Auftragsverarbeitungsvertrag (AVV)
Muster-Auftragsverarbeitungsvertrag für „mandari work". Dieser Mustertext wird mit den Daten der jeweiligen Organisation ausgefertigt. Der personalisierte AVV kann digital im Kundenportal unter portal.mandari.de/portal/avv/ abgeschlossen werden; bei Fragen: hello@mandari.de.
Vertrag über die Auftragsverarbeitung nach Art. 28 DSGVO
zwischen der buchenden Organisation (nachfolgend „Verantwortlicher")
und
topixmedia (Einzelunternehmen), Inhaber Sven Konopka, Aegidiistraße 61/62, 48143 Münster (nachfolgend „Auftragsverarbeiter").
1. Gegenstand und Dauer der Verarbeitung
Gegenstand des Vertrags ist die Bereitstellung und der Betrieb der Software-as-a-Service-Lösung „mandari work" (Arbeitsbereich für Fraktionen und politische Organisationen) einschließlich Hosting, Datensicherung, Wartung und Support. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag gemäß AGB). Dieser Vertrag endet mit dem Ende des Hauptvertrags; die Pflichten aus Ziffer 8 (Löschung und Rückgabe) bestehen darüber hinaus fort.
2. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst das Erheben, Speichern, Verändern, Auslesen, Übermitteln (innerhalb der Organisation des Verantwortlichen), Sichern und Löschen personenbezogener Daten, soweit dies für den Betrieb des Dienstes erforderlich ist. Zweck der Verarbeitung ist die Unterstützung der Fraktions- und Gremienarbeit des Verantwortlichen: Sitzungsvorbereitung, interne Abstimmungen, Antrags- und Aufgabenverwaltung, Kommunikation und Benachrichtigungen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.
3. Kategorien personenbezogener Daten
- Nutzerkonten: Name, E-Mail-Adresse, Organisationszugehörigkeit, Rollen und Berechtigungen, Login-Daten (einschließlich IP-Adressen von Anmeldeversuchen zur Missbrauchsabwehr), Einstellungen.
- Arbeitsinhalte der Fraktion: vom Verantwortlichen und seinen Nutzerinnen und Nutzern eingestellte Inhalte wie Notizen, Kommentare, Anträge und Antragsentwürfe, Protokolle interner Sitzungen, Aufgaben, Termine, Abstimmungsergebnisse und hochgeladene Dokumente. Diese Inhalte können ihrerseits personenbezogene Daten Dritter enthalten (z. B. Namen von Mandatsträgerinnen und Mandatsträgern).
- Abrechnungsdaten: Organisationsname, Rechnungsadresse, Rechnungs-E-Mail, Zahlungsstatus (Verarbeitung über die in Ziffer 7 genannten Dienstleister).
- Protokoll- und Metadaten: technische Logdaten (Zeitstempel, IP-Adresse, aufgerufene Funktion), soweit für den sicheren Betrieb erforderlich.
4. Kategorien betroffener Personen
- Nutzerinnen und Nutzer des Verantwortlichen (Mandatsträger:innen, Fraktionsmitarbeitende, sachkundige Bürger:innen, Gäste),
- Ansprechpersonen des Verantwortlichen für Vertrag und Abrechnung,
- Dritte, deren Daten in Arbeitsinhalten des Verantwortlichen enthalten sind (z. B. in Anträgen oder Protokollen genannte Personen).
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter
- verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO); die Nutzung des Dienstes gemäß Hauptvertrag gilt als Weisung. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich;
- stellt sicher, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO);
- trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (Ziffer 6);
- unterstützt den Verantwortlichen mit geeigneten Mitteln bei der Beantwortung von Betroffenenanfragen (Art. 12–23 DSGVO) sowie bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung);
- meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis;
- führt ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO;
- benennt als Ansprechstelle für Datenschutzfragen: hello@mandari.de.
6. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft mindestens die folgenden Maßnahmen; sie werden dem Stand der Technik entsprechend fortlaufend weiterentwickelt:
- Verschlüsselung: Sensible Arbeitsinhalte werden mit AES-256-GCM und organisationsspezifischen Schlüsseln verschlüsselt gespeichert; sämtliche Datenübertragung erfolgt transportverschlüsselt (TLS).
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (RBAC) mit feingranularen Berechtigungen; Zugriff auf Produktivsysteme nur für den Auftragsverarbeiter über gesicherte Zugänge; Zwei-Faktor-Authentifizierung verfügbar.
- Zutritts- und Infrastruktursicherheit: Betrieb ausschließlich in deutschen Rechenzentren (Hetzner Online GmbH) mit zertifizierter physischer Sicherheit.
- Verfügbarkeitskontrolle: Tägliche Backups mit 30 Tagen Aufbewahrung, getrennt vom Produktivsystem; Monitoring und öffentliche Statusseite (status.mandari.de).
- Trennungskontrolle: Mandantenfähige Architektur mit strikter Datenisolation pro Organisation.
- Eingabekontrolle: Protokollierung sicherheitsrelevanter Vorgänge (z. B. Anmeldeversuche).
- Organisatorische Maßnahmen: Vertraulichkeitsverpflichtung aller befugten Personen, Prinzip der Datenminimierung, kein Einsatz von Tracking- oder Analysediensten Dritter.
7. Unterauftragsverhältnisse
Der Verantwortliche genehmigt den Einsatz der folgenden Unterauftragsverarbeiter:
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting und Rechenzentrumsbetrieb.
- Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande (EU) — Zahlungsabwicklung.
- Haufe-Lexware GmbH & Co. KG, Munzinger Str. 9, 79111 Freiburg, Deutschland — Rechnungsstellung und Buchhaltung (lexware office).
Mit allen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 Abs. 4 DSGVO, die den Pflichten dieses Vertrags entsprechen. Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet nicht statt. Der Auftragsverarbeiter informiert den Verantwortlichen vorab in Textform über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern). Der Verantwortliche kann innerhalb von vier Wochen aus wichtigem datenschutzrechtlichem Grund widersprechen; wird keine einvernehmliche Lösung gefunden, kann der Verantwortliche den Hauptvertrag außerordentlich zum Zeitpunkt der Änderung kündigen.
8. Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage innerhalb von 30 Tagen einen vollständigen Export der gespeicherten Daten in einem offenen, maschinenlesbaren Format (z. B. JSON oder CSV) bereit. Nach Ablauf dieser Frist — oder auf ausdrücklichen Wunsch früher — werden alle personenbezogenen Daten des Verantwortlichen einschließlich der Backups unwiderruflich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO für Rechnungsdaten) entgegenstehen. Die Löschung wird auf Anfrage schriftlich bestätigt.
9. Kontrollrechte des Verantwortlichen
Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragsverarbeiter stellt hierzu alle erforderlichen Informationen zur Verfügung, insbesondere aktuelle Beschreibungen der TOMs, Nachweise über Unterauftragsverhältnisse und — soweit vorhanden — Prüf- und Auditberichte. Der Quellcode der eingesetzten Software ist als Open Source (AGPL-3.0) öffentlich einsehbar und damit jederzeit auditierbar. Vor-Ort-Kontrollen oder Kontrollen durch beauftragte Dritte sind nach angemessener Vorankündigung während der üblichen Geschäftszeiten möglich; sie dürfen den Betrieb nicht unverhältnismäßig stören.
10. Haftung
Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags (AGB Ziff. 9) sowie Art. 82 DSGVO. Eine über den Hauptvertrag hinausgehende Haftung wird durch diesen Vertrag nicht begründet.
11. Schlussbestimmungen
Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags in Bezug auf den Datenschutz vor. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht.
Stand: Juli 2026