Stand: 11.04.2026

Inhaltsverzeichnis

1. Gegenstand und Dauer der Verarbeitung
2. Art und Zweck der Verarbeitung
3. Kategorien personenbezogener Daten und betroffener Personen
4. Rechte und Pflichten des Verantwortlichen
5. Pflichten des Auftragsverarbeiters
6. Unterauftragsverhältnisse
7. Technisch-organisatorische Maßnahmen
8. Unterstützungspflichten
9. Meldung von Datenschutzverletzungen
10. Löschung und Rückgabe von Daten
11. Kontrollrechte
12. Schlussbestimmungen

1. Gegenstand und Dauer der Verarbeitung

Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch die Polbeo Florian Dieckmann und Fabian Huschka GbR, Bärengasse 16, 67547 Worms (nachfolgend „Polbeo“ genannt) im Auftrag des Kunden (nachfolgend auch „Verantwortlicher“ genannt).

Gegenstand der Verarbeitung ist die Bereitstellung, der Betrieb sowie die Wartung von Software-Instanzen und damit verbundenen Dienstleistungen. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des zugrunde liegenden Nutzungsvertrags.

↑ zurück zum Inhaltsverzeichnis

2. Art und Zweck der Verarbeitung

Polbeo stellt Software-as-a-Service bereit und verarbeitet in diesem Zusammenhang personenbezogene Daten im Auftrag des Kunden. Die Verarbeitung erfolgt, weil der Kunde das von Polbeo bereitgestellte Datenverarbeitungssystem nutzt.

Polbeo ist an dieser Verarbeitung ausschließlich im Zusammenhang mit dem Hosting, dem Betrieb und der Wartung der Systeme sowie der Durchführung von Support- und Administrationsleistungen und der Sicherstellung der Funktionsfähigkeit und Sicherheit der Systeme beteiligt.

↑ zurück zum Inhaltsverzeichnis

3. Kategorien personenbezogener Daten und betroffener Personen

Die Verarbeitung kann – abhängig von der Nutzung durch den Verantwortlichen – insbesondere folgende Kategorien personenbezogener Daten umfassen:

Stammdaten (z. B. Name, Kontaktdaten)
Kommunikationsdaten (z. B. E-Mail-Inhalte, Korrespondenz)
Nutzungs- und Systemdaten
Vertrags- und transaktionsbezogene Daten (z. B. Spenden, Beiträge, Zahlungsinformationen)
Veranstaltungs- und teilnahmebezogene Daten
fall- oder vorgangsbezogene Daten (z. B. im Rahmen von Fall-Management-Vorgängen)

Die konkrete Ausgestaltung der verarbeiteten Daten richtet sich nach der Nutzung der bereitgestellten Systeme durch den Verantwortlichen.

Kategorien betroffener Personen:

Nutzer der bereitgestellten Systeme
Kontakte, Mitglieder, Unterstützer oder sonstige durch den Kunden verwaltete Personen
Ansprechpartner des Kunden

Die Entscheidung, ob und in welchem Umfang besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet werden, obliegt ausschließlich dem Verantwortlichen.

Der Auftragsverarbeiter verarbeitet solche Daten nur im Rahmen der Nutzung der bereitgestellten Systeme und auf Weisung des Verantwortlichen.

↑ zurück zum Inhaltsverzeichnis

4. Rechte und Pflichten des Verantwortlichen

Der Kunde ist Verantwortlicher im Sinne der DSGVO.

Der Kunde entscheidet über Zwecke und Mittel der Verarbeitung.

Der Kunde ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

Weisungen erfolgen grundsätzlich in dokumentierter Form.

↑ zurück zum Inhaltsverzeichnis

5. Pflichten des Auftragsverarbeiters

Eine Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der vertraglichen Vereinbarungen zwischen Polbeo und dem Kunden sowie auf Weisung des Kunden.

Der Auftragsverarbeiter stellt die Vertraulichkeit durch geeignete technische und organisatorische Maßnahmen sicher.

Alle mit der Verarbeitung betrauten Personen werden zur Vertraulichkeit verpflichtet.

Der Auftragsverarbeiter gewährleistet ein angemessenes Schutzniveau gemäß Art. 32 DSGVO.

↑ zurück zum Inhaltsverzeichnis

6. Unterauftragsverhältnisse

Der Einsatz von Subunternehmern ist zulässig.

Der Auftragsverarbeiter stellt sicher, dass Subunternehmer vertraglich entsprechend verpflichtet werden.

Eingesetzte Subunternehmer sind:

Uberspace (Hosting, Mainz, Deutschland)
Netcup (Domainverwaltung und E-Mail, Karlsruhe, Deutschland)
SevDesk (Buchhaltung, Offenburg, Deutschland)

Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen bei Subunternehmern.

Dem Verantwortlichen steht ein Widerspruchsrecht aus wichtigem Grund zu.

↑ zurück zum Inhaltsverzeichnis

7. Technisch-organisatorische Maßnahmen

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

Die konkret umgesetzten Maßnahmen sind in den technisch-organisatorischen Maßnahmen (TOM) in ihrer jeweils aktuellen Fassung beschrieben.

↑ zurück zum Inhaltsverzeichnis

8. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei der Wahrnehmung von Betroffenenrechten und der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO.

↑ zurück zum Inhaltsverzeichnis

9. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.

↑ zurück zum Inhaltsverzeichnis

10. Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Die Löschung erfolgt spätestens innerhalb der in den TOM beschriebenen Fristen.

↑ zurück zum Inhaltsverzeichnis

11. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen.

Die Kontrolle erfolgt in angemessener Weise, insbesondere ohne unangemessene Störung der Betriebsabläufe des Auftragsverarbeiters.

↑ zurück zum Inhaltsverzeichnis

12. Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.

Im Übrigen gelten ergänzend die Regelungen des zugrunde liegenden Nutzungsvertrags.

Worms, den 11.04.2026