Masjidun Logo
Masjidun

Auftragsverarbeitungsvertrag

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Präambel
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten bei der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO). Mit der Nutzung von Masjidun als Organisation akzeptieren Sie diesen Vertrag.

Vertragsparteien

Auftraggeber (Verantwortlicher)

Die Organisation (Moschee/Verein), die sich bei Masjidun registriert und die Plattform zur Verwaltung von Mitgliederdaten nutzt.

Auftragsverarbeiter

Masjidun

Erdem Arpaci

Eckardtstr. 10

44263 Dortmund, Deutschland

E-Mail: info.masjidun@gmail.com

§1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform "Masjidun".

(2) Die Verarbeitung erfolgt ausschließlich im Gebiet der Bundesrepublik Deutschland bzw. der Europäischen Union.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen den Parteien.

§2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung, Organisation und Verwaltung von Mitgliederdaten
  • Abwicklung von Mitgliedsbeiträgen, Spenden und Zahlungen
  • Verwaltung von Kursen, Veranstaltungen und Teilnahmen
  • Bereitstellung von Benutzerkonten und Zugangsverwaltung
  • Erstellung von Berichten und Exporten
  • Technischer Support und Fehlerbehebung

Die Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen und nicht für eigene Zwecke des Auftragsverarbeiters.

§3 Art der personenbezogenen Daten

  • Stammdaten: Name, Vorname, Anrede, Geburtsdatum
  • Kontaktdaten: Adresse, E-Mail-Adresse, Telefonnummer
  • Finanzdaten: Beiträge, Spenden, Zahlungshistorie, IBAN (teilweise)
  • Organisationsdaten: Mitgliedsnummer, Beitrittsdatum, Rolle
  • Nutzungsdaten: Login-Zeiten, Aktivitäten auf der Plattform

§4 Kategorien betroffener Personen

  • Mitglieder der Organisation
  • Mitarbeiter und Administratoren der Organisation
  • Kursteilnehmer und Veranstaltungsbesucher
  • Spender und Förderer

§5 Pflichten des Auftraggebers

Der Auftraggeber:

  • bleibt Verantwortlicher im Sinne der DSGVO für die verarbeiteten Daten
  • stellt sicher, dass eine rechtmäßige Grundlage für die Datenverarbeitung vorliegt
  • erteilt dem Auftragsverarbeiter dokumentierte Weisungen zur Datenverarbeitung
  • ist für die Information der betroffenen Personen gemäß Art. 13, 14 DSGVO verantwortlich
  • prüft die ordnungsgemäße Durchführung der Verarbeitung durch den Auftragsverarbeiter

§6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
  • alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit zu verpflichten
  • geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu ergreifen
  • Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Auftraggebers einzusetzen
  • den Auftraggeber bei der Erfüllung seiner Pflichten zu unterstützen (Betroffenenrechte, Meldepflichten)
  • nach Abschluss der Verarbeitung alle Daten zu löschen oder zurückzugeben
  • dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung zu stellen

§7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO ein:

Vertraulichkeit

  • Zutrittskontrolle (Rechenzentrum Hetzner)
  • Zugangskontrolle (Passwörter, 2FA)
  • Zugriffskontrolle (Rollenbasierte Berechtigungen)
  • Trennungskontrolle (Mandantentrennung)

Integrität

  • Weitergabekontrolle (TLS-Verschlüsselung)
  • Eingabekontrolle (Audit-Logs)
  • Auftragskontrolle (Weisungsgebundenheit)

Verfügbarkeit

  • Tägliche verschlüsselte Backups
  • Redundante Serverinfrastruktur
  • Notfallwiederherstellungskonzept

Belastbarkeit

  • Serverstandort Deutschland (Hetzner, Nürnberg)
  • Regelmäßige Sicherheitsupdates
  • Monitoring und Alerting

§8 Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Hetzner Online GmbH

Serverhosting, Nürnberg, Deutschland

Google Ireland Limited

E-Mail-Kommunikation (Gmail), Authentifizierung (OAuth), Irland/EU

Stripe Payments Europe, Ltd.

Zahlungsabwicklung, Dublin, Irland

PayPal (Europe) S.à r.l. et Cie, S.C.A.

Zahlungsabwicklung, Luxemburg

Der Auftragsverarbeiter informiert den Auftraggeber über Änderungen bei den Unterauftragsverarbeitern. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben.

§9 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte gemäß Art. 15-22 DSGVO, insbesondere bei:

  • Auskunftsersuchen (Art. 15 DSGVO)
  • Berichtigungsanfragen (Art. 16 DSGVO)
  • Löschanfragen (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)

Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Auftraggeber weitergeleitet.

§10 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich (in der Regel innerhalb von 24 Stunden) über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen

(3) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gemäß Art. 33, 34 DSGVO.

§11 Beendigung und Datenlöschung

(1) Nach Beendigung des Nutzungsverhältnisses löscht der Auftragsverarbeiter alle personenbezogenen Daten des Auftraggebers unverzüglich und unwiderruflich, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Dem Auftraggeber wird vor der Löschung die Möglichkeit gegeben, seine Daten zu exportieren (Datenportabilität).

(3) Backups, die personenbezogene Daten des Auftraggebers enthalten, werden spätestens nach 7 Tagen überschrieben.

(4) Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage schriftlich.

§12 Kontroll- und Prüfrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags durch Einsicht in Dokumentationen, Zertifikate oder durch Vor-Ort-Prüfungen zu kontrollieren.

(2) Vor-Ort-Prüfungen sind mit einer angemessenen Frist (mindestens 14 Tage) anzukündigen und während der üblichen Geschäftszeiten durchzuführen.

(3) Der Auftragsverarbeiter stellt alle erforderlichen Informationen und Nachweise zur Verfügung.

§13 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland.

(2) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Dieser Vertrag tritt mit Akzeptanz bei der Registrierung der Organisation in Kraft.

Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag:

info.masjidun@gmail.com

Stand: Januar 2026

Zurück zur StartseiteDatenschutzerklärungNutzungsbedingungen