Rechtliches
Alle rechtlichen Dokumente an einem Ort
Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO
gemäß Art. 28 DSGVO
Software "flowgeist KITA"
Stand: 08.07.2026 | Version: 0.2
Rechtlicher Hinweis: Dieses Dokument ist eine Vorlage und ersetzt keine anwaltliche Prüfung. Vor Vertragsabschluss ist rechtliche Beratung durch einen Fachanwalt für IT-/Datenschutzrecht einzuholen.
Präambel
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener
Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang
mit der Nutzung der Software "flowgeist KITA".
Rollen:
- Verantwortlicher: Generalunternehmer (gegenüber dem Endkunden als
Verantwortlicher im Sinne der DSGVO auftretend) - Auftragsverarbeiter: flowgeist (Software-Lieferant, der die Daten im Rahmen
des SaaS-Betriebs verarbeitet)
§ 1 Gegenstand und Art der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des
Verantwortlichen im Rahmen des Betriebs der Software "flowgeist KITA".
(2) Art und Zwecke der Verarbeitung:
| Verarbeitungstätigkeit | Zweck | Rechtsgrundlage |
|---|---|---|
| Betrieb der SaaS-Plattform | Bereitstellung der Software für Endkunden | Art. 6 Abs. 1 lit. b DSGVO |
| Speicherung von Kita-Stammdaten | Verwaltung von Einrichtungen | Art. 6 Abs. 1 lit. b DSGVO |
| Speicherung von Kinderdaten | Verwaltung von Kindangaben | Art. 6 Abs. 1 lit. b DSGVO, Art. 9 Abs. 2 lit. h DSGVO |
| Speicherung von Gesundheitsdaten | Notfall- und Pflegeinformationen | Art. 9 Abs. 2 lit. h DSGVO |
| Speicherung von Personaldaten | Personalverwaltung | Art. 6 Abs. 1 lit. b DSGVO |
| Anwesenheitsdokumentation | Betreuungs- und Abrechnungszwecke | Art. 6 Abs. 1 lit. b DSGVO |
| Beitragsabrechnung | Gebührenberechnung | Art. 6 Abs. 1 lit. b DSGVO |
| Log-Daten (technisch) | Sicherheit und Fehlersuche | Art. 6 Abs. 1 lit. f DSGVO |
| Backup und Recovery | Datensicherung | Art. 6 Abs. 1 lit. f DSGVO |
(3) Die Verarbeitung erfolgt ausschliesslich nach dokumentierten Weisungen des
Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
(4) Der Auftragsverarbeiter führt keine eigenverantwortlichen Verarbeitungen durch.
§ 2 Datenkategorien und betroffene Personen
(1) Betroffene Personen:
- Kinder (Minderjährige, teilweise unter 14 Jahren)
- Erziehungsberechtigte / Eltern
- Personal der Kita-Einrichtungen (Beschäftigte)
- Notfallkontakte (angehörige Dritter)
- Externe Dienstleister (z.B. Therapeuten, Logopäden)
(2) Datenkategorien:
Allgemeine personenbezogene Daten:
- Name, Vorname
- Geburtsdatum
- Adresse
- Telefonnummer
- E-Mail-Adresse
- Staatsangehörigkeit
Besondere Datenkategorien (Art. 9 DSGVO):
- Gesundheitsdaten (Allergien, Medikamente, chronische Erkrankungen)
- Pflege- und Betreuungsbedarf
- Integrations-/Inklusionsbedarf
Kita-spezifische Daten:
- Betreuungsvertrag und -zeiten
- Anwesenheits- und Abwesenheitsdaten
- Notfallkontakte und Berechtigungsverhältnisse
- Erziehungsberechtigtenverhältnisse (Sorgerecht)
- Beitragsdaten und Abrechnungsdaten
- Bring- und Abholberechtigungen
- Ernährungsbedarf (z.B. Unverträglichkeiten)
Personalbezogene Daten:
- Beschäftigungsverhältnis
- Qualifikationen und Zertifikate
- Einsatzplanung und Arbeitszeiten
- Krankheitsstand (Abwesenheitsgrund)
(3) Der Verantwortliche stellt sicher, dass die erforderlichen Einwilligungen
und Rechtsgrundlagen für die Verarbeitung vorliegen, insbesondere bei der
Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) und Daten Minderjähriger.
§ 3 Technisch-organisatorische Massnahmen (TOMs)
(1) Der Auftragsverarbeiter implementiert folgende TOMs gemäss Art. 32 DSGVO:
A. Zutrittskontrolle
- Rechenzentrum mit physischem Zutrittsschutz (Badge, Biometrie)
- Protokollierung aller physischen Zugriffe
- Hetzner Online GmbH, ISO 27001 zertifizierte Rechenzentren (Deutschland/EU)
B. Zugangskontrolle
- Rollenbasiertes Zugriffskontrollsystem (RBAC)
- Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge
- Eindeutige Benutzerkennung je Nutzer
- Automatische Session-Timeouts (15 Minuten Inaktivität)
- Passwortrichtlinie: Mindestens 12 Zeichen, komplexe Anforderungen
C. Zugriffskontrolle
- Need-to-Know-Prinzip für Datenzugriffe
- Protokollierung aller Datenzugriffe (Audit-Log)
- Quartalsweise Berechtigungsprüfung
- Sofortige Sperrung bei Austritt/Abmeldung
D. Trennungskontrolle
- Logische Trennung von Mandanten (Multi-Tenant-Isolation)
- Trennung von Produktions- und Testumgebung
- Trennung von Entwicklungs- und Produktionsdaten
E. Pseudonymisierung und Verschlüsselung
- Transportverschlüsselung: TLS 1.3 für alle Verbindungen
- Verschlüsselung ruhender Daten: AES-256
- Datenbank-Verschlüsselung auf Storage-Ebene
- Pseudonymisierung von Log-Daten (keine PII in Logs)
F. Integritätskontrolle
- Hash-Prüfung bei Datenübertragung
- Versionierte Datenbank-Migrationen
- Audit-Trail für alle Datenänderungen
G. Verfügbarkeitskontrolle
- Automatisierte tägliche Backups (inkrementell)
- Voll-Backup wöchentlich
- Backup-Aufbewahrung: 30 Tage
- Recovery Point Objective (RPO): 24 Stunden
- Recovery Time Objective (RTO): 4 Stunden
- Geo-Redundante Backup-Speicherung
- Monitoring 24/7 mit Alerting
H. Datenträgerkontrolle
- Sichere Löschung von Datenträgern vor Entsorgung
- Verschlüsselung mobiler Datenträger
- Keine Speicherung auf lokalen Datenträgern
I. Übertragungskontrolle
- Ende-zu-Ende-Verschlüsselung für alle API-Kommunikation
- Verschlüsselte E-Mail-Kommunikation bei sensiblen Inhalten
- Sichere Dateiübertragung (SFTP/HTTPS)
J. Eingabekontrolle
- Audit-Log aller Datenänderungen (wer, was, wann)
- Unveränderlichkeit von Audit-Logs
- Aufbewahrung der Audit-Logs: 10 Jahre (SGB X §35)
K. Auftragskontrolle
- Verschwiegenheitsvereinbarungen mit allen Mitarbeitern
- Subunternehmer nur mit Genehmigung des Verantwortlichen
- Technische und organisatorische Anforderungen an Subunternehmer
L. Wiederherstellbarkeit
- Disaster Recovery Plan
- Quartalsweise Wiederherstellungstests
- Dokumentierte Notfallprozesse
M. Zuverlässigkeit
- Sicherheitsrichtlinie für alle Mitarbeiter
- Regelmässige Security-Awareness-Trainings
- Background-Checks für privilegierte Benutzer
N. Datentrennung
- Mandantentrennung auf Datenbankebene (Tenant-ID)
- Keine Datenvermischung zwischen Endkunden
- Separate Verschlüsselungsschlüssel pro Mandant (optional)
(2) Änderungen an den TOMs werden dem Verantwortlichen mindestens
4 Wochen vorher mitgeteilt, sofern sie das
Schutzniveau beeinträchtigen könnten.
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich
auf dokumentierte Weisung des Verantwortlichen.
(2) Der Auftragsverarbeiter bestätigt, dass alle mit der Verarbeitung beauftragten
Personen gemäss Art. 29 DSGVO auf das Datengeheimnis verpflichtet sind.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über:
- Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO)
- Verdacht auf Verletzung des Schutzes personenbezogener Daten
- Kontrollen und Massnahmen der Aufsichtsbehörden
- Anfragen betroffener Personen, die direkt an den Auftragsverarbeiter gerichtet werden
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der:
- Erfüllung der Auskunftspflicht gegenüber betroffenen Personen
- Umsetzung von Betroffenenrechten (Löschung, Berichtigung, etc.)
- Durchführung der Datenschutz-Folgenabschätzung (DSFA)
- Meldung von Datenverletzungen an die Aufsichtsbehörde
(5) Der Auftragsverarbeiter nimmt keine eigenverantwortlichen Verarbeitungen vor.
§ 5 Subunternehmer (Weiterverarbeitung)
(1) Der Auftragsverarbeiter setzt folgende Subunternehmer ein:
| Subunternehmer | Leistung | Sitz | DSGVO-konform |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, PostgreSQL, Backups | Deutschland (Falkenstein) | ISO 27001, AVV vorhanden |
| Hetzner Online GmbH | E-Mail-Dienst (SMTP Relay) | Deutschland | AVV vorhanden |
(2) Die Einbeziehung weiterer Subunternehmer bedarf der vorherigen
ausdrücklichen oder konkludenten Zustimmung des Verantwortlichen (Art. 28 Abs. 2 DSGVO).
(3) Der Auftragsverarbeiter überträgt die Datenschutzverpflichtungen in
entsprechender Weise auf die Subunternehmer.
(4) Der Auftragsverarbeiter haftet dem Verantwortlichen für das Verhalten
seiner Subunternehmer wie für eigenes Verhalten.
§ 6 Datenlöschung und Rückgabe
(1) Nach Beendigung der Verarbeitung übergibt der Auftragsverarbeiter die
personenbezogenen Daten an den Verantwortlichen und löscht die eigenen Kopien,
sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Die Löschung erfolgt nach Ablauf der gesetzlichen Aufbewahrungsfristen:
- Buchhaltungs-/Abrechnungsdaten: 10 Jahre (HGB § 257, AO § 147)
- Personalbezogene Daten: Austritt + 10 Jahre (arbeitsrechtliche Aufbewahrung)
- Audit-Logs: 10 Jahre (SGB X §35)
(3) Die Löschung wird dem Verantwortlichen schriftlich bestätigt.
(4) Vor der Löschung werden Backups gemäss der definierten
Backup-Aufbewahrungsfrist überschrieben.
§ 7 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche ist berechtigt, die Einhaltung der TOMs zu kontrollieren.
(2) Kontrollen werden mit angemessener Vorankündigung durchgeführt.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Kontrollen
und Audits, insbesondere durch:
- Bereitstellung von Auditzertifikaten (z.B. ISO 27001)
- Auskunft über Sicherheitsvorfälle
- Einsicht in relevante Dokumentationen
(4) Der Verantwortliche hat das Recht, Audits beim Auftragsverarbeiter
durchzuführen oder durchführen zu lassen, sofern ein berechtigtes Interesse besteht.
§ 8 Datenverletzung (Data Breach)
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert
der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch
innerhalb von 24 Stunden nach Kenntnisnahme.
(2) Die Information umfasst mindestens:
- Art der Verletzung
- Betroffene Datenkategorien und Personen
- Wahrscheinliche Folgen
- Geplante Massnahmen zur Schadensbegrenzung
(3) Der Auftragsverarbeiter dokumentiert alle Datenverletzungen gemäss
Art. 33 Abs. 5 DSGVO.
(4) Der Verantwortliche ist für die Meldung an die Aufsichtsbehörde und
die Benachrichtigung betroffener Personen verantwortlich.
§ 9 Internationaler Datenverkehr
(1) Eine Übermittlung personenbezogener Daten in Drittländer ausserhalb der
EU/des EWR findet nicht statt.
(2) Sollte dies künftig erforderlich werden, bedarf dies der vorherigen
Zustimmung des Verantwortlichen und der Sicherstellung eines angemessenen
Schutzniveaus gemäss Art. 44 ff. DSGVO.
§ 10 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil des Software-Überlassungs- und Pflegevertrages.
(2) Änderungen und Ergänzungen bedürfen der Schriftform.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit
der übrigen Bestimmungen unberührt.
Verantwortlicher (Generalunternehmer):
[PLATZHALTER: Firmenname — EXTERN]
[PLATZHALTER: Adresse — EXTERN]
[PLATZHALTER: Datum/Unterschrift — EXTERN]
Auftragsverarbeiter (Software-Lieferant):
flowgeist – Ralf Carsjens
Eidamshauser Straße 13
40822 Mettmann
Deutschland
[PLATZHALTER: Datum/Unterschrift]
Anlage 1: Verzeichnis von Verarbeitungstätigkeiten
| Nr. | Verarbeitungstätigkeit | Datenkategorien | Betroffene Personen | Löschfrist |
|---|---|---|---|---|
| 1 | Kita-Stammdatenverwaltung | Einrichtungsdaten, Ansprechpartner | Personal | Vertragsende + 10 Jahre |
| 2 | Kinderverwaltung | Name, Geburtsdatum, Gesundheitsdaten | Kinder | Austritt + 10 Jahre (Stammdaten), + 1 Jahr (Gesundheitsdaten) |
| 3 | Erziehungsberechtigtenverwaltung | Name, Kontakt, Sorgerecht | Erziehungsberechtigte | Kindaustritt + 10 Jahre |
| 4 | Anwesenheitsdokumentation | An-/Abwesenheit, Zeiten | Kinder, Personal | 6 Jahre |
| 5 | Beitragsabrechnung | Abrechnungsdaten, Bankverbindung | Erziehungsberechtigte | 10 Jahre (HGB § 257, AO § 147) |
| 6 | Personalverwaltung | Beschäftigungsdaten, Qualifikationen | Personal | Austritt + 10 Jahre |
| 7 | Notfallkontaktverwaltung | Name, Telefon, Verhältnis | Dritte | Kindaustritt + 10 Jahre |
| 8 | Audit-Logs | IP, Zeitstempel, Aktion (pseudonymisiert) | Nutzer | 10 Jahre (SGB X §35) |
| 9 | Backup | Alle oben genannten | Alle | 30 Tage |
© 2026 flowgeist – Ralf Carsjens · Alle Rechte vorbehalten