Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO | Stand: Februar 2026 | Version: 1.0
zwischen
dem jeweiligen Account-Inhaber (nachfolgend "Auftraggeber" oder "Verantwortlicher")
und
JG Datenschutz GmbH
Böttcher Straße 7
30419 Hannover
Deutschland
E-Mail: [PLATZHALTER: E-Mail-Adresse]
Telefon: [PLATZHALTER: Telefonnummer]
Handelsregister: Amtsgericht Hannover, HRB 223678
Geschäftsführer: Tim Günter, Ina Jähne (jeweils einzelvertretungsberechtigt)
(nachfolgend "Auftragnehmer" oder "Verarbeiter")
Präambel
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Plattform "gesellschafterversammlung.digital" durch den Auftraggeber.
Der Auftragnehmer stellt dem Auftraggeber eine webbasierte SaaS-Plattform zur Verfügung, über die der Auftraggeber Gesellschafterversammlungen für GmbHs digital vorbereiten, durchführen und dokumentieren kann. Im Rahmen dieser Dienstleistung verarbeitet der Auftragnehmer personenbezogene Daten der Gesellschafter im Auftrag und nach Weisung des Auftraggebers.
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
(1) Gegenstand
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich für folgende Zwecke:
- Benutzerverwaltung: Erfassung und Speicherung von Account-Daten (E-Mail, Name)
- Firmenverwaltung: Verwaltung von Firmendaten (Firmenname, HRB, Adresse, USt-ID)
- Gesellschafterverwaltung: Verwaltung von Gesellschafterdaten (Name, E-Mail, Adresse, Anteile)
- GV-Dokumentation: Verwaltung von Gesellschafterversammlungen (Datum, Ort, TOPs, Abstimmungen)
- Dokumentengenerierung: Erstellung von Einladungen, Protokollen, Leitfäden (PDF)
- KI-Analyse: Satzungsanalyse und Stimmrecht-Prüfung (optional)
- Zahlungsabwicklung: Verwaltung von Zahlungen für GV-Versand und Rechtsberatung
- Bereitstellung der Plattform: Technische Bereitstellung und Wartung
(2) Dauer
Dieser AVV gilt für die Dauer des Hauptvertrages zwischen Auftraggeber und Auftragnehmer. Der AVV endet automatisch mit Beendigung des Hauptvertrages.
(3) Art der Daten und Kreis der Betroffenen
Die Einzelheiten zur Art der verarbeiteten Daten und zum Kreis der betroffenen Personen ergeben sich aus Anlage 1 zu diesem Vertrag.
§ 2 Pflichten des Auftragnehmers
(1) Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist durch Unionsrecht oder das Recht eines Mitgliedstaats, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Die Weisungen werden anfänglich durch diesen AVV und die Nutzung der Plattform-Funktionen festgelegt. Der Auftraggeber kann darüber hinaus jederzeit schriftlich oder in Textform (z.B. per E-Mail) Einzelweisungen erteilen.
(2) Vertraulichkeit
Der Auftragnehmer stellt sicher, dass sich alle Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.
(3) Technische und organisatorische Maßnahmen
Der Auftragnehmer implementiert und unterhält angemessene technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen TOMs sind in Anlage 2 dokumentiert.
Der Auftragnehmer ist berechtigt, die TOMs im Rahmen des technischen Fortschritts anzupassen, sofern das Schutzniveau nicht unterschritten wird.
(4) Unterstützung bei Betroffenenrechten
Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen.
Erhält der Auftragnehmer eine Anfrage einer betroffenen Person, leitet er diese unverzüglich an den Auftraggeber weiter und verarbeitet die Anfrage nicht ohne Weisung des Auftraggebers.
(5) Unterstützung bei weiteren Pflichten
Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei:
- a) der Erfüllung der Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO
- b) der Pflicht zur vorherigen Konsultation mit der Aufsichtsbehörde gemäß Art. 36 DSGVO
Für Unterstützungsleistungen, die über die gesetzlichen Pflichten des Auftragnehmers hinausgehen oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine angemessene Vergütung verlangen.
(6) Meldung von Datenschutzverletzungen
Der Auftragnehmer meldet dem Auftraggeber eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm die Verletzung bekannt wurde.
Die Meldung enthält mindestens:
- eine Beschreibung der Art der Verletzung
- die Kategorien und die ungefähre Zahl der betroffenen Personen
- die Kategorien und die ungefähre Zahl der betroffenen Datensätze
- den Namen und die Kontaktdaten des Ansprechpartners
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
(7) Löschung und Rückgabe von Daten
Nach Beendigung des Hauptvertrages löscht oder gibt der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten zurück und löscht vorhandene Kopien, es sei denn, dass nach dem Unionsrecht oder dem Recht eines Mitgliedstaats eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
§ 3 Pflichten des Auftraggebers
(1) Rechtmäßigkeit der Verarbeitung
Der Auftraggeber versichert, dass er alle erforderlichen Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer geschaffen hat, insbesondere dass er:
- a) alle notwendigen Informationspflichten gegenüber den Gesellschaftern erfüllt hat
- b) alle erforderlichen Einwilligungen eingeholt hat (falls erforderlich)
- c) die Verarbeitung auf einer anderen Rechtsgrundlage gemäß Art. 6 DSGVO beruht
(2) Weisungen
Der Auftraggeber ist für die Erteilung rechtmäßiger Weisungen verantwortlich. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich und ist berechtigt, die Durchführung der Weisung auszusetzen, bis sie bestätigt oder geändert wird.
(3) Kooperation
Der Auftraggeber arbeitet mit dem Auftragnehmer zusammen, um diesem die Erfüllung seiner Pflichten aus diesem AVV zu ermöglichen.
§ 4 Subunternehmer (Unterauftragsverarbeiter)
(1) Allgemeine Genehmigung
Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Subunternehmern gemäß Art. 28 Abs. 2 DSGVO.
Die jeweils aktuelle Subunternehmer-Liste ist unter folgender Adresse abrufbar: gesellschafterversammlung.digital/subunternehmerliste
Die dort aufgeführten Subunternehmer gelten als genehmigt.
(2) Informationspflicht
Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen (Hinzuziehung oder Ersetzung von Subunternehmern) mindestens 30 Tage vor der geplanten Änderung per E-Mail an die im Account hinterlegte E-Mail-Adresse.
(3) Widerspruchsrecht
Der Auftraggeber kann der Beauftragung eines neuen Subunternehmers innerhalb von 14 Tagen nach Erhalt der Mitteilung aus wichtigem datenschutzrechtlichem Grund schriftlich oder in Textform widersprechen.
(4) Folgen eines Widerspruchs
Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, den Vertrag außerordentlich zu kündigen, da die Leistungserbringung ohne den neuen Subunternehmer technisch nicht möglich ist. Der Auftraggeber erhält eine anteilige Rückerstattung bereits gezahlter Gebühren für den nicht genutzten Zeitraum.
(5) Pflichten gegenüber Subunternehmern
Der Auftragnehmer verpflichtet sich, mit jedem Subunternehmer einen Vertrag abzuschließen, der diesem im Wesentlichen dieselben Datenschutzpflichten auferlegt wie dieser AVV dem Auftragnehmer. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Erfüllung der Pflichten des Subunternehmers verantwortlich.
§ 5 Kontrollrechte des Auftraggebers
(1) Nachweispflicht
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV niedergelegten Pflichten zur Verfügung.
Der Nachweis kann insbesondere erfolgen durch:
- Bereitstellung aktueller Audit-Berichte
- Zertifizierungen (z.B. ISO 27001)
- Dokumentation der technischen und organisatorischen Maßnahmen
(2) Inspektionen und Audits
Der Auftragnehmer ermöglicht dem Auftraggeber oder einem von diesem beauftragten Prüfer Inspektionen und Audits, soweit diese zur Überprüfung der Einhaltung dieses AVV erforderlich sind.
Inspektionen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unangemessen beeinträchtigen.
Inspektionen sind auf maximal einmal pro Kalenderjahr beschränkt, es sei denn, es liegt ein begründeter Verdacht auf Verstöße vor.
Die Kosten für Inspektionen trägt der Auftraggeber, es sei denn, die Inspektion deckt wesentliche Verstöße des Auftragnehmers gegen diesen AVV auf.
§ 6 Internationale Datentransfers
(1) Datenverarbeitung in der EU
Die Verarbeitung der Nutzerdaten erfolgt auf Servern in Deutschland (EU). Das Hosting wird durch Hetzner Online GmbH bereitgestellt.
(2) Drittlandtransfers
Stripe (USA): Zahlungsdaten werden teilweise durch Stripe in den USA verarbeitet. Hierfür gelten Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Mailjet (Sub-Processor in USA): E-Mail-Versand erfolgt über Mailjet (Frankreich/EU). Mailjet nutzt Sub-Processor (Amazon Web Services) in den USA, abgesichert durch Standardvertragsklauseln (SCCs) und EU-US Data Privacy Framework.
§ 7 Haftung
(1) Haftung des Auftragnehmers
Der Auftragnehmer haftet für Schäden, die durch eine nicht den Anforderungen der DSGVO entsprechende Verarbeitung personenbezogener Daten entstehen, nach Maßgabe der gesetzlichen Bestimmungen und der im Hauptvertrag vereinbarten Haftungsregelungen.
(2) Haftungsfreistellung
Der Auftraggeber stellt den Auftragnehmer von allen Ansprüchen Dritter frei, die darauf beruhen, dass der Auftraggeber keine ausreichende Rechtsgrundlage für die Verarbeitung geschaffen oder seine sonstigen Pflichten aus diesem AVV verletzt hat.
§ 8 Vertraulichkeit
Beide Parteien verpflichten sich, alle im Rahmen dieses AVV erlangten Informationen vertraulich zu behandeln und nur für die Zwecke dieses Vertrages zu verwenden.
§ 9 Schlussbestimmungen
(1) Änderungen
Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung dieser Formerfordernis.
(2) Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
(3) Vorrang
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor.
(4) Anwendbares Recht und Gerichtsstand
Für diesen AVV gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, Hannover.
Dieser AVV wird durch Akzeptanz bei der Registrierung bzw. bei der Nutzung der Plattform wirksam.
Anlage 1: Beschreibung der Verarbeitung
1. Gegenstand und Dauer der Verarbeitung
Gegenstand: Bereitstellung einer webbasierten SaaS-Plattform zur digitalen Vorbereitung, Durchführung und Dokumentation von Gesellschafterversammlungen für GmbHs
Dauer: Für die Dauer des Hauptvertrages zwischen Auftraggeber und Auftragnehmer
2. Art und Zweck der Verarbeitung
Art der Verarbeitung:
- Erfassung von Benutzerdaten über Registrierungsformular
- Speicherung von Firmendaten, Gesellschafterdaten, GV-Daten
- Optional: Upload von Satzung, Logo, Briefpapier (PDF)
- KI-gestützte Satzungsanalyse (optional, Mistral AI)
- Generierung von PDF-Dokumenten (Einladungen, Protokolle, Leitfäden)
- Zahlungsabwicklung über Stripe
- E-Mail-Versand über Mailjet (Magic Links)
Zweck der Verarbeitung:
- Benutzerverwaltung: Verwaltung von Benutzerkonten
- Firmenverwaltung: Verwaltung von Firmendaten
- Gesellschafterverwaltung: Verwaltung von Gesellschafterdaten
- GV-Dokumentation: Vorbereitung, Durchführung und Dokumentation von Gesellschafterversammlungen
- Dokumentengenerierung: Erstellung rechtssicherer PDF-Dokumente
- KI-Analyse: Satzungsanalyse und Stimmrecht-Prüfung (optional)
- Zahlungsabwicklung: Abrechnung von GV-Versand und Rechtsberatung
3. Kategorien betroffener Personen
Benutzer (GmbH-Geschäftsführer, Anwälte): Personen, die ein Benutzerkonto erstellen und verwalten. Volle Kontrolle über alle Firmendaten.
Gesellschafter (natürliche Personen): Personen, die als Gesellschafter einer GmbH erfasst werden. Keine direkte Registrierung möglich. Werden von Benutzern angelegt.
Gesellschafter (juristische Personen): Unternehmen, die als Gesellschafter einer GmbH erfasst werden. Vertreter werden als natürliche Personen erfasst.
4. Kategorien personenbezogener Daten
Benutzerdaten (Account-Inhaber)
| Datenfeld | Kategorie | Sensibilität | Pflicht |
|---|---|---|---|
| E-Mail-Adresse | Kontakt | Mittel | Ja |
| Name | Identifikation | Mittel | Ja |
Firmendaten
| Datenfeld | Kategorie | Sensibilität | Pflicht |
|---|---|---|---|
| Firmenname | Identifikation | Niedrig | Ja |
| HRB-Nummer | Handelsregister | Niedrig | Nein |
| Registergericht | Handelsregister | Niedrig | Nein |
| Rechtsform | Unternehmenstyp | Niedrig | Ja |
| Adresse | Geschäftsadresse | Mittel | Nein |
| Firmenkontakt | Mittel | Nein | |
| Telefon | Firmenkontakt | Mittel | Nein |
| USt-ID | Steuer | Niedrig | Nein |
| Logo | Branding | Niedrig | Nein |
| Satzung (PDF) | Dokument | Mittel | Nein |
Gesellschafterdaten (natürliche Personen)
| Datenfeld | Kategorie | Sensibilität | Pflicht |
|---|---|---|---|
| Name | Identifikation | Mittel | Ja |
| Kontakt | Mittel | Nein | |
| Adresse | Wohnsitz | Mittel | Nein |
| Anrede | Geschlecht | Niedrig | Nein |
| Anteil (%) | Beteiligung | Mittel | Ja |
| Rolle | Funktion | Niedrig | Ja |
Gesellschafterdaten (juristische Personen)
| Datenfeld | Kategorie | Sensibilität | Pflicht |
|---|---|---|---|
| Firmenname | Identifikation | Niedrig | Ja |
| Rechtsform | Unternehmenstyp | Niedrig | Nein |
| Vertreter Name | Identifikation | Mittel | Nein |
| Vertreter E-Mail | Kontakt | Mittel | Nein |
| Anteil (%) | Beteiligung | Mittel | Ja |
GV-Daten
| Datenfeld | Kategorie | Sensibilität | Pflicht |
|---|---|---|---|
| Datum | Zeitpunkt | Niedrig | Ja |
| Ort | Versammlungsort | Niedrig | Nein |
| Versammlungsleiter | Personenname | Mittel | Nein |
| Protokollant | Personenname | Mittel | Nein |
| TOPs | Tagesordnung | Mittel | Ja |
| Abstimmungen | Stimmverhalten | Mittel | Ja |
Zahlungsdaten
| Datenfeld | Kategorie | Sensibilität | Pflicht |
|---|---|---|---|
| Stripe Customer ID | Abrechnung | Hoch | Ja |
| Zahlungsmethode | Abrechnung | Hoch | Ja |
5. Besondere Kategorien personenbezogener Daten
Keine besonderen Kategorien gemäß Art. 9 DSGVO werden systematisch verarbeitet.
6. Speicherdauer
| Datenkategorie | Speicherdauer | Bemerkung |
|---|---|---|
| Account-Daten | Bis Kontolöschung | Durch Nutzer |
| Firmendaten | Bis Kontolöschung | Durch Nutzer |
| Gesellschafterdaten | Bis Kontolöschung oder Entfernung | Durch Nutzer |
| GV-Dokumentation | 10 Jahre | Gesetzliche Aufbewahrung (§ 42 GmbHG) |
| Satzung/Dokumente | Bis Löschung durch User | Durch Nutzer |
| Session-Tokens | 24 Stunden | Automatisch (JWT Expiry) |
| KI-Analyse-Cache | 1 Stunde | In-Memory LRU Cache |
| Server-Logfiles | 30 Tage | Automatische Löschung |
7. Technische und organisatorische Maßnahmen
Siehe Anlage 2 zu diesem Vertrag.
Anlage 2: Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Rechenzentrum (Hetzner, Deutschland):
- Elektronisches Zutrittskontrollsystem mit Protokollierung
- Dokumentierte Vergabe von Zutrittsmedien
- Flächendeckende Videoüberwachung
- Richtlinie zum Besuchermanagement
- Hochsicherheitszaun mit Übersteigschutz
1.2 Zugangskontrolle
Kundenkonto:
- Magic Link Authentifizierung (Passwordless)
- E-Mail-basierte Anmeldung
- Session-basierte Authentifizierung (NextAuth v5)
- JWT-Tokens (httpOnly Cookie, 24h Gültigkeit)
- Rate Limiting (5 Login-Versuche pro 15 Minuten)
Interne Systeme:
- Session-basierte Authentifizierung
- Verschlüsselte Session-Cookies
- Rate Limiting
1.3 Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (RBAC): USER, ANWALT, PLATTFORM_ADMIN
- Least-Privilege-Prinzip
- Regelmäßige Überprüfung von Berechtigungen
- Automatische Sperrung inaktiver Accounts (geplant: 3 Jahre)
- Multi-Account-Zuordnung mit Rollen (OWNER, ADMIN, MEMBER, VIEWER)
1.4 Trennungskontrolle
Mandantenfähigkeit:
- Logische Trennung der Daten verschiedener Firmen
- Jede Firma sieht nur eigene Daten
- Keine Möglichkeit des Zugriffs auf Daten anderer Firmen
- Plattform-Admin hat keinen Zugriff auf Firmendaten (by design)
1.5 Pseudonymisierung
Verschlüsselung sensibler Daten:
- Session-Daten werden verschlüsselt (NextAuth)
- Verschlüsselungsschlüssel in Umgebungsvariablen
- JWT-Algorithmus: HS256
- JWT-Secret: Mindestens 32 Zeichen
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Verschlüsselung:
- TLS 1.2 + TLS 1.3 für alle Datenübertragungen
- HTTPS via HSTS-Header (max-age=63072000, 2 Jahre)
- Verschlüsselte Speicherung sensibler Daten
Zugriffsprotokolle:
- Logging aller Zugriffe auf personenbezogene Daten
- Aufbewahrung der Logs für 30 Tage
- Strukturiertes JSON-Format mit Request-ID
2.2 Eingabekontrolle
- Protokollierung von Datenänderungen (Audit-Logs)
- Nachvollziehbarkeit von Eingaben, Änderungen und Löschungen
- Zeitstempel für alle Aktionen
- Vollständige Löschung bei Kontolöschung
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1 Verfügbarkeitskontrolle
Infrastruktur (Hetzner):
- 24/7 technischer Support direkt im Rechenzentrum
- Unterbrechungsfreie Stromversorgung durch redundante USVs
- Redundante und hochverfügbare Netzwerkinfrastruktur
- Flächendeckende Brandfrüherkennungsmechanismen
- Redundante und energieeffiziente Kühlung
Anwendung:
- Monitoring der Systemverfügbarkeit
- Automatische Fehlerbenachrichtigungen
- Regelmäßige Sicherheitsupdates
3.2 Belastbarkeitskontrolle
Rate Limiting:
| Endpunkt-Typ | Limit | Zweck |
|---|---|---|
| Login (Magic Link) | 5/15 Min | Brute-Force-Schutz |
| Foto-Upload | 10/1 Min | Missbrauchsschutz |
| AI-Anfragen | 5/1 Min | Ressourcenschutz |
| Payment | 5/1 Min | Sicherheit |
Eingabevalidierung:
- Pydantic Schema-Validierung für alle API-Eingaben
- E-Mail-Validierung (RFC 5322)
- Längenlimits auf allen String-Feldern
- SQL-Injection-Schutz (SQLAlchemy ORM, parametrisierte Queries)
- Request-Size-Limit: 10 MB Maximum
- File-Upload-Validierung: Magic Byte Validation, Extension-Check
3.3 Wiederherstellbarkeit
Backup-Konzept:
- Regelmäßige Backups der Datenbank
- Geografisch getrennte Speicherung
- Getestete Wiederherstellungsprozesse
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
4.1 Datenschutz-Management
- Dokumentation aller Verarbeitungstätigkeiten
- Regelmäßige Überprüfung der TOMs
- Incident-Response-Plan
4.2 Incident Response
- Definierter Prozess zur Meldung von Datenschutzverletzungen (48h)
- Eskalationskette für Sicherheitsvorfälle
- Dokumentation aller Vorfälle
4.3 Schulungen
- Regelmäßige Schulungen der Mitarbeiter zu Datenschutz und IT-Sicherheit
- Verpflichtung aller Mitarbeiter auf Vertraulichkeit
5. Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
5.1 Privacy by Design
- Minimierung der erhobenen Daten
- Keine Speicherung von IP-Adressen in Anwendungs-Logs
- Keine Verwendung von Tracking-Cookies
- Passwordless Authentication (Magic Link)
5.2 Privacy by Default
- Standardmäßig keine Erfassung optionaler Daten
- Opt-in für optionale Datenfelder
- Plattform-Admin hat keinen Zugriff auf Firmendaten
6. Security Headers
| Header | Wert | Schutz gegen |
|---|---|---|
| X-Content-Type-Options | nosniff | MIME-Sniffing |
| X-Frame-Options | DENY | Clickjacking |
| Content-Security-Policy | default-src 'self' | Content-Injection |
| Strict-Transport-Security | max-age=63072000; includeSubDomains | Downgrade-Angriffe |
| Referrer-Policy | strict-origin-when-cross-origin | Referrer-Leaks |
7. Auftragsverarbeiter (Subunternehmer)
Siehe Anlage 3 zu diesem Vertrag.
Anlage 3: Subunternehmer-Liste
Die jeweils aktuelle Subunternehmer-Liste ist abrufbar unter: gesellschafterversammlung.digital/subunternehmerliste
Informationspflicht
Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen (Hinzuziehung oder Ersetzung von Subunternehmern) mindestens 30 Tage vor der geplanten Änderung per E-Mail an die im Account hinterlegte E-Mail-Adresse.
Widerspruchsrecht
Der Auftraggeber kann der Beauftragung eines neuen Subunternehmers innerhalb von 14 Tagen nach Erhalt der Mitteilung aus wichtigem datenschutzrechtlichem Grund schriftlich oder in Textform widersprechen.
Widerspruch richten Sie bitte an:
E-Mail: [PLATZHALTER: E-Mail-Adresse]
Betreff: "Widerspruch Subunternehmer-Änderung"
Folgen eines Widerspruchs
Da die Leistungserbringung ohne den neuen Subunternehmer technisch nicht möglich ist, führt ein Widerspruch zur außerordentlichen Kündigung des Vertrages durch den Auftragnehmer. Der Auftraggeber erhält eine anteilige Rückerstattung bereits gezahlter Gebühren für den nicht genutzten Zeitraum.
Kontakt
Bei Fragen zu den Subunternehmern wenden Sie sich bitte an:
JG Datenschutz GmbH
Datenschutz
Böttcher Straße 7
30419 Hannover Deutschland
E-Mail: [PLATZHALTER: E-Mail-Adresse]
Telefon: [PLATZHALTER: Telefonnummer]