← Zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gem. Art. 28 DSGVO zwischen dem Verein (Verantwortlicher) und BeitragsKlar (Auftragsverarbeiter)

Hinweis: Dieser AVV wird mit der Registrierung bei BeitragsKlar geschlossen. Der Verein (als Verantwortlicher i.S.d. DSGVO) beauftragt BeitragsKlar (als Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten seiner Mitglieder. Mit der Nutzung von BeitragsKlar akzeptiert der Verein diesen AVV.

§ 1 Gegenstand und Dauer

  1. Gegenstand: BeitragsKlar verarbeitet im Auftrag des Vereins personenbezogene Daten von Vereinsmitgliedern zum Zweck der Mitgliederverwaltung, Beitragsabrechnung, Rechnungserstellung, Zahlungsabwicklung und Dokumentenarchivierung.
  2. Dauer: Die Auftragsverarbeitung beginnt mit der Registrierung des Vereins bei BeitragsKlar und endet mit der vollständigen Löschung aller Daten nach Beendigung des Nutzungsvertrags, vorbehaltlich gesetzlicher Aufbewahrungspflichten (§ 147 Abs. 1 AO, § 257 HGB: Bücher und Aufzeichnungen 10 Jahre, Buchungsbelege 8 Jahre seit 01.01.2025).

§ 2 Art und Zweck der Verarbeitung

  1. Art der Verarbeitung: Erheben, Speichern, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung (E-Mail-Versand), Löschen und Vernichten.
  2. Zweck:
    • Verwaltung von Vereinsmitgliedern (Stammdaten, Status, Beitragsklassen)
    • Erstellung und Versand von Rechnungen (PDF, E-Rechnung/ZUGFeRD)
    • SEPA-Lastschrift-Export (pain.008)
    • Zahlungsabgleich (CAMT.053-Import)
    • Mahnwesen (1. und 2. Mahnung)
    • Dokumentenarchivierung (gesetzliche Aufbewahrung gem. § 147 AO)
    • Mitglieder-Selbstservice (Rechnungseinsicht, Profilverwaltung)

§ 3 Kategorien betroffener Personen und Daten

Betroffene Personen:

  • Vereinsmitglieder (einschl. Minderjährige, deren Daten vom Verein erfasst werden)
  • Kassenwarte und Vereinsverwalter

Kategorien personenbezogener Daten:

  • Stammdaten: Vorname, Nachname, Geburtsdatum
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer, Postanschrift
  • Bankdaten: IBAN, BIC (AES-256-verschlüsselt)
  • Vereinsbezogene Daten: Mitgliedsstatus, Abteilung, Beitragsklasse, Ein-/Austrittsdatum
  • Finanzdaten: Rechnungen, Zahlungsstatus, Mahnhistorie, SEPA-Mandatsdaten
  • Technische Daten: E-Mail-Adresse (Authentifizierung), IP-Adresse (temporär)

Es werden keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet.

§ 4 Pflichten des Auftragsverarbeiters

  1. BeitragsKlar verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Vereins — es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
  2. BeitragsKlar stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. BeitragsKlar ergreift alle gem. Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1: TOM).
  4. BeitragsKlar setzt Unterauftragsverarbeiter nur mit vorheriger allgemeiner Genehmigung des Vereins ein. Die aktuelle Liste der Unterauftragsverarbeiter ist in § 7 aufgeführt. BeitragsKlar informiert den Verein über jede beabsichtigte Änderung. Der Verein kann innerhalb von 14 Tagen Einspruch erheben.
  5. BeitragsKlar unterstützt den Verein unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO). Technisch umgesetzt durch:
    • Datenexport (Art. 20): JSON-Export aller Mitgliederdaten im Portal
    • Kontolöschung (Art. 17): Soft-Delete mit Aufbewahrung gesetzlich vorgeschriebener Daten
    • Auskunft (Art. 15): Mitglieder-Selbstservice-Portal mit Einsicht in eigene Daten
  6. BeitragsKlar unterstützt den Verein bei der Einhaltung der Pflichten gem. Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
  7. Nach Beendigung des Auftrags löscht BeitragsKlar alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bücher und Aufzeichnungen werden gem. § 147 Abs. 1 Nr. 1 AO für 10 Jahre, Rechnungen und Buchungsbelege gem. § 147 Abs. 1 Nr. 4 AO für 8 Jahre aufbewahrt. Der Verein erhält vor Löschung eine Frist von 60 Tagen zum Datenexport.
  8. BeitragsKlar stellt dem Verein alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Die Compliance-Dashboard-Funktion bietet dem Verein jederzeit Einsicht in den Compliance-Status.

§ 5 Meldung von Datenschutzverletzungen

  1. BeitragsKlar meldet dem Verein jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme.
  2. Die Meldung enthält mindestens:
    • Art der Datenschutzverletzung
    • Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
    • Wahrscheinliche Folgen
    • Ergriffene und vorgeschlagene Maßnahmen
  3. BeitragsKlar unterstützt den Verein bei der Erfüllung seiner Meldepflicht gem. Art. 33 und 34 DSGVO.

§ 6 Kontrollrechte

  1. Der Verein hat das Recht, die Einhaltung dieses AVV zu überprüfen. BeitragsKlar stellt hierfür die erforderlichen Informationen zur Verfügung.
  2. Technische Überprüfung: Der Verein kann jederzeit das Compliance-Dashboard einsehen, das 37 Prüfpunkte in 6 Kategorien (GoBD, DSGVO, E-Rechnung, Vereinsrecht, IT-Sicherheit, Zahlungsverkehr) abdeckt.
  3. Vor-Ort-Inspektionen und Audits können nach Vereinbarung eines angemessenen Termins durchgeführt werden. Die Kosten trägt der Verein, sofern keine Verstöße festgestellt werden.

§ 7 Unterauftragsverarbeiter

Der Verein erteilt hiermit die allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter. BeitragsKlar hat mit allen Unterauftragsverarbeitern Auftragsverarbeitungsverträge geschlossen.

DienstZweckStandortDPA
Supabase Inc.Datenbank, Authentifizierung, DateispeicherFrankfurt, DE (AWS eu-central-1)DPA
Vercel Inc.Webhosting, Serverless FunctionsFrankfurt, DE (EU-Region)DPA
Resend Inc.Transaktionale E-Mails (Anmeldelinks, Rechnungen, Mahnungen)EUDPA
Stripe Inc.Abonnement-Abrechnung (nur Vereins-E-Mail und Zahlungsdaten)EU (Irland)DPA
Upstash Inc.Rate-Limiting (nur gehashte IDs und IP-Adressen)Frankfurt, DE (EU-Region)DPA
Sentry (Functional Software Inc.)Fehlerüberwachung (IP anonymisiert, keine Mitgliederdaten)Frankfurt, DE (EU-Region)DPA
Umami Software, Inc.Webanalyse (anonymisiert, keine Cookies, keine personenbezogenen Daten)EUDatenschutz
Backblaze Inc.Offsite-Backup archivierter Dokumente (Rechnungen, Mahnungen, SEPA-Exporte)Amsterdam, NL (EU Central)DPA

Stripe verarbeitet keine Mitgliederdaten — nur die E-Mail-Adresse und Zahlungsdaten des Kassenwarts für die Abonnement-Abrechnung. Sentry erfasst keine personenbezogenen Mitgliederdaten — nur technische Fehlerinformationen mit anonymisierter IP-Adresse. Umami erfasst keine personenbezogenen Daten — nur anonymisierte, aggregierte Nutzungsstatistiken (Seitenaufrufe, Gerätetyp, Browser). Keine Cookies, kein Fingerprinting.

§ 8 Technische und organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO sind in Anlage 1: Technische und organisatorische Maßnahmen (TOM) dokumentiert.

§ 9 Schlussbestimmungen

  1. Auf diesen AVV findet das Recht der Bundesrepublik Deutschland Anwendung.
  2. Änderungen dieses AVV bedürfen der Textform. BeitragsKlar wird den Verein über Änderungen per E-Mail informieren.
  3. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt.

Anlagen

Stand: 21. Februar 2026. Auftragsverarbeiter: Alan Murphy, BeitragsKlar, kontakt@beitragsklar.de