Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Stand: April 2026

Dieser AVV gilt zwischen dem Firmenkunden (Auftraggeber) und Ralph Flügge (Auftragnehmer) für die Verarbeitung personenbezogener Mitarbeiterdaten auf der Plattform firmendeutsch.de. Der AVV tritt mit Registrierung des Auftraggebers in Kraft.

§ 1 Gegenstand und Dauer

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der Sprachlernplattform firmendeutsch.de.

(2) Die Dauer des Auftrags entspricht der Laufzeit des Nutzungsvertrags (Abonnement).

§ 2 Art und Zweck der Verarbeitung

Merkmal	Beschreibung
Zweck	Bereitstellung der Lernplattform, Speicherung des Lernfortschritts, Verwaltung der Mitarbeiterzugänge
Art der Daten	Vorname, Nachname, 6-stelliger PIN, Lernfortschritt (Level, Tabs, Scores), Sprache, letzte Anmeldung
Betroffene	Mitarbeiter des Auftraggebers, die die Lernplattform nutzen
Verarbeitungsart	Speicherung, Abruf, Synchronisation, Löschung

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
Alle gemäß Art. 32 DSGVO erforderlichen technisch-organisatorischen Maßnahmen zu ergreifen (siehe § 7).
Unterauftragnehmer nur mit vorheriger Zustimmung des Auftraggebers einzusetzen (Art. 28 Abs. 2 DSGVO).
Den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen.
Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO).
Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben.

§ 4 Pflichten des Auftraggebers

Der Auftraggeber ist verantwortlich für:

Die Rechtmäßigkeit der Datenverarbeitung (Rechtsgrundlage, Information der Betroffenen).
Die Richtigkeit der eingegebenen Mitarbeiterdaten.
Die Information seiner Mitarbeiter über die Verarbeitung ihrer Daten auf der Plattform.
Die Erteilung von Weisungen an den Auftragnehmer in Textform.

§ 5 Unterauftragnehmer

Folgende Unterauftragnehmer werden zum Zeitpunkt des Vertragsschlusses eingesetzt:

Unterauftragnehmer	Leistung	Standort
Goneo Internet GmbH	Webhosting, Datenbank, E-Mail	Frankfurt am Main, Deutschland
Stripe Payments Europe, Ltd.	Zahlungsabwicklung	Dublin, Irland (EU)

Der Auftraggeber stimmt dem Einsatz dieser Unterauftragnehmer zu. Bei Änderungen wird der Auftraggeber vorab informiert und hat ein Widerspruchsrecht.

§ 6 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorgaben und dieses Vertrags zu überprüfen — durch Auskünfte, Einsicht in Zertifizierungen oder Vor-Ort-Prüfungen (nach Terminvereinbarung).

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.

§ 7 Technisch-organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO getroffen:

7.1 Vertraulichkeit

Zutrittskontrolle: Serverstandort Frankfurt (Goneo/MK Netzdienste), TÜV-zertifiziertes Rechenzentrum, Zwei-Phasen-Autorisierung, Videoüberwachung, Alarmanlage.
Zugangskontrolle: SSH-Zugang nur mit Key-Authentifizierung, FTPS-verschlüsselter Upload, Admin-Login mit BCRYPT-Hash (Kostenfaktor 12), Rate-Limiting (5 Versuche, 15 Min. Sperre).
Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Admin, Arbeitgeber, Mitarbeiter). Jeder Zugriff ist auf den jeweiligen Firmenkontext beschränkt.
Trennungskontrolle: Mandantentrennung durch company_id in der Datenbank. Firmenkunden sehen nur ihre eigenen Mitarbeiterdaten.

7.2 Integrität

Weitergabekontrolle: Alle Datenübertragungen über TLS/SSL (HTTPS). CSRF-Token auf allen Formularen.
Eingabekontrolle: Audit-Log protokolliert alle Änderungen an Firmen- und Benutzerdaten (Akteur, Aktion, Zeitpunkt, IP-Adresse).

7.3 Verfügbarkeit

Tägliche automatische Datenbank-Backups
Redundante Festplatten und Netzteile (Goneo)
Redundante Mail- und DNS-Server
USV-Anlage und Notstromdiesel im Rechenzentrum

7.4 Belastbarkeit

Security-Pipeline mit Semgrep (SAST) und Gitleaks (Secret-Scanning) bei jedem Deploy
HTTP-Security-Header: HSTS, X-Content-Type-Options, X-Frame-Options, CSP
Prepared Statements für alle Datenbankabfragen (SQL-Injection-Schutz)

§ 8 Löschung und Rückgabe

(1) Nach Beendigung des Vertrags löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

(2) Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen Format (CSV) exportiert und übergeben.

§ 9 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Änderungen bedürfen der Textform.

(3) Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

§ 10 Auftragsverarbeitung mit Hosting-Anbieter

Zwischen dem Auftragnehmer und seinem Hosting-Anbieter (Goneo Internet GmbH) besteht ein eigener Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Der unterzeichnete Vertrag kann hier eingesehen werden:

📄 AVV mit Goneo (PDF)

Auftragnehmer:
Ralph Flügge
Hauptstr. 96, 29352 Adelheidsdorf
E-Mail: info@firmendeutsch.de
Telefon: +49 163 7911395