Auftragsverarbeitungsvertrag (AVV)

Stand: April 2026  ·  Version 1.0

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen dem jeweiligen Träger der Jugendhilfe (nachfolgend „Verantwortlicher") und

Patrick Schäfer
Pflegeeltern.Space
Hans-Högn-Straße 6
95030 Hof
E-Mail: info@pflegeeltern.space

(nachfolgend „Auftragsverarbeiter")

Der AVV regelt die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Rahmen der Bereitstellung der Plattform PFLEGEELTERN.SPACE (portal.pflegeeltern.space) im Auftrag des Verantwortlichen verarbeitet. Er ist Bestandteil des zwischen den Parteien geschlossenen Nutzungsvertrags und geht diesem im Falle von Widersprüchen vor.

§ 1  Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung der PFLEGEELTERN.SPACE-Plattform für Träger der Jugendhilfe. Die Verarbeitung umfasst die in § 2 aufgeführten Datenkategorien.

(2) Die Verarbeitung beginnt mit Abschluss des Nutzungsvertrags und endet mit dessen Beendigung, sofern sich aus diesem AVV keine längeren Aufbewahrungspflichten ergeben.

§ 2  Art, Umfang und Zweck der Verarbeitung

(1) Verarbeitete Datenkategorien:

• Mitarbeiterdaten des Trägers: Name, E-Mail-Adresse, Funktion/Rolle, Login-Daten (pseudonymisiert)
• Pflegefamiliendaten: Name, Kontaktdaten, Betreuungsstatus, interne Notizen des Trägers, Hilfeplan-Termine
• Pflegekind-Stammdaten: Vorname, Alter, Hilfeform, Betreuungszeitraum (keine Diagnosen, Gesundheitsdaten oder vollständige Namen ohne ausdrückliche Weisungsvorgabe)
• Kontaktanfragen von Interessierten: Name, E-Mail-Adresse, Nachrichteninhalt, Zeitstempel
• Veranstaltungsdaten: Teilnehmernamen, E-Mail-Adressen, Anmeldestatus, Zertifikatsdaten
• Freiplatzmeldungen: Kapazitätsangaben, Hilfeform, Region, Verfügbarkeit (keine personenbezogenen Kinderdaten)
• Vertragsdaten: Name, Funktion und E-Mail der unterzeichnenden Person, IP-Adresse, Signaturzeitstempel

(2) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO):

Soweit der Verantwortliche im Rahmen der Pflegekind-Verwaltung Daten verarbeitet, die Rückschlüsse auf den Gesundheitszustand, die ethnische Herkunft oder ähnlich schutzbedürftige Merkmale Minderjähriger zulassen, ist der Verantwortliche verpflichtet, eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO nachzuweisen (insbesondere § 85 SGB X i.V.m. § 61 SGB VIII) und den Auftragsverarbeiter vorab zu informieren. Der Auftragsverarbeiter verarbeitet solche Daten ausschließlich auf ausdrückliche Weisung des Verantwortlichen.

(3) Zwecke der Verarbeitung:

• Betrieb und Bereitstellung der Plattformfunktionen
• Verwaltung von Kontaktanfragen und Leads
• Organisation von Schulungen und Veranstaltungen
• Erstellung von Teilnahmebestätigungen
• Dokumentenablage und Teamkommunikation
• Abschluss und Verwaltung von Nutzungsverträgen (Click-to-Sign)
• Technische Sicherheit und Systemüberwachung

(4) Betroffene Personengruppen: Mitarbeiter des Trägers, Pflegefamilien, Pflegekinder (Minderjährige), Interessierte und Anfragende.

§ 3  Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation — es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, dazu verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus Gründen des öffentlichen Interesses verbietet.

(2) Weisungen erteilt der Verantwortliche schriftlich (E-Mail genügt). Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(3) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, hat er den Verantwortlichen unverzüglich zu informieren. Er ist berechtigt, die Ausführung der Weisung bis zur Klärung auszusetzen.

§ 4  Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verpflichtet sich insbesondere:

• Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
• Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO)
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen (§ 7 dieses AVV)
• Die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragnehmer) gemäß § 5 einzuhalten
• Den Verantwortlichen angesichts der Art der Verarbeitung bei der Erfüllung seiner Pflichten hinsichtlich der Betroffenenrechte (Art. 12–22 DSGVO) zu unterstützen
• Den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen, insbesondere bei der Meldung von Datenpannen und der Durchführung von Datenschutz-Folgenabschätzungen
• Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zurückzugeben oder zu löschen (§ 8)
• Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen einschließlich Inspektionen zu ermöglichen

§ 5  Unterauftragnehmer

(1) Der Auftragsverarbeiter setzt die folgenden Unterauftragnehmer ein, deren Einsatz der Verantwortliche mit Abschluss dieses AVV genehmigt:

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder Ersetzung weiterer Unterauftragnehmer mindestens 30 Tage im Voraus per E-Mail. Der Verantwortliche hat das Recht, berechtigte Einwände schriftlich zu erheben.

(3) Die Zoom-Integration nutzt den eigenen Zoom-Account des Trägers. Für den Datenschutz in Zoom-Meetings ist der Träger als eigenständiger Verantwortlicher zuständig. Über die Plattform werden lediglich Meeting-Links übertragen; keine Meeting-Inhalte oder -Aufzeichnungen.

§ 6  Betroffenenrechte

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO):

• Auskunft (Art. 15 DSGVO): Auf Anfrage stellt der Auftragsverarbeiter innerhalb von 5 Werktagen einen Datenauszug der betroffenen Person bereit.
• Berichtigung (Art. 16 DSGVO): Korrekturen werden auf Weisung des Verantwortlichen unverzüglich vorgenommen.
• Löschung (Art. 17 DSGVO): Löschung auf Weisung innerhalb von 5 Werktagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Datenübertragbarkeit (Art. 20 DSGVO): Daten werden auf Anfrage in einem maschinenlesbaren Format (CSV/JSON) exportiert.
• Widerspruch / Einschränkung (Art. 18, 21 DSGVO):Verarbeitung wird auf Weisung des Verantwortlichen eingeschränkt.

(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

§ 7  Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt gemäß Art. 32 DSGVO folgende Maßnahmen um:

Vertraulichkeit

• Verschlüsselung aller Daten in Transit (TLS 1.2/1.3) und bei der Speicherung
• Rollenbasiertes Zugriffsmodell — Träger sehen ausschließlich eigene Daten
• Starke Passwort-Anforderungen, optionale Zwei-Faktor-Authentifizierung
• Datenbankzugriff nur über verschlüsselte Verbindung, kein öffentlicher Datenbankport
• Vertraulichkeitsverpflichtung aller Mitarbeiter mit Datenzugriff

Integrität

• SHA-256 Hash-Ketten für Audit-Logs (manipulationsgesichert)
• RFC 3161 Zeitstempel für Vertragsunterzeichnungen
• Tägliche Datenbankbackups, verschlüsselt gespeichert
• Eingabevalidierung und Parameterized Queries gegen SQL-Injection

Verfügbarkeit

• Hosting bei Hetzner in deutschem Rechenzentrum (99,9 % SLA)
• Automatisierte Backups mit 30-Tage-Aufbewahrung
• Monitoring und Alerting bei Systemausfällen

Belastbarkeit

• Rate-Limiting auf allen API-Endpunkten
• Schutz gegen CSRF, XSS und Brute-Force-Angriffe
• Regelmäßige Sicherheitsupdates und Dependency-Patches

Der Verantwortliche kann jederzeit eine aktuelle Übersicht der TOMs unter info@pflegeeltern.space anfordern.

§ 8  Datenpannen (Art. 33, 34 DSGVO)

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stundennach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, damit dieser seiner Meldepflicht gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 Abs. 1 DSGVO) nachkommen kann.

(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen sowie bereits ergriffene und vorgesehene Abhilfemaßnahmen.

(3) Meldungen erfolgen per E-Mail an die vom Verantwortlichen benannte Kontaktadresse sowie an info@pflegeeltern.space.

§ 9  Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage innerhalb von 14 Tageneinen vollständigen Datenexport (JSON/CSV) aller durch den Träger erfassten Daten zur Verfügung.

(2) Nach Ablauf einer Übergangsfrist von 60 Tagennach Vertragsende werden alle personenbezogenen Daten des Trägers unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(3) Ausgenommen von der Löschung sind:

• Vertrags- und Rechnungsdaten (10 Jahre nach Art. 257 HGB, § 147 AO)
• Audit-Logs zur Vertragsunterzeichnung (10 Jahre nach Vertragsende)
• Daten, deren Löschung durch behördliche Anordnung untersagt ist

(4) Die Löschung wird auf Wunsch des Verantwortlichen schriftlich bestätigt.

§ 10  Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Soweit der Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) für Verarbeitungsvorgänge durchführen muss, die auf der Plattform stattfinden, unterstützt der Auftragsverarbeiter ihn auf Anfrage durch Bereitstellung technischer Informationen zur Verarbeitungsarchitektur, zu den eingesetzten TOMs und zur Unterauftragnehmer-Kette.

Besonders hingewiesen wird auf das erhöhte Risikopotenzial bei der Verarbeitung von Daten Minderjähriger (Pflegekinder) gemäß Erwägungsgrund 38 DSGVO, das bei der DSFA gesondert zu berücksichtigen ist.

§ 11  Kontrollrechte des Verantwortlichen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zur Nachweisführung der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten erforderlich sind.

(2) Der Auftragsverarbeiter ermöglicht dem Verantwortlichen oder einem von ihm beauftragten Prüfer Überprüfungen einschließlich Inspektionen mit einer Vorlaufzeit von mindestens 14 Werktagen. Prüfungen finden zu üblichen Geschäftszeiten und ohne Beeinträchtigung des laufenden Betriebs statt. Kosten für Inspektionen trägt der Verantwortliche.

(3) Alternativ kann der Auftragsverarbeiter dem Verantwortlichen einen aktuellen Prüfbericht eines unabhängigen Dritten (z.B. ISO 27001 Audit, Penetrationstest) vorlegen, der die Einhaltung der TOMs dokumentiert.

§ 12  Haftung

(1) Verstößt der Auftragsverarbeiter gegen seine datenschutzrechtlichen Pflichten aus diesem AVV oder handelt er entgegen rechtmäßigen Weisungen des Verantwortlichen, gilt er für den entsprechenden Schaden als Verantwortlicher im Sinne des Art. 82 Abs. 2 DSGVO.

(2) Der Auftragsverarbeiter haftet dem Verantwortlichen für Schäden, die durch Verletzung der in diesem AVV geregelten Pflichten entstehen, nach Maßgabe der gesetzlichen Haftungsvorschriften. Eine weitergehende Haftungsbeschränkung ergibt sich aus dem Nutzungsvertrag.

(3) Der Auftragsverarbeiter haftet nicht für Schäden, die daraus resultieren, dass der Verantwortliche Daten oder Weisungen übermittelt, die gegen geltendes Recht verstoßen.

§ 13  Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

• Sicherzustellen, dass er über eine geeignete Rechtsgrundlage für jede Verarbeitung personenbezogener Daten verfügt, die er über die Plattform vornimmt
• Den Auftragsverarbeiter unverzüglich zu informieren, wenn er feststellt, dass Weisungen gegen anwendbares Datenschutzrecht verstoßen
• Die ihm obliegenden Informationspflichten gegenüber betroffenen Personen (Art. 13/14 DSGVO) zu erfüllen, insbesondere gegenüber Pflegefamilien und Anfragenden
• Für Mitarbeiterzugänge zur Plattform die interne Zugriffsverwaltung (Rollenvergabe, Deaktivierung ausgeschiedener Mitarbeiter) zeitnah durchzuführen
• Beim Einsatz der Zoom-Integration die datenschutzrechtliche Eigenverantwortlichkeit für die Verarbeitung in Meetings zu tragen

§ 14  Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragsverarbeiters (Hof, Bayern), soweit der Verantwortlicher Unternehmer ist.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Änderungen dieses AVV bedürfen der Schriftform (E-Mail genügt). Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen mit einer Frist von mindestens 30 Tagen.

(4) Dieser AVV wird durch Abschluss des Nutzungsvertrags (Click-to-Sign) verbindlich. Eine gesonderte Unterzeichnung ist gemäß Art. 28 Abs. 9 DSGVO nicht erforderlich, da der AVV in elektronischer Form vorliegt.

(5) Der aktuell gültige AVV ist jederzeit abrufbar unter: pflegeeltern.space/avv

Bei Fragen zu diesem Auftragsverarbeitungsvertrag wenden Sie sich an: info@pflegeeltern.space