Auftragsverarbeitungsvertrag

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Vertrag über die Verarbeitung personenbezogener Daten im Auftrag
im Rahmen der Nutzung der SaaS-Plattform Florivio (app.florivio.de)

Vertragsparteien

Auftraggeber (Verantwortlicher gem. Art. 4 Nr. 7 DSGVO):

Der jeweilige Nutzer (Verein / Feuerwehr / Organisation), der einen Tenant-Account auf der Plattform Florivio erstellt und die Plattform zur Vereinsverwaltung nutzt.

Nachfolgend „Auftraggeber“ genannt.

Auftragnehmer (Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO):

FloriCore Software UG (haftungsbeschränkt)
An der Brettig 7, 91330 Eggolsheim
Geschäftsführer: Tobias Kißmer
E-Mail: [email protected]
– Anbieter der SaaS-Plattform Florivio –

Nachfolgend „Auftragnehmer“ genannt.

Auftraggeber und Auftragnehmer werden nachfolgend einzeln auch als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

§ 1 – Gegenstand und Dauer der Verarbeitung

Gegenstand dieses Auftragsverarbeitungsvertrags (nachfolgend „AVV“) ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform Florivio (erreichbar unter app.florivio.de sowie den jeweiligen Tenant-Subdomains *.app.florivio.de).
Die Einzelheiten der Verarbeitung, insbesondere Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen, ergeben sich aus Anlage 1 zu diesem Vertrag.
Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des zwischen den Parteien geschlossenen Nutzungsvertrags (Hauptvertrag). Dieser AVV endet automatisch mit Beendigung des Hauptvertrags, sofern sich aus den nachfolgenden Regelungen nichts anderes ergibt.
Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR) sowie in Drittländern, für die ein Angemessenheitsbeschluss oder geeignete Garantien gem. Art. 46 DSGVO vorliegen (vgl. § 8 und Anlage 3).

§ 2 – Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers gem. Art. 28 Abs. 3 lit. a DSGVO, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Weisungen werden grundsätzlich über die Konfigurationsmöglichkeiten der Plattform (Mandantenverwaltung, Modul-Aktivierung, Berechtigungsvergabe) erteilt. Darüber hinausgehende Weisungen bedürfen der Textform (E-Mail genügt).
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
Der Auftragnehmer dokumentiert sämtliche Weisungen des Auftraggebers. Die Dokumentation in der Plattform (Audit-Log, Konfigurationshistorie) gilt als ausreichende Dokumentation im Sinne dieser Vorschrift.

§ 3 – Pflichten des Auftragnehmers

Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 2 (TOM) beschrieben. Der Auftragnehmer ist berechtigt, die Maßnahmen während der Vertragslaufzeit an den technischen Fortschritt anzupassen, sofern das Schutzniveau nicht unterschritten wird.
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten nach Art. 12–22 DSGVO (Betroffenenrechte) sowie Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung, vorherige Konsultation).
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 33 und Art. 34 DSGVO genannten Pflichten (Meldung von Verletzungen des Schutzes personenbezogener Daten). Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten. Die Benachrichtigung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen.
Der Auftragnehmer löscht nach Beendigung der Auftragsverarbeitung sämtliche personenbezogenen Daten des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Die Löschung erfolgt spätestens innerhalb von 30 Tagen nach Vertragsende. Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format (CSV) zur Verfügung gestellt. Die Löschung wird dem Auftraggeber schriftlich bestätigt.
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen – einschließlich Inspektionen – bei, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).

§ 4 – Pflichten des Auftraggebers

Der Auftraggeber ist im Rahmen dieses Vertrags für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich (Art. 24 DSGVO).
Der Auftraggeber erteilt dem Auftragnehmer die Weisungen zur Datenverarbeitung. Er ist dafür verantwortlich, dass die Weisungen den geltenden Datenschutzvorschriften entsprechen.
Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellt.
Der Auftraggeber stellt sicher, dass er über eine gültige Rechtsgrundlage für die Verarbeitung der in die Plattform eingegebenen personenbezogenen Daten verfügt. Insbesondere trägt der Auftraggeber die Verantwortung für die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z. B. Gesundheitsdaten aus ärztlichen Untersuchungen).
Der Auftraggeber benennt dem Auftragnehmer einen Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen. Dieser ist grundsätzlich der Tenant-Administrator.

§ 5 – Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
Wendet sich eine betroffene Person mit einem Antrag nach Art. 15–22 DSGVO unmittelbar an den Auftragnehmer, leitet der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiter.
Die Plattform stellt dem Auftraggeber folgende technische Funktionen zur Erfüllung von Betroffenenrechten zur Verfügung:
1. Auskunft (Art. 15): Export aller personenbezogenen Daten einer Person im CSV-Format über die Exportfunktion des Mitglieder-Moduls.
2. Berichtigung (Art. 16): Direkte Bearbeitung aller Stamm- und Mitgliedschaftsdaten über die Mitgliederverwaltung.
3. Löschung (Art. 17): Löschfunktion für Personendatensätze, wobei referenzielle Integrität und gesetzliche Aufbewahrungspflichten beachtet werden.
4. Datenübertragbarkeit (Art. 20): CSV-Export in maschinenlesbarem Format.

§ 6 – Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftraggeber kündigt Überprüfungen mit einer angemessenen Frist von mindestens 14 Kalendertagen an.
Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer legt dem Auftraggeber auf Anfrage die erforderlichen Auskünfte und Nachweise vor.
Der Nachweis der Einhaltung der Pflichten kann auch durch Vorlage eines aktuellen Testats, eines Berichts oder Berichtsauszugs einer unabhängigen Stelle (z. B. Wirtschaftsprüfer, Datenschutzauditor, IT-Sicherheitszertifizierung) oder einer geeigneten Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit erbracht werden.
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage Einsicht in das Audit-Log der Plattform zur Verfügung, soweit dieses den jeweiligen Tenant des Auftraggebers betrifft.
Der Auftragnehmer stellt sicher, dass die vertraglichen Vereinbarungen mit den Unterauftragsverarbeitern dem Auftraggeber auf Anfrage entsprechende Kontrollmöglichkeiten einräumen oder der Auftragnehmer die Kontrolle für den Auftraggeber durchführt und die Ergebnisse auf Anfrage mitteilt.

§ 7 – Unterauftragsverarbeitung

Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine schriftliche Genehmigung gem. Art. 28 Abs. 2 DSGVO zur Hinzuziehung von Unterauftragsverarbeitern (Sub-Prozessoren). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mit einer Frist von mindestens 30 Kalendertagen vor der beabsichtigten Änderung. Die Information erfolgt per E-Mail an den Tenant-Administrator.
Der Auftraggeber kann der Änderung innerhalb von 14 Kalendertagen nach Zugang der Information aus wichtigem datenschutzrechtlichem Grund widersprechen. Der Widerspruch bedarf der Textform und ist zu begründen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Genehmigung als erteilt.
Im Falle eines berechtigten Widerspruchs ist der Auftragnehmer berechtigt, den Hauptvertrag mit einer Frist von 3 Monaten zum Monatsende außerordentlich zu kündigen, sofern keine zumutbare Alternative zur Verfügung steht.
Der Auftragnehmer gewährleistet vertraglich, dass die mit den Unterauftragsverarbeitern vereinbarten Regelungen den Anforderungen dieses AVV entsprechen. Der Auftragnehmer trägt insbesondere dafür Sorge, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden, wie sie in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).
Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch die Unterauftragsverarbeiter wie für eigenes Handeln.

§ 8 – Datenübermittlung in Drittländer

Eine Verarbeitung personenbezogener Daten in einem Drittland (außerhalb des EU/EWR) erfolgt nur, sofern die besonderen Voraussetzungen der Art. 44–49 DSGVO erfüllt sind.
Soweit Unterauftragsverarbeiter in Drittländern eingesetzt werden, stellt der Auftragnehmer sicher, dass eine der folgenden Garantien vorliegt:
1. Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO;
2. EU-US Data Privacy Framework (DPF) gem. Durchführungsbeschluss (EU) 2023/1795 der Kommission;
3. Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO; oder
4. verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) gem. Art. 47 DSGVO.
Die zum Zeitpunkt des Vertragsschlusses eingesetzten Drittland-Transfers und die jeweils anwendbaren Garantien sind in Anlage 3 dokumentiert.
Der Auftragnehmer stellt sicher, dass bei der KI-gestützten Spalten-Erkennung (Google Vertex AI, Region europe-west1 Belgien) keine personenbezogenen Daten, sondern ausschließlich Metadaten (Spaltenüberschriften) verarbeitet werden. Es handelt sich daher nicht um eine Auftragsverarbeitung personenbezogener Daten im Sinne der DSGVO.

§ 9 – Vertraulichkeit

Der Auftragnehmer gewährleistet, dass sämtliche Personen, die mit der Verarbeitung personenbezogener Daten des Auftraggebers befasst sind, zur Vertraulichkeit verpflichtet wurden und über die sich aus diesem AVV sowie aus den datenschutzrechtlichen Vorschriften ergebenden Pflichten belehrt worden sind.
Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

§ 10 – Meldung von Datenschutzverstößen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO, die Daten des Auftraggebers betrifft.
Die Meldung enthält mindestens:
1. eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datensätze;
2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
4. eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung.
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.

§ 11 – Datenschutzbeauftragter

Der Auftragnehmer benennt, sofern gesetzlich erforderlich, einen Datenschutzbeauftragten gem. Art. 37 DSGVO. Die aktuellen Kontaktdaten des Datenschutzbeauftragten sind auf der Webseite des Auftragnehmers veröffentlicht und werden dem Auftraggeber auf Anfrage mitgeteilt.
Ist die Benennung eines Datenschutzbeauftragten gesetzlich nicht erforderlich, benennt der Auftragnehmer einen Ansprechpartner für Datenschutzfragen.

§ 12 – Beendigung und Rückgabe/Löschung

Bei Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Verpflichtung zur Aufbewahrung besteht. Die Löschung erfolgt spätestens innerhalb von 30 Tagen nach Vertragsende.
Auf Anforderung des Auftraggebers vor Löschung stellt der Auftragnehmer dem Auftraggeber die Daten in einem gängigen, strukturierten, maschinenlesbaren Format (CSV) zur Verfügung (Art. 28 Abs. 3 lit. g DSGVO). Die Bereitstellung erfolgt über die integrierte Exportfunktion der Plattform.
Der Auftragnehmer bestätigt die vollständige Löschung der Daten dem Auftraggeber schriftlich oder in Textform.
Bestehende Sicherungskopien (Backups) werden spätestens 90 Tage nach Vertragsende gelöscht, sofern die Daten darin nicht anonymisiert sind.
Der Auftragnehmer stellt sicher, dass auch die Unterauftragsverarbeiter die bei ihnen im Zusammenhang mit dem Auftrag verarbeiteten personenbezogenen Daten löschen und dies auf Anfrage bestätigen.

§ 13 – Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.
Der Auftragnehmer haftet gegenüber betroffenen Personen nur, soweit er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder über die rechtmäßigen Anweisungen des Auftraggebers hinaus oder gegen diese Anweisungen gehandelt hat (Art. 82 Abs. 2 DSGVO).
Die Haftung des Auftragnehmers für Schäden, die aus der Nichteinhaltung von Weisungen des Auftraggebers resultieren, ist ausgeschlossen, soweit der Auftragnehmer die Rechtswidrigkeit der Weisung gem. § 2 Abs. 3 dieses AVV angezeigt hat.

§ 14 – Schlussbestimmungen

Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt diejenige wirksame Bestimmung, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt.
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.
Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Textformklausel.
Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV vor, soweit der Gegenstand der abweichenden Regelung den Schutz personenbezogener Daten betrifft.
Die Anlagen 1–3 sind Bestandteil dieses AVV.

Unterschriften

Dieser AVV wird durch die Registrierung auf der Plattform Florivio und die Annahme der Allgemeinen Geschäftsbedingungen geschlossen. Bei Bedarf kann er auch in Papierform unterzeichnet werden.

Ort, Datum

Auftraggeber
(Verantwortlicher)

Ort, Datum

Auftragnehmer
(FloriCore Software UG)

Anlage 1 – Verarbeitungstätigkeiten

Beschreibung der Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO

1. Zweck der Verarbeitung

Die Verarbeitung dient der Bereitstellung der SaaS-Plattform „Florivio“ zur digitalen Vereinsverwaltung für Freiwillige Feuerwehren und vergleichbare Hilfsorganisationen. Dies umfasst insbesondere die Mitgliederverwaltung, Einsatz- und Übungsberichterstattung, Anwesenheitserfassung, Geräte- und PSA-Verwaltung, Bekleidungsverwaltung, Beitragswesen, SEPA-Lastschriftmanagement, Terminplanung, Leistungsprüfungsverwaltung sowie den Betrieb öffentlicher Vereinswebseiten.

2. Art der Verarbeitung

Erhebung, Speicherung, Organisation, Strukturierung, Bereitstellung, Abfrage, Verwendung, Abgleich, Löschung und Vernichtung personenbezogener Daten im Rahmen der Plattformnutzung. Die Verarbeitung erfolgt automatisiert in einer Multi-Tenant-Architektur mit logischer Datentrennung auf Datenbankebene.

3. Kategorien betroffener Personen

Kategorie	Beschreibung
Vereinsmitglieder	Aktive, passive und Ehrenmitglieder der Feuerwehr, Anwärter und Jugendmitglieder
Benutzer (Anwender)	Personen mit Zugang zur Plattform (Administratoren, Schriftführer, Gerätewarte etc.)
Kontaktpersonen	Ansprechpartner für die öffentliche Vereinswebseite
Spendenempfänger/-geber	Personen, die Spenden tätigen oder entgegennehmen

4. Kategorien personenbezogener Daten

Datenkategorie	Datenfelder	Besondere Kategorie (Art. 9)
Stammdaten	Vorname, Nachname, Geburtsdatum, Straße, PLZ, Ort, E-Mail-Adresse, Mobilnummer, Profilfoto	Nein
Mitgliedschaftsdaten	Mitgliedsstatus (Anwärter/Jugend/Aktiv/Passiv/Ehren), Eintrittsdatum, Austrittsdatum, Vordienstzeit, Doppelmitgliedschaft, hauptberuflicher Status	Nein
Dienstliche Daten	Dienstgrad, Dienstgradhistorie, Funktionen (z. B. Kommandant, Jugendwart), Qualifikationen (z. B. Atemschutzgeräteträger, Maschinist), Auszeichnungen/Ehrungen	Nein
Gesundheitsdaten	Ärztliche Untersuchungsergebnisse (G26.1–3, G25, G27, G31, G41, G42): Datum, Gültigkeit, Ergebnis (tauglich/bedingt tauglich/nicht tauglich/ausstehend), Arztname. Impfstatus (Tetanus, Hepatitis).	Ja (Art. 9 Abs. 1 DSGVO)
Führerscheindaten	Führerscheinklassen (AM–CE, T, L), Ausstellungsdatum, Gültigkeit, Schlüsselzahlen	Nein
Finanzdaten	IBAN (AES-256-GCM verschlüsselt), SEPA-Lastschriftmandate (Mandatsreferenz, Erteilungsdatum, Status), Beitragsforderungen, Zahlungsstatus	Nein
Einsatz-/Übungsdaten	Einsatzberichte, Übungsberichte, Teilnehmerlisten, Einsatzart, Datum, Dauer, Ort, Personenrettungen, Verletzte	Nein
Anwesenheitsdaten	Check-in/Check-out-Zeiten, Anwesenheitsstatus, Dauer	Nein
Geräte-/PSA-Daten	Gerätezuweisungen, Prüfprotokolle mit Unterschriften, Bekleidungszuweisungen, Größenprofile, Rückgabezustand	Nein
Leistungsprüfungsdaten	Teilnahme an Leistungsprüfungen (Art, Stufe, Ergebnis), Rollenzuweisung in der Gruppe	Nein
Nutzungsdaten	Login-Zeitpunkte, IP-Adressen (in Audit-Logs), Session-Daten, Benutzeraktionen (Audit-Trail)	Nein
Zusatzfelder	Vom Auftraggeber individuell definierte Felder (Text, Zahl, Datum, Boolean, Auswahl); Inhalt obliegt der Verantwortung des Auftraggebers	Möglich (vom Auftraggeber zu bewerten)

5. Besondere Hinweise zu Art. 9 DSGVO (Gesundheitsdaten)

Die Plattform ermöglicht die Erfassung von Ergebnissen arbeitsmedizinischer Untersuchungen (G26-Atemschutztauglichkeit etc.) sowie Impfstatus. Diese Daten stellen besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO dar. Der Auftragnehmer hat hierfür folgende zusätzliche Schutzmaßnahmen implementiert:

Zugriff nur mit spezifischer Berechtigung (mitglieder.untersuchung.view / .edit);
Jugendwart-Rolle erhält nur Scope „jugend“ (Zugriff ausschließlich auf Jugendmitglieder);
Jeder Zugriff und jede Änderung wird im Audit-Log mit Benutzer-ID und Zeitstempel protokolliert;
Es werden ausschließlich Tauglichkeitsergebnisse gespeichert, keine klinischen Befunde oder Diagnosen.

Die Verantwortung für die Rechtsgrundlage der Verarbeitung (z. B. Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG analog oder Einwilligung) trägt der Auftraggeber.

Anlage 2 – Technische und organisatorische Maßnahmen

gem. Art. 32 DSGVO (Stand: März 2026)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Server-Hosting bei Microsoft Azure in zertifizierten Rechenzentren in Deutschland (Frankfurt, Germany West Central; ISO 27001, SOC 2)
Physischer Zutritt ausschließlich durch den Hosting-Anbieter gemäß dessen Sicherheitskonzept

1.2 Zugangskontrolle

SSH-Zugang zum Server ausschließlich über Key-basierte Authentifizierung
Passwort-Hashing mit bcrypt (Cost-Faktor 12) für alle Benutzerpasswörter
Session-Cookies: Secure, HttpOnly, SameSite=Lax, Timeout 3 Stunden, automatische Regeneration
CSRF-Schutz bei allen zustandsverändernden Operationen (Token-Validierung)
Rate-Limiting für Login-Versuche (DB-basiert, max. 5 Versuche pro 15 Minuten)
Plattform-Administration ausschließlich über GitHub OAuth (Zwei-Faktor-Authentifizierung des GitHub-Kontos)
Kiosk-Geräte: kryptographisch sichere Token (256-Bit), 30-Tage Rolling-TTL, geregelte Zugriffsbeschränkungen

1.3 Zugriffskontrolle

Rollenbasierte Zugriffskontrolle (RBAC) mit 7 festen Rollen und über 80 feingranularen Berechtigungen
3 Scope-Typen: all (Vollzugriff), own (nur eigene Daten), benannte Scopes (z. B. jugend)
Pro-Tenant überschreibbare Berechtigungen über tenant_role_permissions
Berechtigungsprüfung bei jedem API-Aufruf und jeder Seitenauslieferung
Gesundheitsdaten (Art. 9 DSGVO): Zugriff nur mit spezifischen Berechtigungen, Scope-basierte Einschränkung

1.4 Trennungskontrolle

Multi-Tenant-Architektur mit logischer Datentrennung: Shared Database, Shared Schema
Jede Tabelle enthält eine tenant_id-Spalte; jede Abfrage erzwingt über DB::tenantQuery() die Tenant-Isolation
Anti-Spoofing-Prüfung: TenantContext::verifySessionMatch() validiert Session-Tenant-ID gegen Host-Header
Tenant-spezifische Subdomains ({slug}.app.florivio.de) mit separater Kontextauflösung

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

HTTPS/TLS-Verschlüsselung für sämtliche Kommunikation (Let’s Encrypt Wildcard-Zertifikat, automatische Erneuerung)
IBAN-Daten: AES-256-GCM Verschlüsselung at rest, vorbereitete Key-Rotation
SEPA-XML-Dateien: SHA-256 Prüfsumme, Statusmaschine (forward-only: erstellt→exportiert→eingereicht→ausgeführt)
E-Mail-Versand ausschließlich über Brevo API (TLS-verschlüsselt), keine personenbezogenen Daten in E-Mail-Texten außer Anmeldedaten bei Ersteinrichtung

2.2 Eingabekontrolle

Umfassendes Audit-Log mit Benutzer-ID, Zeitstempel, Aktion, Entitätstyp, alten und neuen Werten (JSON)
Optimistic Locking: Versionsnummern auf allen bearbeitbaren Entitäten (409 Conflict bei gleichzeitiger Bearbeitung)
SHA-256 Hash-Chains: Revisionssichere Prüfprotokolle für Geräteprüfungen (Audit-Chain mit kryptographischer Verkettung)
SEPA-Mandatsänderungen: Append-only History (keine Löschung oder Änderung historischer Einträge)
Request-IDs für lückenlose Nachverfolgbarkeit aller Anfragen

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Server-Hosting bei Microsoft Azure (Frankfurt, Germany West Central) mit hoher Verfügbarkeit und redundanter Infrastruktur
Regelmäßige Datenbank-Backups
Automatisierte SSL-Zertifikatserneuerung (täglicher Cron-Job)
Rate-Limiting zum Schutz gegen Überlastung (DB-basiert)
Prepared Statements (PDO) zum Schutz gegen SQL-Injection

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Automatisierte End-to-End-Tests (Playwright, 113+ Testfälle) zur Überprüfung der Zugriffskontrolle
PHP-Smoke-Tests für Kernfunktionen (Datenbankverbindung, Migrationen, RBAC, Module)
Überprüfung der TOM bei wesentlichen Änderungen an der Plattform
Git-basierte Versionskontrolle mit vollständiger Änderungshistorie
Dokumentierte Architektur und Konfiguration (CLAUDE.md als Referenzdokument)

5. Verschlüsselung und Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

Transportverschlüsselung: TLS 1.2/1.3 für alle HTTP-Verbindungen (HSTS aktiviert)
Verschlüsselung at rest: IBAN-Daten mit AES-256-GCM verschlüsselt; Key-Rotation-Mechanismus implementiert
Passwort-Hashing: bcrypt mit Cost-Faktor 12 (irreversibel)
Token-Generierung: Kryptographisch sichere Zufallswerte (random_bytes()) für Session-IDs, CSRF-Token, Kiosk-Token und iCal-HMAC-Token
Prüfprotokoll-Integrität: SHA-256 Hash-Chain für Manipulationserkennung bei Geräteprüfungen

Anlage 3 – Unterauftragsverarbeiter

genehmigte Unterauftragsverarbeiter gem. § 7 dieses AVV (Stand: März 2026)

Unterauftragsverarbeiter	Leistung	Serverstandort	Verarbeitete Daten	Garantie Drittland
Microsoft Ireland Operations Ltd. One Microsoft Place, South County Business Park Leopardstown, Dublin 18 Irland (Azure Region: Germany West Central)	Server-Hosting (Azure Virtual Machine), Rechenleistung, Speicher, Netzwerk. Verwaltung über CloudPanel.	Deutschland (Azure Rechenzentrum Frankfurt, Germany West Central) EU/EWR	Sämtliche in der Plattform verarbeiteten personenbezogenen Daten (Datenbank, Dateien, Logs, Backups)	Kein Drittlandtransfer. Microsoft Products and Services Data Protection Addendum (DPA). ISO 27001, SOC 2 zertifiziert.
Brevo (Sendinblue GmbH) Köpenicker Str. 126 10179 Berlin Deutschland / Frankreich	Transaktionaler E-Mail-Versand über HTTP API v3. Versand von Willkommens-E-Mails, Einladungen und Passwort-Rücksetzungen.	EU (Rechenzentren in Frankreich und Deutschland) EU/EWR	E-Mail-Adresse des Empfängers, Anzeigename, E-Mail-Betreff und -Inhalt (Anmeldedaten bei Ersteinrichtung)	Kein Drittlandtransfer. AVV in Brevo-AGB integriert. DSGVO-konform (französisches Unternehmen).
Cloudflare, Inc. 101 Townsend St San Francisco, CA 94107 USA	DNS-Dienste (Namensauflösung). Hauptdomain `app.florivio.de`: proxied (DDoS-Schutz). Wildcard `*.app.florivio.de`: DNS-only (kein Proxy, kein Content-Routing).	Global verteilt (Anycast). EU-Rechenzentren für DNS-Auflösung verfügbar. Drittland (USA)	Für proxied Domain: IP-Adressen der Besucher, HTTP-Header. Für DNS-only: ausschließlich DNS-Anfragen (keine Inhaltsdaten).	EU-US Data Privacy Framework (DPF). Cloudflare ist DPF-zertifiziert (Durchführungsbeschluss (EU) 2023/1795). Zusätzlich: Standardvertragsklauseln (SCC).
Google Cloud Platform (Google Ireland Limited) Gordon House, Barrow Street Dublin 4, Irland	KI-gestützte Spalten-Erkennung beim Datenimport (Vertex AI, Modell: Claude). Optionale Funktion, nur bei expliziter Aktivierung durch den Auftraggeber.	europe-west1 (Belgien, EU) EU/EWR	Keine personenbezogenen Daten. Ausschließlich Metadaten: Spaltenüberschriften aus Import-Dateien (z. B. „Vorname“, „Dienstgrad“). Keine Zeilen-/Personendaten werden übertragen.	Kein Drittlandtransfer (Verarbeitung in EU). Google Ireland als Vertragspartner. Keine Auftragsverarbeitung personenbezogener Daten im Sinne der DSGVO (reine Metadaten).

Hinweise

Der Auftragnehmer prüft bei jedem Unterauftragsverarbeiter die Einhaltung der datenschutzrechtlichen Anforderungen und hat mit allen genannten Unterauftragsverarbeitern vertragliche Regelungen getroffen, die den Anforderungen des Art. 28 DSGVO entsprechen.
Änderungen an der Liste der Unterauftragsverarbeiter werden gem. § 7 dieses AVV mindestens 30 Kalendertage vor der beabsichtigten Änderung mitgeteilt.
Die Verarbeitung durch Google Vertex AI ist auf Metadaten beschränkt und stellt daher in der Regel keine Auftragsverarbeitung personenbezogener Daten dar. Die Aufnahme in diese Liste erfolgt aus Transparenzgründen.
Cloudflare verarbeitet im DNS-only-Modus (Wildcard-Subdomains) keine Inhaltsdaten. Im Proxy-Modus (Hauptdomain) werden IP-Adressen und HTTP-Header verarbeitet, die als personenbezogene Daten gelten können.