Organistenapp

Auftragsverarbeitungsvertrag

Stand: 8. Mai 2026 · gemäß Art. 28 DSGVO

Beim Onboarding bestätigt jeder Tenant-Admin diesen AVV per Klick. Damit kommt der Vertrag zwischen dem Kunden (Pfarrei, Kirchgemeinde oder ökumenische Gemeinde als Verantwortlicher) und dem Anbieter (Auftragsverarbeiter) zustande.

1. Parteien

Verantwortlicher: Die Pfarrei, Kirchgemeinde oder ökumenische Gemeinde, die den Dienst nutzt (im Folgenden „Kunde“).

Auftragsverarbeiter: Kilian Brunner, Einzelunternehmer (im Folgenden „Anbieter“), .

2. Gegenstand der Auftragsverarbeitung

Der Anbieter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung des Dienstes „Organistenapp“ — namentlich der Planung von Organisten-Diensten, des Termin- und Vertretungs-Managements, der Erinnerungsversände und der Honorar-Verwaltung.

3. Art der verarbeiteten Daten

Kategorien betroffener Personen: Mitglieder der Pfarrei oder Kirchgemeinde (Organisten, Admins, Pool-Mitglieder, Liturgen / Pfarrpersonen).

Datenarten: Name, E-Mail, Telefonnummer (optional), Sperrzeiten, Termin-Zuweisungen, Honorar-Daten, IP-Adresse beim Login (Audit-Log).

4. Pflichten des Anbieters

Der Anbieter verarbeitet die Daten nur auf dokumentierte Weisung des Kunden. Eine Verwendung für eigene Zwecke (Marketing, Analyse) findet nicht statt. Mitarbeiter des Anbieters sind zur Vertraulichkeit verpflichtet.

Der Anbieter setzt geeignete technische und organisatorische Maßnahmen um (Art. 32 DSGVO):

TLS 1.2/1.3 für alle Übertragungen
Passwörter mit bcrypt (12 Runden) gehasht
SMTP-Passwörter AES-256-GCM-verschlüsselt
Tenant-Isolation per signiertem Cookie und DB-seitigem tenantId-Filter
Tägliche Backups, 30 Tage Aufbewahrung
Audit-Log mit IP/UA bei sicherheits-relevanten Aktionen
Rate-Limiting auf Login, Reset, Pool-Invite

5. Subunternehmer (Sub-Auftragsverarbeiter)

Der Anbieter beauftragt folgende Subunternehmer mit Aufgaben, die eine Verarbeitung personenbezogener Daten beinhalten:

Stripe Payments Europe Ltd. (Irland) — Bezahlung und Rechnungsstellung
Resend / SMTP-Dienstleister — E-Mail-Versand, sofern der Kunde keinen eigenen SMTP konfiguriert
Hosting: Eigener Server in Deutschland

Der Kunde stimmt der Beauftragung dieser Subunternehmer zu. Der Anbieter informiert den Kunden über Änderungen mindestens 30 Tage im Voraus per E-Mail an die hinterlegte Kontakt-Adresse.

6. Rechte der Betroffenen

Der Anbieter unterstützt den Kunden bei der Erfüllung von Anfragen Betroffener (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit). User-Daten lassen sich direkt in der App unter „Profil → Datenschutz“ herunterladen oder löschen.

7. Datenpannen

Der Anbieter informiert den Kunden unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten unter Angabe aller bekannten Details.

8. Löschung & Rückgabe

Bei Vertragsende werden personenbezogene Daten innerhalb von 90 Tagen gelöscht, ausgenommen Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist (Audit-Log 1 Jahr, Stripe-Rechnungen 10 Jahre nach §147 AO).

Vor Löschung kann der Kunde einen Datenexport im JSON-Format anfordern.

9. Kontrollrechte

Der Kunde hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Anbieter stellt auf Anfrage Nachweise zur Verfügung (technische/organisatorische Maßnahmen, Subunternehmer-Liste). Eine Vor-Ort-Kontrolle ist nach 14 Tagen Vorlauf möglich.

10. Inkrafttreten

Dieser AVV tritt mit Akzeptanz im Onboarding-Prozess in Kraft und läuft solange, wie der Hauptvertrag (Nutzung der Organistenapp) besteht. Bei Vertragsende endet auch dieser AVV.

Anbieter: Kilian Brunner, Einzelunternehmer · Kontakt: