Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
📋 Geltungsbereich:
Dieser Auftragsverarbeitungsvertrag gilt für alle Lizenzpartner (Regionalpartner)
in zwei Anwendungsfällen:
(a) Widget-Dienst: Nutzung des PflegePur Kontaktformular-Widgets
(Tool 4, partner.pflegepur.de/widgets) auf der eigenen Website des Lizenzpartners.
(b) Regionalportal: Kontaktanfragen die über Partnerprofile
auf dem jeweiligen PflegePur-Regionalportal (z. B. hamburg.pflegepur.de,
kiel.pflegepur.de) eingehen und von PflegePur technisch verarbeitet und
weitergeleitet werden.
Die Bestätigung erfolgt elektronisch im Partner-Portal und ist gemäß
Art. 28 Abs. 9 DSGVO rechtsverbindlich.
Auftragnehmer (Auftragsverarbeiter):
Melanie Zick · PflegePur
Mühlenfeld 10a, 31789 Hameln
E-Mail: kontakt@pflegepur.de ·
Tel.: +49 5151 790 9862
Auftraggeber (Verantwortlicher):
Der jeweilige Lizenzpartner gemäß Lizenzvertrag mit PflegePur
(Daten im Partner-Portal hinterlegt).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieses Vertrages ist die technische Bereitstellung und der Betrieb
von Kontaktformularen durch den Auftragnehmer in folgenden Kontexten:
(a) Widget-Dienst: Das Anfrage-Formular (Widget Tool 4) im Rahmen
der iFrame-Integration auf der Website des Auftraggebers sowie ggf. weiteren
vom Auftraggeber betriebenen Websites.
(b) Regionalportal: Kontaktformulare auf Partnerprofilen des
Auftraggebers im jeweiligen PflegePur-Regionalportal, über die Interessenten
Anfragen an den Auftraggeber stellen können.
(2) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers.
(3) Die Laufzeit dieses Vertrages entspricht der Laufzeit der Lizenzvereinbarung zwischen den Parteien. Der Vertrag endet automatisch mit Beendigung dieser Vereinbarung.
§ 2 Art und Zweck der Verarbeitung
Art der Verarbeitung:
Erhebung, Speicherung und Weiterleitung von Kontaktanfragen über
(a) das eingebettete Kontaktformular-Widget auf Websites des Auftraggebers sowie
(b) Kontaktformulare auf Partnerprofilen im PflegePur-Regionalportal.
Zweck der Verarbeitung:
Entgegennahme und Weiterleitung von Beratungsanfragen potenzieller Kunden des
Auftraggebers an diesen.
Kategorien personenbezogener Daten:
- Vorname, Nachname
- Telefonnummer (Pflichtfeld)
- E-Mail-Adresse (optional)
- Postleitzahl
- Gewünschte Leistung(en)
- Erreichbarkeitspräferenz
- Freitext-Nachricht (optional)
- Zeitstempel der Einwilligung
- IP-Adresse nur als SHA-256-Hash für Rate-Limiting (nicht mit Formulardaten verknüpft)
Kategorien betroffener Personen:
Interessenten und potenzielle Kunden des Auftraggebers, die über das
Formular-Widget eine Anfrage stellen.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO).
(2) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind.
(3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) – siehe § 7.
(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO (Datensicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung).
(5) Der Auftragnehmer löscht nach Wahl des Auftraggebers alle personenbezogenen Daten nach Abschluss der Verarbeitungsleistungen oder gibt sie zurück. Bestehende gesetzliche Aufbewahrungspflichten bleiben unberührt.
(6) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Audits.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber ist alleinig Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten im Rahmen des Widget-Einsatzes.
(2) Der Auftraggeber stellt sicher, dass auf seinen Websites sowie im Rahmen seiner Präsenz im Regionalportal eine DSGVO-konforme Datenschutzerklärung vorhanden ist, die die technische Verarbeitung durch PflegePur als Auftragnehmer beschreibt.
(3) Der Auftraggeber stellt sicher, dass die im Widget enthaltene Einwilligungs-Checkbox inhaltlich korrekt auf seine eigene Datenschutzerklärung verweist.
(4) Der Auftraggeber erteilt dem Auftragnehmer Weisungen ausschließlich in schriftlicher oder dokumentierter elektronischer Form.
§ 5 Unterauftragsverarbeiter
Der Auftragnehmer ist berechtigt, folgende Unterauftragsverarbeiter einzusetzen:
ALL-INKL.COM – Neue Medien Münnich
Hauptstraße 68, 02742 Friedersdorf, Deutschland
Funktion: Web-Hosting der Widget-Dateien und Formulardaten
Serverstandort: Deutschland
Datenschutzerklärung ALL-INKL
Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern. Der Auftraggeber hat die Möglichkeit, innerhalb von 14 Tagen Einspruch zu erheben.
§ 6 Betroffenenrechte
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) soweit technisch und organisatorisch möglich. Erste Anlaufstelle für Betroffene ist stets der Auftraggeber.
§ 7 Technische und organisatorische Maßnahmen (TOMs)
Vertraulichkeit:
- Zugriffskontrolle: Passwortschutz, rollenbasierter Zugriff
- Weitergabekontrolle: Daten werden ausschließlich an den Auftraggeber übermittelt
- Eingabekontrolle: Protokollierung aller Formulareingaben mit Zeitstempel
Integrität:
- Übertragungssicherheit: TLS/HTTPS-Verschlüsselung (mind. TLS 1.2)
- Eingabevalidierung: serverseitige Prüfung aller Formularfelder
Verfügbarkeit:
- Hosting auf deutschen Servern (ALL-INKL, Rechenzentrum Deutschland)
- Regelmäßige Backups durch den Hosting-Anbieter
Datensparsamkeit:
- Nur die für den Zweck erforderlichen Daten werden erhoben
- IP-Adresse nur als SHA-256-Hash für Rate-Limiting, nicht mit Formulardaten verknüpft
- Automatische Löschung der Formulardaten nach max. 90 Tagen
§ 8 Datenpannen und Sicherheitsvorfälle
Der Auftragnehmer meldet dem Auftraggeber Datenpannen oder Sicherheitsvorfälle, die personenbezogene Daten des Auftraggebers betreffen, unverzüglich – spätestens innerhalb von 48 Stunden – nach Bekanntwerden per E-Mail. Die Meldung enthält mindestens: Art des Vorfalls, betroffene Datenkategorien und -mengen sowie ergriffene Maßnahmen.
§ 9 Löschung nach Auftragsende
Nach Beendigung des Vertrages löscht der Auftragnehmer sämtliche im Rahmen dieses Auftrags verarbeiteten personenbezogenen Daten oder gibt sie zurück. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Gesetzliche Aufbewahrungsfristen bleiben unberührt.
§ 10 Elektronische Bestätigung
Gemäß Art. 28 Abs. 9 DSGVO kann dieser Vertrag in einem elektronischen Format abgeschlossen werden. Die Bestätigung erfolgt über das Partner-Portal (portal-admin) durch aktives Ankreuzen der Einwilligungs-Checkbox. Zeitstempel, IP-Hash und Browser-Kennung werden als Nachweis gespeichert. Der Auftraggeber erhält eine Bestätigungs-E-Mail als Nachweis für seine Unterlagen.
Aktuelle Version: avv-v1-2026-03 · Stand März 2026
Bestätigung: Partner-Portal → AVV bestätigen
§ 11 Aufsichtsbehörden
Zuständige Aufsichtsbehörde für den Auftragnehmer (PflegePur, Niedersachsen):
Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
lfd.niedersachsen.de
Die zuständige Aufsichtsbehörde für den Auftraggeber richtet sich nach dessen Niederlassungs- bzw. Wohnsitz-Bundesland:
| Baden-Württemberg |
Landesbeauftragter für den Datenschutz und die Informationsfreiheit BW baden-wuerttemberg.datenschutz.de |
| Bayern |
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) lda.bayern.de |
| Berlin |
Berliner Beauftragte für Datenschutz und Informationsfreiheit datenschutz-berlin.de |
| Brandenburg |
Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht lda.brandenburg.de |
| Bremen |
Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen datenschutz.bremen.de |
| Hamburg |
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit datenschutz.hamburg.de |
| Hessen |
Hessischer Beauftragter für Datenschutz und Informationsfreiheit datenschutz.hessen.de |
| Mecklenburg-Vorpommern |
Landesbeauftragter für Datenschutz und Informationsfreiheit MV datenschutz-mv.de |
| Niedersachsen |
Landesbeauftragte für den Datenschutz Niedersachsen lfd.niedersachsen.de |
| Nordrhein-Westfalen |
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW ldi.nrw.de |
| Rheinland-Pfalz |
Landesbeauftragte für den Datenschutz und die Informationsfreiheit RLP datenschutz.rlp.de |
| Saarland |
Unabhängiges Datenschutzzentrum Saarland datenschutz.saarland.de |
| Sachsen |
Sächsischer Datenschutzbeauftragter saechsdsb.de |
| Sachsen-Anhalt |
Landesbeauftragter für den Datenschutz Sachsen-Anhalt datenschutz.sachsen-anhalt.de |
| Schleswig-Holstein |
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) datenschutzzentrum.de |
| Thüringen |
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit tlfdi.de |
§ 12 Haftung
(1) Für Schäden, die durch eine vertragswidrige Verarbeitung entstehen, haften die Parteien nach Maßgabe des Art. 82 DSGVO.
(2) Der Auftragnehmer haftet gegenüber dem Auftraggeber nur für Schäden, die auf einem schuldhaften Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages oder der DSGVO beruhen.
§ 13 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform oder einer dokumentierten elektronischen Form. PflegePur informiert Auftraggeber über wesentliche Änderungen rechtzeitig per E-Mail; die neue Version wird im Partner-Portal zur erneuten Bestätigung vorgelegt.
(2) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit zulässig, Hameln.
(3) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Stand: April 2026 · Version avv-v1-2026-03 (erweitert um Regionalportal-Kontaktformulare)