gavel Datenschutz & Recht

Auftragsverarbeitungsvertrag

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen dem Träger (Auftraggeber) und Wegstelle (Auftragnehmer).

article Grundlage: Art. 28 DSGVO
calendar_today Version: März 2026
print Druckfähig

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") wird geschlossen zwischen dem Träger, der die Wegstelle-Software nutzt (nachfolgend „Auftraggeber"), und dem Betreiber der Wegstelle-Plattform (nachfolgend „Auftragnehmer").

Vertragsparteien

business Auftraggeber (Verantwortlicher)
[Name des Trägers]

[Anschrift]
[PLZ, Ort]
[E-Mail]

vertreten durch: [Name, Funktion]

person Auftragnehmer (Verarbeiter)
Jack Savelsberg (Wegstelle)

Großbeerenstraße 72
10963 Berlin
hallo@wegstelle.de

Betreiber der Wegstelle-Software

Der Abschluss des Nutzungsvertrages für die Wegstelle-Software gilt als Grundlage dieses AVV. Dieser AVV ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrages.

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

  1. Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der Wegstelle-Software (SaaS-Plattform) für die Fallverwaltung, Zeiterfassung, Journalführung und Berichtserstellung im Rahmen der ambulanten Jugendhilfe gemäß SGB VIII.
  2. Die Verarbeitung erfolgt im Auftrag und nach Weisung des Auftraggebers für die Dauer des abgeschlossenen Nutzungsvertrages sowie bis zur vollständigen Löschung aller Daten des Auftraggebers nach Vertragsende.
  3. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Hoheitsgebiet der Europäischen Union oder des Europäischen Wirtschaftsraums (EWR) sowie in Drittländern mit angemessenem Datenschutzniveau gemäß Art. 44 ff. DSGVO.

§ 2 Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Daten

Art und Zweck der Verarbeitung

Bereitstellung einer webbasierten Softwareplattform zur digitalen Verwaltung von Jugendhilfefällen, einschließlich Speicherung, Strukturierung, Abfrage, Darstellung und Übermittlung von Daten im Auftrag des Auftraggebers.

Kategorien betroffener Personen

  • Klientinnen und Klienten der ambulanten Jugendhilfe und deren Familienangehörige
  • Mitarbeiterinnen und Mitarbeiter des Auftraggebers (Fachkräfte, Koordinatoren, Verwaltung)
  • Externe Personen (Kontakte des Jugendamts, Schulen etc.), soweit im System erfasst

Kategorien personenbezogener Daten

  • Stammdaten (Name, Adresse, Geburtsdatum, Kontaktdaten)
  • Falldaten (Hilfeart, Bewilligungen, Hilfeplangespräche)
  • Verlaufsdokumentation (Journaleinträge, Gesprächsnotizen)
  • Berichte (Entwicklungsberichte, Abschlussberichte, HPG)
  • Zeiterfassungsdaten der Fachkräfte
  • Ggf. besondere Kategorien gem. Art. 9 DSGVO (Gesundheitsdaten, Familienverhältnisse, soziale Verhältnisse)
warning

Die verarbeiteten Daten können besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO sowie besonders schützenswerte Sozialdaten gemäß § 65 SGB VIII enthalten. Der Auftraggeber ist verantwortlich für eine rechtmäßige Grundlage der Verarbeitung dieser sensiblen Daten.

§ 3 Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers.
  2. Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO. Die implementierten Maßnahmen sind in Anlage A beschrieben.
  4. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
  5. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen DSGVO oder andere Datenschutzvorschriften verstößt.
  6. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachweisen zu können.

§ 4 Weisungsrecht des Auftraggebers

  1. Der Auftraggeber ist berechtigt, dem Auftragnehmer im Einzelfall Weisungen zur Art, dem Umfang und dem Verfahren der Datenverarbeitung zu erteilen. Weisungen erfolgen schriftlich (auch per E-Mail).
  2. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
  3. Der Auftraggeber trägt die Verantwortung für die Rechtmäßigkeit der Datenverarbeitungen, insbesondere für die Rechtsgrundlagen nach Art. 6 und ggf. Art. 9 DSGVO.
  4. Der Auftraggeber verpflichtet sich, die Rechte der betroffenen Personen zu wahren und insbesondere keine Weisungen zu erteilen, die gegen geltendes Recht verstoßen.

§ 5 Vertraulichkeit

  1. Der Auftragnehmer gewährleistet, dass alle Mitarbeitenden, die Zugang zu personenbezogenen Daten des Auftraggebers haben, auf Vertraulichkeit verpflichtet sind.
  2. Der Auftragnehmer gibt personenbezogene Daten des Auftraggebers nicht an Dritte weiter, es sei denn, der Auftraggeber hat ausdrücklich eingewilligt oder eine gesetzliche Verpflichtung besteht.
  3. Die Vertraulichkeitspflicht besteht über die Laufzeit dieses Vertrages hinaus.

§ 6 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft und unterhält die in Anlage A beschriebenen technischen und organisatorischen Maßnahmen (TOMs) zur Sicherstellung eines angemessenen Schutzniveaus personenbezogener Daten.

  1. Der Auftragnehmer kann die TOMs nach Maßgabe des technischen Fortschritts ändern, solange das Schutzniveau nicht unterschritten wird.
  2. Wesentliche Änderungen werden dem Auftraggeber rechtzeitig mitgeteilt.

§ 7 Inanspruchnahme von Unterauftragsverarbeitern

  1. Der Auftragnehmer ist zur Inanspruchnahme von Unterauftragsverarbeitern nur mit schriftlicher Genehmigung des Auftraggebers berechtigt. Für die aktuell eingesetzten Unterauftragsverarbeiter erteilt der Auftraggeber durch Abschluss dieses AVV seine Genehmigung. Eine aktuelle Liste ist in Anlage B enthalten.
  2. Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen (Hinzufügung oder Austausch von Unterauftragsverarbeitern) mit angemessener Vorlauffrist. Der Auftraggeber kann Änderungen widersprechen.
  3. Dem Unterauftragsverarbeiter sind dieselben Datenschutzverpflichtungen aufzuerlegen wie in diesem AVV vereinbart, insbesondere hinsichtlich der Umsetzung geeigneter TOMs.
  4. Der Auftragnehmer haftet dem Auftraggeber gegenüber für die Erfüllung der Datenschutzpflichten durch Unterauftragsverarbeiter wie für eigenes Handeln.

§ 8 Unterstützung bei der Wahrnehmung von Betroffenenrechten

  1. Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.
  2. Eingaben von betroffenen Personen, die beim Auftragnehmer eingehen, werden unverzüglich an den Auftraggeber weitergeleitet. Eine eigenständige Beantwortung erfolgt nicht, soweit der Auftraggeber dies nicht angewiesen hat.
  3. Technische Unterstützung (z.B. Datenexporte) wird auf Anfrage des Auftraggebers bereitgestellt.

§ 9 Verletzung des Schutzes personenbezogener Daten

  1. Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten (Datenpannen gem. Art. 33 DSGVO) unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden per E-Mail an die vom Auftraggeber benannte Kontaktadresse.
  2. Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und Anzahl betroffener Personen (näherungsweise), wahrscheinliche Folgen sowie ergriffene und geplante Abhilfemaßnahmen.
  3. Der Auftragnehmer dokumentiert alle Datenpannen gemäß Art. 33 Abs. 5 DSGVO und stellt die Dokumentation dem Auftraggeber auf Anfrage zur Verfügung.

§ 10 Rückgabe und Löschung von Daten nach Vertragsende

  1. Nach Beendigung des Nutzungsvertrages oder auf Anforderung des Auftraggebers werden alle personenbezogenen Daten des Auftraggebers in einem maschinenlesbaren Standardformat (z.B. JSON oder CSV) zurückgegeben oder, nach Wahl des Auftraggebers, datenschutzkonform gelöscht.
  2. Die Löschung erfolgt spätestens 30 Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  3. Sicherungskopien werden innerhalb von 90 Tagen nach Vertragsende ebenfalls gelöscht. Der Auftragnehmer bestätigt die erfolgte Löschung schriftlich.
  4. Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragnehmers nach Vertragsende ist ausgeschlossen.

§ 11 Kontrollrechte des Auftraggebers und Nachweispflicht

  1. Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften durch den Auftragnehmer zu überprüfen. Kontrollen können durch eigene Mitarbeitende oder durch beauftragte Prüfer erfolgen.
  2. Kontrollen vor Ort sind mit angemessener Frist (mindestens 5 Werktage) schriftlich anzukündigen und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.
  3. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen und Nachweise zur Verfügung und gewährt Zugang zu relevanten Systemen und Dokumenten.
  4. Der Auftragnehmer kann als Nachweis auch aktuelle Zertifizierungen, Prüfberichte oder gleichwertige Dokumente vorlegen.

§ 12 Haftung

  1. Im Falle von Schäden durch datenschutzrechtlich unzulässige Verarbeitungen, die vom Auftragnehmer zu vertreten sind, haftet dieser gegenüber dem Auftraggeber nach Maßgabe der gesetzlichen Vorschriften.
  2. Handelt der Auftragnehmer entgegen rechtmäßigen Weisungen des Auftraggebers, trägt er die volle Verantwortung für den dadurch entstandenen Schaden.
  3. Im Außenverhältnis gelten die Haftungsregelungen der DSGVO (Art. 82 DSGVO).

§ 13 Schlussbestimmungen

  1. Dieser AVV unterliegt deutschem Recht. Gerichtsstand ist Berlin.
  2. Änderungen und Ergänzungen bedürfen der Schriftform. Dies gilt auch für eine Aufhebung des Schriftformerfordernisses.
  3. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.
  4. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV Vorrang, soweit es datenschutzrechtliche Bestimmungen betrifft.

Anlage A – Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO sicherzustellen:

Maßnahmenkategorie Implementierung
Zugangskontrolle
Verhinderung unbefugter Systemzugänge		 Passwortbasierte Authentifizierung mit sicheren Hash-Verfahren (bcrypt). Session-Management via JWT. Automatischer Sitzungsablauf nach Inaktivität. check_circle
Zugriffskontrolle
Verhinderung unbefugter Datenzugriffe		 Rollenbasiertes Zugriffssystem (RBAC) mit den Rollen Träger-Admin, Koordinator und Fachkraft. Fachkräfte sehen ausschließlich Daten ihrer zugewiesenen Fälle. Zugriff auf Klientendaten nur für zugewiesene Fachkräfte (case-based access control). check_circle
Mandantentrennung
Trennungsgebot nach Art. 25 DSGVO		 Strikte Multi-Tenant-Architektur mit tenantId-Isolation auf Datenbankebene. Daten verschiedener Träger werden technisch vollständig getrennt und können nicht trägerübergreifend abgerufen werden. check_circle
Verschlüsselung (Transport)
Weitergabekontrolle		 Alle Daten werden ausschließlich über TLS 1.2/1.3 verschlüsselt übertragen. Kein unverschlüsselter HTTP-Zugriff. check_circle
Verschlüsselung (Ruhezustand)
Datenbankschutz		 Datenbankvolumes werden at-rest verschlüsselt. Backups sind verschlüsselt und gesichert übertragen. check_circle
Eingabekontrolle
Nachvollziehbarkeit von Dateneingaben		 Alle Schreiboperationen werden mit Nutzer-ID und Zeitstempel protokolliert. Journaleinträge sind unveränderlich (keine Löschung ohne Admin-Berechtigung). check_circle
Verfügbarkeitskontrolle
Datenverfügbarkeit und -integrität		 Regelmäßige automatische Datenbank-Backups. Wiederherstellbarkeit getestet. Hosting auf redundanter Infrastruktur in Deutschland. check_circle
Auftragskontrolle
Datenverarbeitung nur nach Weisung		 Keine Verarbeitung von Auftraggeberdaten für eigene Zwecke. API-Zugriff nur für authentifizierte und autorisierte Nutzer des jeweiligen Trägers. check_circle

Anlage B – Unterauftragsverarbeiter

Der Auftragnehmer setzt zum Zeitpunkt des Vertragsabschlusses folgende Unterauftragsverarbeiter ein:

info

Alle eingesetzten Unterauftragsverarbeiter sitzen in Deutschland oder der EU. Eine AVV mit allen Unterauftragsverarbeitern ist abgeschlossen.

Dienstleister Zweck Standort Datenschutzgrundlage
Hostinger International Ltd.
VPS-Server, Serverstandort Deutschland (Falkenstein/DE) 		Serverhosting, Datenbankbetrieb, Dateispeicherung, automatische Backups, SSL-Terminierung Deutschland (EU) Art. 28 DSGVO, AVV mit Hostinger; Daten verbleiben ausschließlich auf dem deutschen Server
Resend Inc.
resend.com – Transaktionale E-Mail-Zustellung 		Versand transaktionaler E-Mails: Einladungen an neue Mitarbeitende, Passwort-Reset-Links. Es werden ausschließlich E-Mail-Adressen und Namen von Mitarbeitenden des Auftraggebers übermittelt; keine Klientendaten. USA (mit SCCs) Art. 46 Abs. 2 lit. c DSGVO (Standardvertragsklauseln). Resend ist im DPF-Rahmen zertifiziert. Keine Klienten- oder Falldaten werden übermittelt.
info

Wichtiger Hinweis zu Resend: Über den E-Mail-Dienst Resend werden ausschließlich organisatorische Daten (Name und E-Mail-Adresse von Mitarbeitenden des Trägers) übertragen – keine personenbezogenen Klienten-, Fall- oder Verlaufsdaten. Die eigentliche Datenverarbeitung (Klientendaten, Zeiterfassung, Berichte) findet ausschließlich auf dem deutschen Server (Hostinger) statt.

Änderungen werden dem Auftraggeber gem. § 7 Abs. 2 mit einer Vorlaufzeit von mindestens 4 Wochen mitgeteilt.

Anlage C – Beschreibung der Verarbeitungstätigkeiten

Verarbeitungstätigkeit 1: Fallverwaltung

Zweck: Digitale Erfassung und Verwaltung von Jugendhilfefällen gemäß SGB VIII.
Betroffene: Klientinnen und Klienten, Familienangehörige.
Daten: Stammdaten, Hilfeart, Bewilligungen, Zuständigkeiten.
Rechtsgrundlage (Auftraggeber): § 62 SGB VIII, Art. 6 Abs. 1 lit. c DSGVO.

Verarbeitungstätigkeit 2: Verlaufsdokumentation

Zweck: Dokumentation von Fachleistungen, Gesprächsverläufen und Beobachtungen.
Betroffene: Klientinnen und Klienten, ggf. Dritte (Schulen, Jugendamt).
Daten: Journaleinträge, Gesprächsnotizen, Zeiterfassungsdaten.
Rechtsgrundlage (Auftraggeber): § 62 SGB VIII, Art. 6 Abs. 1 lit. c DSGVO.

Verarbeitungstätigkeit 3: Berichtswesen

Zweck: Erstellung und Speicherung von Entwicklungsberichten, HPG und Abschlussberichten.
Betroffene: Klientinnen und Klienten, Familienangehörige.
Daten: Berichte mit personenbezogenen Inhalten gemäß §§ 36, 45 ff. SGB VIII.
Rechtsgrundlage (Auftraggeber): § 36 SGB VIII, Art. 6 Abs. 1 lit. c DSGVO.

Verarbeitungstätigkeit 4: Nutzerverwaltung

Zweck: Authentifizierung und Autorisierung von Mitarbeitenden des Trägers.
Betroffene: Mitarbeitende des Trägers (Fachkräfte, Koordinatoren, Verwaltung).
Daten: Name, E-Mail, Rolle, Login-Daten (gehashtes Passwort), Aktivitätsprotokoll.
Rechtsgrundlage (Auftraggeber): Art. 6 Abs. 1 lit. b DSGVO (Beschäftigungsverhältnis).

Unterzeichnung

Dieser Auftragsverarbeitungsvertrag tritt mit beiderseitiger Unterzeichnung in Kraft und ersetzt alle vorherigen Vereinbarungen zu diesem Gegenstand.

Ort, Datum

Auftraggeber
[Name des Trägers]
[Name, Funktion]

Berlin, _______________

Auftragnehmer
Jack Savelsberg
Betreiber Wegstelle

Digital unterschreiben

AVV jetzt verbindlich abschließen

Rechtswirksam in Textform gemäß Art. 28 Abs. 9 DSGVO i.V.m. § 126b BGB – kein Ausdruck, kein Postweg nötig. Direkt in Ihren Träger-Einstellungen.

edit AVV unterzeichnen → login Erst anmelden

Version 1.1 · März 2026 · Wegstelle · wegstelle.de · hallo@wegstelle.de
Unterauftragsverarbeiter: Hostinger International Ltd. (Hosting, Deutschland), Resend Inc. (E-Mail, SCCs)