Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 DSGVO

Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem zwischen dem Kunden (im Folgenden „Auftraggeber“) und Lance L. Strube, Am Ruesterbaum 9, 55218 Ingelheim am Rhein (im Folgenden „Auftragnehmer“) abgeschlossenen Nutzungsverhältnis ergeben. Sie findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet.

Hinweis: Für Geschäftskunden, die personenbezogene Daten Dritter (z. B. ihrer Kunden, Mitarbeiter, Mandanten) über Sendekontor verarbeiten lassen, ist der Abschluss dieser Vereinbarung verpflichtend. Ein gegengezeichnetes Exemplar senden wir auf Anfrage an kontakt@sendekontor.de zu.

§ 1 Gegenstand und Dauer

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten im Zusammenhang mit der Erbringung der Hybridpost-Dienstleistung (Druck, Kuvertierung, Frankierung, postalischer Versand).

(2) Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages, sofern sich aus dieser Vereinbarung nichts anderes ergibt.

§ 2 Art und Zweck der Verarbeitung, Datenkategorien, Betroffene

Art / Zweck: Entgegennahme von Dokumenten, Druck, Kuvertierung, Frankierung, Übergabe an Postdienstleister.

Datenkategorien: Name, Anschrift, ggf. Geburtsdatum, Kunden-/Mandanten-Nummer, Inhalte der hochgeladenen Dokumente, Kontaktinformationen.

Kategorien betroffener Personen: Empfänger der vom Auftraggeber versandten Schreiben (Kunden, Mitarbeiter, Mandanten, Geschäftspartner des Auftraggebers).

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich, personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers zu verarbeiten. Er bestätigt insbesondere:

• Verarbeitung nur auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO);
• Verpflichtung der eingesetzten Personen auf die Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO);
• Ergreifen geeigneter technischer und organisatorischer Maßnahmen (TOM, siehe Anlage 1);
• Unterstützung des Auftraggebers bei der Wahrnehmung der Betroffenenrechte (Art. 12 ff. DSGVO);
• Unterstützung bei Meldepflichten nach Art. 33, 34 DSGVO und bei Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO);
• Nach Wahl des Auftraggebers Löschung oder Rückgabe aller Daten nach Beendigung des Auftrags;
• Nachweisbarkeit der Einhaltung der Pflichten (Art. 28 Abs. 3 lit. h DSGVO).

§ 4 Unterauftragsverhältnisse

(1) Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

• Hostinganbieter mit Rechenzentrum in Deutschland (Hosting, Betrieb der Plattform).
• Druck-/Kuvertierungs­dienstleister in Deutschland (physische Produktion).
• Postdienstleister (z. B. Deutsche Post AG / DHL) zur Zustellung der Briefe.
• Zahlungs­dienstleister (z. B. Stripe, PayPal), sofern für die Vertragsabwicklung erforderlich.

(2) Der Auftragnehmer wird mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag mit datenschutzrechtlichen Pflichten gem. Art. 28 Abs. 4 DSGVO schließen.

(3) Eine aktuelle Liste der Unterauftragsverarbeiter wird auf Anfrage bereitgestellt. Beabsichtigte Änderungen werden mindestens 14 Tage vorher angekündigt; der Auftraggeber kann der Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.

§ 5 Kontroll- und Auskunftsrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich von der Einhaltung der TOM und dieser Vereinbarung beim Auftragnehmer zu überzeugen. Der Auftragnehmer stellt dazu die erforderlichen Informationen bereit, ermöglicht im erforderlichen Umfang Überprüfungen (auch durch beauftragte Prüfer) und unterstützt diese.

§ 6 Mitteilungspflichten bei Störungen / Verletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, jedenfalls innerhalb von 24 Stunden ab Kenntnis, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO) sowie über etwaige aufsichtsbehördliche Maßnahmen.

§ 7 Beendigung / Löschung

Nach Beendigung der Vertragsbeziehung werden personenbezogene Daten - nach Wahl des Auftraggebers - entweder zurückgegeben oder spätestens 90 Tage nach Auftragsende datenschutzgerecht gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Anlage 1 - Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen i. S. d. Art. 32 DSGVO:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Rechenzentrum mit Zutrittsschutz, abgeschlossene Räume bei der Produktion.
• Zugangskontrolle: Authentifizierung mit Benutzerkonten und gehashten Passwörtern (bcrypt/PASSWORD_DEFAULT), Rollen- und Rechtekonzept.
• Zugriffskontrolle: Berechtigungskonzept, „Need-to-know“-Prinzip, getrennte Speicherung von PDF-Daten außerhalb des öffentlichen Webroots.
• Trennungskontrolle: Logische Mandantentrennung in der Datenbank (company_id), Trennung von Test-, Staging- und Produktionsumgebungen.
• Pseudonymisierung wo praktikabel.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: Verschlüsselte Übertragung (TLS), keine Datenträgerweitergabe.
• Eingabekontrolle: Protokollierung von Anmeldungen und Auftragsänderungen.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Regelmäßige Backups der Datenbank und kritischer Konfigurationen.
• Aktualisierungen von Betriebssystem, Webserver und PHP (Security-Updates).
• Monitoring zur Erkennung von Ausfällen und Anomalien.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

• Datenschutzmanagement, dokumentierte Verarbeitungsverzeichnisse.
• Incident-Response-Prozess.
• Verpflichtung der Beschäftigten auf das Datengeheimnis.

Stand: 05/2026