Kostenlos testen
Startseite

Auftragsverarbeitungsvertrag (AVV)

Stand: April 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") ergänzt den Nutzungsvertrag (AGB) zwischen dem Kunden (nachfolgend "Verantwortlicher") und

Manuel Hilgert, Birkenstr. 3, 85414 Kirchdorf an der Amper E-Mail: manuel@fs-sys.de

(nachfolgend "Auftragsverarbeiter")

für die Nutzung der SaaS-Plattform "Formsache".

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Plattform Formsache. Art, Umfang und Zweck der Verarbeitung ergeben sich aus dem Nutzungsvertrag (AGB) sowie den nachfolgenden Bestimmungen.

1.2 Dauer

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung des Nutzungsvertrags werden die Daten gemäß Ziffer 10 dieses AVV gelöscht.

2. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der:

  • Bereitstellung der Plattform Formsache als SaaS-Lösung
  • Speicherung und Verwaltung der vom Verantwortlichen erstellten Formulare
  • Entgegennahme, Speicherung und Bereitstellung von Formulareinreichungen
  • Verwaltung von Mitgliedsanträgen und Mitgliederdaten
  • SEPA-Mandatsverwaltung
  • Generierung und Speicherung von PDF-Dokumenten
  • Versand transaktionaler E-Mails (Login-Links, Benachrichtigungen)
  • Temporäre Bereitstellung von Download-Links

Die Verarbeitung umfasst folgende Tätigkeiten: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Ändern, Auslesen, Abfragen, Verwenden, Übermitteln, Verbreiten, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten.

3. Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:

  • Stammdaten: Vor- und Nachname, Anrede, Geburtsdatum
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer, Anschrift
  • Bankdaten: IBAN, BIC, Kontoinhaber (im Rahmen der SEPA-Mandatsverwaltung)
  • Organisationsdaten: Vereinszugehörigkeit, Abteilung, Mitgliedsnummer
  • Kommunikationsdaten: Nachrichteninhalte aus Formularen
  • Authentifizierungsdaten: E-Mail-Adresse, Session-Daten
  • Nutzungsdaten: Login-Zeitpunkte, Aktionsprotokolle
  • Dokumentendaten: Hochgeladene Dateien, generierte PDFs, digitale Unterschriften
  • Weitere Daten: Alle weiteren personenbezogenen Daten, die der Verantwortliche über individuell konfigurierte Formularfelder erhebt

4. Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

  • Mitglieder und Interessenten des Verantwortlichen (Vereins)
  • Formulareinreicher (Personen, die Formulare des Verantwortlichen ausfüllen)
  • Mitarbeiter und ehrenamtliche Helfer des Verantwortlichen
  • Ansprechpartner und Kontaktpersonen des Verantwortlichen

5. Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die Weisungen des Verantwortlichen sind in diesem AVV, den AGB und der Plattformkonfiguration dokumentiert. Darüber hinausgehende Weisungen sind per E-Mail an manuel@fs-sys.de zu richten.

5.2 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die aktuellen Maßnahmen sind als Anlage unter /toms dokumentiert und Bestandteil dieses AVV.

Der Auftragsverarbeiter überprüft und aktualisiert diese Maßnahmen regelmäßig und stellt sicher, dass sie dem Stand der Technik entsprechen. Eine Änderung der Maßnahmen ist zulässig, sofern das Schutzniveau nicht unterschritten wird.

5.4 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von:

  • Anfragen betroffener Personen (Art. 15-22 DSGVO)
  • Meldepflichten bei Datenschutzverletzungen (Art. 33, 34 DSGVO)
  • Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO)

Der Auftragsverarbeiter stellt dem Verantwortlichen hierzu die Export- und Löschfunktionen der Plattform bereit.

5.5 Meldepflicht bei Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich — in der Regel innerhalb von 24 Stunden — jede Verletzung des Schutzes personenbezogener Daten, die ihm bekannt wird. Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung
  • Die Kategorien und ungefähre Anzahl der betroffenen Personen
  • Die Kategorien und ungefähre Anzahl der betroffenen Datensätze
  • Eine Beschreibung der wahrscheinlichen Folgen
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

6. Unterauftragsverarbeitung

6.1 Genehmigung

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter). Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

6.2 Aktuelle Unterauftragsverarbeiter

Zum Stand dieses AVV werden folgende Unterauftragsverarbeiter eingesetzt:

Unterauftragsverarbeiter Zweck Standort
Hosting-Anbieter Server-Infrastruktur, Datenbank Deutschland
Stripe Payments Europe Ltd. Zahlungsabwicklung Irland / EU
E-Mail-Dienstleister Transaktionaler E-Mail-Versand Deutschland / EU
Anthropic (optional) KI-Formularanreicherung (nur Formularstrukturdaten, keine personenbezogenen Daten der Einreicher) USA

6.3 Pflichten bei Unterauftragsverarbeitung

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden, wie sie in diesem AVV festgelegt sind. Wenn ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nachkommt, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

7. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer (Länder außerhalb des EWR) findet grundsätzlich nicht statt. Sofern Unterauftragsverarbeiter in Drittländern eingesetzt werden (z. B. Anthropic, USA), erfolgt dies nur auf Basis angemessener Garantien gemäß Art. 46 DSGVO (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss) und beschränkt sich auf nicht-personenbezogene Strukturdaten.

8. Kontrollrechte des Verantwortlichen

8.1 Nachweispflicht

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

8.2 Inspektionen

Der Auftragsverarbeiter ermöglicht und trägt zu Überprüfungen — einschließlich Inspektionen — bei, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden. Inspektionen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und so durchzuführen, dass der Geschäftsbetrieb nicht unverhältnismäßig gestört wird.

8.3 Alternativnachweis

Der Auftragsverarbeiter kann den Nachweis der Einhaltung seiner Pflichten auch durch Vorlage aktueller Zertifizierungen, Audit-Berichte oder Testate unabhängiger Dritter erbringen.

9. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO in Verbindung mit den Haftungsregelungen der AGB.

10. Löschung und Rückgabe von Daten

10.1 Automatische Löschung

Formulardaten werden 60 Tage nach Einreichung automatisch gelöscht. Der Verantwortliche ist dafür verantwortlich, benötigte Daten innerhalb dieser Frist herunterzuladen.

10.2 Löschung bei Vertragsende

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten nach Ablauf der in den AGB genannten Übergangsfrist (30 Tage), sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird dem Verantwortlichen auf Anfrage bestätigt.

10.3 Datenexport

Der Auftragsverarbeiter stellt dem Verantwortlichen vor der Löschung die Möglichkeit zum Export der Daten in einem gängigen Format bereit (PDF, CSV).

11. Schlussbestimmungen

11.1 Vorrang

Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag (AGB) gehen die Regelungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.

11.2 Anwendbares Recht

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

11.3 Änderungen

Änderungen dieses AVV bedürfen der Textform. Der Auftragsverarbeiter wird den Verantwortlichen über wesentliche Änderungen mindestens 30 Tage im Voraus informieren.

11.4 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird hierdurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.