Vertrag zur Auftragsverarbeitung (AVV)

§ 1 Gegenstand, Art und Zweck der Verarbeitung

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zum Zweck der Bereitstellung und des Betriebs der Feuerwehr-Verwaltungssoftware FlorianSuite (Verwaltung von Mitgliedern, Atemschutz, Geräten, Ausbildung, Kommando und weiteren freigeschalteten Modulen).

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Software durch den Verantwortlichen stellt die maßgebliche Weisung dar; einzelne abweichende Weisungen sind in Textform zu erteilen.

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

§ 2 Art der Daten und Kategorien betroffener Personen

Verarbeitet werden insbesondere folgende Datenarten:

• Stammdaten der Feuerwehrangehörigen (Name, Geburtsdatum, Anschrift, Eintrittsdatum, Dienstgrad, Funktionen/Ämter)
• Kontaktdaten (E-Mail, Telefon) und Erreichbarkeit/Verfügbarkeit
• Atemschutz-Tauglichkeits- und Ausbildungsdaten, insbesondere Fristen der arbeitsmedizinischen Vorsorge (G26), Belastungsübungen und Nachweise — hierunter fallen GESUNDHEITSDATEN i. S. v. Art. 9 DSGVO
• Tätigkeits-, Übungs- und Einsatznachweise (z. B. AGT-Tätigkeiten, Flüge der Drohneneinheit mit Pilotenzuordnung)
• Geräte- und Prüfdaten (Geräteprüfungen mit Zuordnung von Prüfer und Gegenprüfer)
• Zugangs- und Protokolldaten der App-Nutzung (Login, Zeitstempel von fachlichen Vorgängen)

— Besondere Kategorien (Art. 9 DSGVO)

Im Modul Atemschutz werden Gesundheitsdaten verarbeitet (insbesondere Fristen und Status der arbeitsmedizinischen Vorsorgeuntersuchung G26 sowie Tauglichkeits-/Belastungsnachweise). Diese unterliegen dem besonderen Schutz nach Art. 9 DSGVO; einschlägig ist regelmäßig Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge/Arbeitsmedizin) i. V. m. den landesrechtlichen Feuerwehr- und Arbeitsschutzvorschriften. Der Auftragsverarbeiter trifft hierfür die in der Anlage TOM beschriebenen, dem erhöhten Schutzbedarf angemessenen Maßnahmen.

Kategorien betroffener Personen:

• aktive und ausgeschiedene Angehörige der Feuerwehr (inkl. Jugend- und Ehrenabteilung, soweit erfasst)
• Funktionsträger und Mitglieder des Kommandos
• App-Nutzer (Wehrleitung, Warte, Mitglieder mit Zugang)

§ 3 Weisungsbindung

Der Auftragsverarbeiter verarbeitet die Daten nur im Rahmen dieses Vertrags und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet; in diesem Fall teilt er dem Verantwortlichen die Rechtsgrundlage vor der Verarbeitung mit, sofern das Gesetz dies nicht verbietet.

Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtswidrig, informiert er den Verantwortlichen unverzüglich. Er muss die Durchführung der betreffenden Weisung aussetzen und darf sie nicht ausführen, bis der Verantwortliche sie bestätigt oder ändert.

Eine Verarbeitung in einem Drittland erfolgt nicht ohne gesonderte Weisung. Sämtliche Verarbeitung findet innerhalb der EU/des EWR statt.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Für den Zugriff auf Gesundheitsdaten (Art. 9) gilt eine gesonderte Belehrung. Die Verpflichtung besteht auch nach Beendigung der Tätigkeit fort. Eine behördliche Offenbarungspflicht teilt der Auftragsverarbeiter dem Verantwortlichen mit, soweit gesetzlich zulässig.

§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die zur Sicherheit der Verarbeitung erforderlichen technischen und organisatorischen Maßnahmen. Diese sind in der Anlage „Technische und organisatorische Maßnahmen (TOM)“ beschrieben, die Bestandteil dieses Vertrags ist. Die Anlage unterscheidet ausdrücklich zwischen bereits umgesetzten und noch in Umsetzung befindlichen Maßnahmen. Der Auftragsverarbeiter darf die Maßnahmen anpassen, sofern das Schutzniveau nicht unterschritten wird.

§ 6 Inanspruchnahme weiterer Auftragsverarbeiter (Subunternehmer)

Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung weiterer Auftragsverarbeiter. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subunternehmer sind in der Anlage „Subunternehmer“ aufgeführt und hiermit genehmigt.

Beabsichtigte Änderungen (Hinzuziehung oder Austausch) teilt der Auftragsverarbeiter rechtzeitig mit; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

Der Auftragsverarbeiter verpflichtet jeden Subunternehmer auf die gleichen Datenschutzpflichten, wie sie in diesem Vertrag vereinbart sind (Art. 28 Abs. 4 DSGVO). Auf Anforderung stellt er dem Verantwortlichen die relevanten Nachweise bereit — entweder einen Auszug der mit den Subunternehmern geschlossenen AVVe oder eine schriftliche Bestätigung über deren Bindung nach Art. 28 DSGVO und die Umsetzung angemessener Maßnahmen.

§ 7 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen (Art. 12–23 DSGVO) zu erfüllen: durch Funktionen zur Auskunft/zum Export (Datenübertragbarkeit), zur Berichtigung, Löschung und Einschränkung. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet er das Anliegen ohne schuldhaftes Zögern, spätestens innerhalb von zwei Arbeitstagen, an den Verantwortlichen weiter, damit dieser die Monatsfrist nach Art. 12 Abs. 3 DSGVO wahren kann.

§ 8 Sicherheit, Datenpannen und Datenschutz-Folgenabschätzung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO. Er unterstützt insbesondere bei einer erforderlichen Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und stellt dafür die erforderlichen Informationen bereit (Verarbeitungsbeschreibung, eingesetzte Maßnahmen und deren Wirksamkeit) — vor allem im Hinblick auf die Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO).

Verletzungen des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dem Verantwortlichen ohne schuldhaftes Zögern, spätestens innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung umfasst, soweit bekannt: (i) Art und Umfang der betroffenen Daten, (ii) Kategorien und ungefähre Zahl der betroffenen Personen, (iii) wahrscheinliche Folgen sowie (iv) ergriffene oder vorgeschlagene Abhilfemaßnahmen — damit der Verantwortliche seine Frist nach Art. 33 DSGVO wahren kann.

§ 9 Löschung und Rückgabe nach Vertragsende

Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann vor der Löschung einen Datenexport verlangen. Sicherungskopien (Backups) werden im Rahmen der üblichen Rotation gelöscht.

Für Gesundheits-/Ausbildungsdaten können gesetzliche Aufbewahrungsfristen (z. B. nach ArbMedVV/DGUV oder Landesrecht) gelten, die über die Vertragslaufzeit hinausreichen. Solche Daten werden bis zum Fristablauf aufbewahrt und danach ohne weitere Weisung gelöscht; der Verantwortliche legt die maßgeblichen Fristen fest.

§ 10 Nachweise, Zertifikate und Überprüfungen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Vertrags zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder eine von ihm beauftragte Prüfperson. Verfügbare Zertifikate (z. B. das ISO 27001-Zertifikat des Rechenzentrums) werden auf Anforderung bereitgestellt. Überprüfungen werden mit angemessener Vorankündigung und ohne unzumutbare Störung des Betriebs durchgeführt.

§ 11 Verantwortlichkeit, Rangfolge und Schlussbestimmungen

Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte verantwortlich. Im Übrigen gelten die Regelungen des Nutzungsvertrags entsprechend.

Für datenschutzrechtliche Fragen gilt die Rangfolge: Anlage TOM vor diesem AVV, dieser AVV vor den AGB. Haftungs- oder Verfügbarkeitsregelungen der AGB werden durch diese Vorrangregelung nicht ausgehebelt; Haftungsausschlüsse für Verstöße gegen die zugesagten TOM-Maßnahmen sind unwirksam.

Dieser Vertrag wird elektronisch geschlossen (Art. 28 Abs. 9 DSGVO). Die Zustimmung wird mit Zeitstempel, Version und zustimmender Person dokumentiert.