzer der Plattform: z. B. Beschäftigte, freie Mitarbeiter, externe Berater oder sonstige berechtigte Personen, die Inhalte verwalten oder Systemfunktionen nutzen.
- Externe Kontaktpersonen: z. B. Kunden, Interessenten, Geschäftspartner oder Sponsoren, mit denen der Auftraggeber im Rahmen seiner Tätigkeit kommuniziert.
- Personen in Inhalten: Personen, deren Daten in den durch den Auftraggeber erstellten oder veröffentlichten Kommunikations- und Presseinhalten enthalten sind (z. B. in Texten, Bildern oder sonstigen Medien).
- Weitere berechtigte Nutzer: Personen, denen durch den Auftraggeber Zugriff auf die Plattform oder einzelne Funktionen eingeräumt wird.
6. Unterauftragnehmer
6.1. Der Auftragnehmer setzt zur Erbringung der vertraglichen Leistungen Unterauftragnehmer ein. Die jeweils eingesetzten Unterauftragnehmer ergeben sich aus der aktuellen Subprozessorenliste unter pressbuddy.de/subprozessoren und sind in Anlage 2 aufgeführt. Änderungen in Bezug auf Unterauftragnehmer werden dem Auftraggeber gemäß den Regelungen des AVV mitgeteilt.
7. Offenlegung von Daten an Empfänger in Drittländern
7.1. Eine Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, insbesondere über die eingesetzten Unterauftragnehmer. Eine Übermittlung von Daten in Drittländer (z. B. im Rahmen der Nutzung einzelner Unterauftragnehmer oder bei Supportleistungen) kann im Einzelfall nicht vollständig ausgeschlossen werden. In diesen Fällen erfolgt die Verarbeitung ausschließlich unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO. Es werden geeignete Garantien eingesetzt, insbesondere EU-Standardvertragsklauseln sowie – soweit erforderlich – ergänzende technische und organisatorische Maßnahmen. Zugriffe auf personenbezogene Daten erfolgen ausschließlich durch autorisierte Personen und unter Einsatz gesicherter Verbindungen.
8. Datenschutzkontakt des Auftragnehmers
8.1. Für datenschutzbezogene Anfragen steht folgende Kontaktstelle zur Verfügung: datenschutz@pressbuddy.de
Anlage 2: Liste der beauftragten Unterauftragnehmer
Die aktuelle Liste der Unterauftragnehmer einschließlich der Verarbeitungsstandorte ist jederzeit unter pressbuddy.de/subprozessoren abrufbar. Zum Stand dieses AVV sind dies:
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland — Bereitstellung von Hosting-Infrastruktur innerhalb der Google Cloud Platform (GCP), einschließlich Datenbanken, Datenspeicherung, Authentifizierung (Firebase) sowie KI-Dienste. Verarbeitungsstandort: Europäische Union (insbesondere Niederlande); eine Übermittlung von Daten in die USA kann nicht vollständig ausgeschlossen werden. Rechtsgrundlage: EU-Standardvertragsklauseln (SCCs) und EU-US Data Privacy Framework. Anbieterinformationen
- Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — Versand von E-Mails, insbesondere zur Verifikation von Nutzerkonten sowie für systemseitige Benachrichtigungen. Verarbeitungsstandort: USA (Drittlandübermittlung). Rechtsgrundlage: EU-Standardvertragsklauseln (SCCs). Anbieterinformationen
Anlage 3: Technische und organisatorische Maßnahmen des Auftragnehmers (TOMs)
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i. S. d. Art. 32 DSGVO. Die Maßnahmen orientieren sich am Stand der Technik, den Implementierungskosten sowie der Art, dem Umfang und den Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen.
1. Vertraulichkeit
1.1 Zutrittskontrolle
Die Verarbeitung personenbezogener Daten erfolgt primär in den Rechenzentren der eingesetzten Unterauftragnehmer (insbesondere Google Cloud Platform). Diese Rechenzentren unterliegen umfangreichen physischen Sicherheitsmaßnahmen, darunter Zutrittskontrollen, Videoüberwachung, Sicherheitsdienste sowie weitere Schutzmaßnahmen, die durch den jeweiligen Anbieter umgesetzt werden. Ein physischer Zugriff auf Server durch den Auftragnehmer erfolgt nicht.
Der Zugriff auf Systeme durch den Auftragnehmer erfolgt ausschließlich über digitale Endgeräte (z. B. Laptop). Diese Endgeräte werden in nicht öffentlich zugänglichen Räumlichkeiten (z. B. private Arbeitsräume oder Büroflächen) genutzt und sind durch geeignete Maßnahmen gegen unbefugten Zugriff geschützt (z. B. Gerätesperre, Passwortschutz). Eine klassische Besucherregelung besteht nicht, da keine öffentlich zugänglichen Geschäftsräume betrieben werden. Der Zutritt zu den Arbeitsgeräten ist ausschließlich dem Auftragnehmer sowie autorisierten Personen gestattet.
1.2 Zugangskontrolle
Der Zugang zu IT-Systemen erfolgt ausschließlich über personalisierte Benutzerkonten. Die Vergabe und Verwaltung von Zugriffsrechten erfolgt über etablierte Authentifizierungs- und Berechtigungssysteme, insbesondere Google Identity and Access Management (IAM) sowie Firebase Authentication. Die Vergabe von Berechtigungen erfolgt nach dem Prinzip der minimalen Rechtevergabe („Least Privilege“).
Die Anzahl der Personen mit administrativen Zugriffen ist auf ein Minimum beschränkt. Für administrative Zugriffe werden zusätzliche Sicherheitsmechanismen eingesetzt, insbesondere Verfahren zur Mehrfaktorauthentifizierung (z. B. Zwei-Faktor-Authentifizierung). Passwortrichtlinien werden durch die eingesetzten Systeme (z. B. Firebase Authentication) technisch vorgegeben und durchgesetzt.
Mobile IT-Systeme (z. B. Laptops) sind durch Betriebssystemmechanismen geschützt (z. B. Passwortschutz, Gerätesperre). Der Schutz vor Viren und Schadsoftware erfolgt durch aktuelle Betriebssysteme, regelmäßige Updates sowie die Sicherheitsmechanismen der eingesetzten Cloud-Infrastruktur.
1.3 Zugriffskontrolle
Der Zugriff auf personenbezogene Daten ist ausschließlich autorisierten Personen möglich. Innerhalb der Software bestehen rollenbasierte Berechtigungskonzepte. Nutzer können je nach zugewiesener Rolle unterschiedliche Berechtigungen erhalten (z. B. Administratoren mit erweiterten Rechten sowie Standardnutzer mit eingeschränkten Zugriffsmöglichkeiten). Der Zugriff ist auf die jeweils zugeordneten Datenbereiche beschränkt.
Beim Ausscheiden von Personen oder bei Änderung von Zuständigkeiten werden Zugriffsrechte unverzüglich entzogen. Die Anzahl der Administratoren ist auf das notwendige Minimum beschränkt. Zugriffe auf Systeme und Daten werden durch die eingesetzten Plattformen protokolliert und sind nachvollziehbar.
Eine physische Vernichtung von Datenträgern erfolgt nicht, da keine lokalen Datenträger zur Speicherung personenbezogener Daten eingesetzt werden. Papierunterlagen mit personenbezogenen Daten werden grundsätzlich nicht verarbeitet; im Ausnahmefall werden diese datenschutzkonform vernichtet (z. B. durch Schreddern).
1.4 Trennung
Daten werden mandantengetrennt verarbeitet. Es wird sichergestellt, dass Daten verschiedener Kunden logisch voneinander getrennt sind und ein Zugriff auf fremde Daten ausgeschlossen ist. Test- und Produktivsysteme sind logisch voneinander getrennt.
1.5 Pseudonymisierung und Verschlüsselung
Personenbezogene Daten werden sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt. Die Datenübertragung erfolgt über TLS-verschlüsselte Verbindungen. Die Speicherung erfolgt unter Einsatz von AES-256-Verschlüsselung innerhalb der Cloud-Infrastruktur. Eine Pseudonymisierung erfolgt, soweit dies im Einzelfall technisch möglich und für den Verarbeitungszweck geeignet ist.
1.6 Verfügbarkeitskontrolle
Die Verfügbarkeit der Daten wird durch die eingesetzte Cloud-Infrastruktur sichergestellt. Es werden regelmäßige Backups durchgeführt, die in europäischen Rechenzentren gespeichert werden. Die Wiederherstellbarkeit der Daten ist durch die Backup-Mechanismen gewährleistet.
1.7 Weitergabekontrolle
Eine Weitergabe personenbezogener Daten erfolgt ausschließlich im Rahmen der vertraglichen Vereinbarungen sowie an eingesetzte Unterauftragnehmer. Die Übertragung von Daten erfolgt ausschließlich verschlüsselt.
1.8 Eingabekontrolle
Die Eingabe, Änderung und Löschung von Daten erfolgt durch die Nutzer innerhalb der Software. Die vorgenommenen Änderungen können systemseitig nachvollzogen werden.
1.9 Auftragskontrolle
Die Verarbeitung erfolgt ausschließlich auf Grundlage der Weisungen des Auftraggebers. Es wird sichergestellt, dass Daten nicht unbefugt oder zu anderen als den vereinbarten Zwecken verarbeitet werden. Alle eingesetzten Unterauftragnehmer sind vertraglich zur Einhaltung der Datenschutzanforderungen verpflichtet.
2. Integrität
2.1 Eingabekontrolle
Es wird durch systemseitige Protokollierung sichergestellt, dass nachvollzogen werden kann, welcher Nutzer zu welchem Zeitpunkt personenbezogene Daten eingegeben, verändert oder gelöscht hat. Die Protokollierung umfasst insbesondere technische Metadaten wie Zeitpunkte von Zugriffen sowie gerätebezogene Informationen (z. B. IP-Adresse und User-Agent).
Die Speicherung der Protokolldaten erfolgt für einen Zeitraum von in der Regel bis zu 30 Tagen und dient ausschließlich der Sicherstellung des Systembetriebs, der Fehleranalyse sowie der IT-Sicherheit. Der Zugriff auf Protokolldaten ist auf einen kleinen, autorisierten und zur Vertraulichkeit verpflichteten Personenkreis beschränkt.
2.2 Weitergabekontrolle
Die Übertragung personenbezogener Daten zwischen Auftraggeber und Auftragnehmer erfolgt ausschließlich über gesicherte, TLS-verschlüsselte Verbindungen. Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich im Rahmen der vertraglich vereinbarten Auftragsverarbeitung sowie an eingesetzte Unterauftragnehmer (insbesondere Google Cloud und Resend).
Nach Beendigung des Auftragsverhältnisses werden personenbezogene Daten des Auftraggebers gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Backups werden innerhalb eines Zeitraums von bis zu 30 Tagen überschrieben.
3. Verfügbarkeit und Belastbarkeit
Die Verarbeitung personenbezogener Daten erfolgt innerhalb der Infrastruktur der eingesetzten Unterauftragnehmer, insbesondere der Google Cloud Platform (GCP). Die physische Verfügbarkeit und Belastbarkeit der Serversysteme wird durch den Cloud-Anbieter sichergestellt (u. a. unterbrechungsfreie Stromversorgung, redundante Stromversorgungssysteme, klimatisierte Serverräume sowie Feuer- und Rauchmeldeanlagen).
Datensicherungen (Backups) werden regelmäßig erstellt und in Rechenzentren innerhalb der Europäischen Union (insbesondere in den Regionen Frankfurt und Amsterdam) gespeichert. Die Datensicherungen sind durch die Sicherheitsmechanismen der Cloud-Infrastruktur geschützt und verschlüsselt. Im Falle eines Systemausfalls wird die Wiederherstellung der Daten über die vorhandenen Backup- und Redundanzmechanismen sichergestellt.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Der Auftragnehmer trägt Verantwortung für die Einhaltung der datenschutzrechtlichen Anforderungen und berücksichtigt diese bei der Entwicklung und dem Betrieb der Softwarelösung. Alle mit der Verarbeitung personenbezogener Daten betrauten Personen sind zur Vertraulichkeit verpflichtet.
Die Umsetzung von Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) erfolgt insbesondere durch:
- datensparsame Gestaltung der Systeme,
- Beschränkung von Zugriffen auf notwendige Daten,
- Einsatz sicherer Authentifizierungsverfahren,
- Vermeidung unnötiger Datenspeicherung.
Datenschutzverletzungen werden durch die eingesetzten Systeme sowie durch organisatorische Maßnahmen erkannt. Im Falle einer festgestellten Verletzung erfolgt eine unverzügliche Bewertung und – soweit erforderlich – Meldung an den Auftraggeber. Anfragen von betroffenen Personen werden unverzüglich bearbeitet und im Rahmen der gesetzlichen Fristen beantwortet. Ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO wird geführt.