Auftrags­verarbeitungs­vertrag (AVV)

gemäß Art. 28 DSGVO — Stand: April 2026

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter (Edgard Buckowitz, Felizenzell 29, 84428 Buchbach, nachfolgend „Auftragnehmer") verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (die jeweilige Gemeinde, nachfolgend „Auftraggeber") im Rahmen der Bereitstellung der Qehillah Gemeinde-App.

(2) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Nutzungsvertrags der Qehillah-App.

(3) Art und Zweck der Verarbeitung: Bereitstellung einer webbasierten Gemeinde-Management-Plattform mit den Funktionen Mitgliederverwaltung, Kalender, Nachrichten, Chat, Pinnwand, Dokumente, E-Mail-Verteiler und Teams.

§ 2 Art der verarbeiteten Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Stammdaten: Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Anschrift, Geburtsdatum
  • Zugangsdaten: E-Mail-Adresse, verschlüsseltes Passwort, Authentifizierungs-Token
  • Mitgliedschaftsdaten: Rolle, Status, Familienzugehörigkeit, Teamzugehörigkeiten
  • Kommunikationsdaten: Chat-Nachrichten, Pinnwand-Beiträge, Kommentare, E-Mail-Inhalte
  • Kalenderdaten: Teilnahme-Zusagen (RSVP), Anwesenheits-Check-ins
  • Dokumente: Hochgeladene Dateien und deren Metadaten
  • Protokolldaten: Login-Zeitpunkte, API-Zugriffe, E-Mail-Versandprotokolle
  • Profilbilder: Hochgeladene Fotos der Mitglieder

§ 3 Kategorien betroffener Personen

  • Mitglieder der Gemeinde
  • Interessenten (eingeladene, noch nicht bestätigte Personen)
  • Gemeindeleitung und Teamleiter

§ 4 Besondere Kategorien personenbezogener Daten

Der Auftragnehmer ist sich bewusst, dass durch die Verarbeitung im Rahmen einer Gemeinde-App besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO betroffen sein können, insbesondere Daten zur religiösen Überzeugung. Der Auftragnehmer verpflichtet sich zu besonderer Sorgfalt beim Umgang mit diesen Daten.

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten hierzu verpflichtet.
  2. Sicherzustellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 7).
  4. Keine Unterauftragsverarbeiter ohne vorherige schriftliche Genehmigung des Auftraggebers einzusetzen. Derzeit eingesetzte Unterauftragsverarbeiter: Hetzner Online GmbH (Hosting).
  5. Den Auftraggeber bei der Erfüllung der Betroffenenrechte nach Art. 15–22 DSGVO zu unterstützen.
  6. Den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO zu unterstützen (Sicherheit, Datenschutz-Folgenabschätzung, vorherige Konsultation).
  7. Nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben und bestehende Kopien zu löschen, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
  8. Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen/Audits zu ermöglichen.

§ 6 Meldepflichten

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und Personen, wahrscheinliche Folgen, ergriffene und vorgeschlagene Maßnahmen.

(3) Die Meldung erfolgt per E-Mail an die vom Auftraggeber benannte Kontaktadresse.

§ 7 Technische und organisatorische Maßnahmen

Der Auftragnehmer hat insbesondere folgende Maßnahmen implementiert:

Zutrittskontrolle

Die Server stehen in einem gesicherten Rechenzentrum der Hetzner Online GmbH (ISO 27001 zertifiziert) in Deutschland.

Zugangskontrolle

  • SSH-Zugriff ausschließlich über Key-Authentifizierung (kein Passwort-Login)
  • fail2ban mit automatischer IP-Sperre bei fehlgeschlagenen Login-Versuchen
  • Rate Limiting auf Anmeldeendpunkte

Zugriffskontrolle

  • Rollenbasiertes Berechtigungssystem (Mitglied, Teamleiter, Gemeindeleitung, Administrator)
  • Prinzip der minimalen Berechtigung (Least Privilege)
  • Admin-Panel nur über lokalen Zugriff erreichbar

Weitergabekontrolle

  • TLS/SSL-Verschlüsselung aller Datenübertragungen
  • HSTS (HTTP Strict Transport Security) aktiviert

Eingabekontrolle

  • Audit-Logging aller Datenbankänderungen durch Directus
  • E-Mail-Versandprotokoll

Verfügbarkeitskontrolle

  • Regelmäßige automatisierte Datenbank-Backups
  • Redundante Datenhaltung im Rechenzentrum

Trennungskontrolle

  • Jede Gemeinde erhält eine eigene Instanz (separater Docker-Stack mit eigener Datenbank)
  • Vollständige logische und physische Datentrennung zwischen Gemeinden

§ 8 Unterauftragsverarbeiter

(1) Folgender Unterauftragsverarbeiter ist vom Auftraggeber genehmigt:

UnternehmenLeistungStandort
Hetzner Online GmbHServer-Hosting (Dedicated Server)Deutschland

(2) Der Auftragnehmer informiert den Auftraggeber vor Beauftragung weiterer Unterauftragsverarbeiter. Der Auftraggeber kann innerhalb von 14 Tagen schriftlich Einspruch erheben.

§ 9 Kontakt und Zuständigkeiten

Ansprechpartner beim Auftragnehmer für Datenschutzfragen:

Edgard Buckowitz
E-Mail: info@qehillah.de
Telefon: 080869493344

§ 10 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

(3) Dieser Vertrag tritt mit Unterzeichnung durch beide Parteien in Kraft. Bei Nutzung der Qehillah-App durch eine Gemeinde gilt dieser AVV als vereinbart.

← Zurück zur Startseite