Auftragsverarbeitungsvertrag

Gemäß Art. 28 DSGVO · Stand: Mai 2025

Dieser Auftragsverarbeitungsvertrag (AVV) gilt automatisch für alle Nutzer von FristWächter.io, die im Rahmen der Nutzung personenbezogene Daten Dritter (z. B. Mandanten) verarbeiten. Er ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen. Für berufsrechtlich geregelte Anwaltskanzleien gilt dieser Vertrag als mit Registrierung geschlossen und kann auf Anfrage als PDF ausgestellt werden.

Art. 1 – Parteien und Gegenstand

Auftragnehmer (Auftragsverarbeiter):

FristWächter c/o GAM

E-Mail: support@fristwaechter.de

Auftraggeber (Verantwortlicher):

Der registrierte Nutzer der Plattform FristWächter.io (Rechtsanwalt / Kanzlei).

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung von FristWächter.io.

Art. 2 – Art, Zweck und Dauer der Verarbeitung

Art der Verarbeitung:

  • Speicherung, Strukturierung, Abfrage und Anzeige der eingegebenen Daten
  • Automatische Berechnung von Fristen auf Basis eingegebener Verfahrensdaten
  • Versand von E-Mail-Benachrichtigungen auf Basis der gespeicherten Daten

Zweck der Verarbeitung:

Erbringung der vertragsgemäßen Software-as-a-Service-Leistungen (Fristenverwaltung, -berechnung und -erinnerung) für den Auftraggeber.

Dauer:

Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags. Nach Vertragsende werden alle Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Art. 3 – Art der personenbezogenen Daten und Kategorien betroffener Personen

Kategorien betroffener Personen:

  • Mandantinnen und Mandanten des Auftraggebers (soweit Namen eingegeben werden)
  • Verfahrensgegner (soweit relevant und eingetragen)
  • Nutzende Mitarbeitende der Kanzlei

Kategorien personenbezogener Daten:

  • Namen (soweit der Auftraggeber diese eingibt — nicht zwingend erforderlich)
  • Aktenzeichen und Verfahrensbezeichnungen
  • Verfahrensdaten (Gericht, Verfahrensart, Bundesland, Fristen)
  • E-Mail-Adressen (Nutzerkonten)

Hinweis: FristWächter.io benötigt zur Fristberechnung nur Verfahrensdatum, Verfahrensart und Bundesland — keine personenbezogenen Mandantendaten. Die Eingabe echter Mandantennamen ist nicht empfohlen und liegt in der Verantwortung des Auftraggebers.

Art. 4 – Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers — d. h. im Rahmen der Nutzung der Plattform gemäß Vertrag. Weisungen können schriftlich (E-Mail) oder über die Plattform erteilt werden.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung nach seiner Einschätzung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 lit. h DSGVO).

Art. 5 – Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • Zur Gewährleistung der Vertraulichkeit der Daten; alle Mitarbeitenden mit Datenzugang sind zur Verschwiegenheit verpflichtet
  • Zur Implementierung und Aufrechterhaltung angemessener technischer und organisatorischer Maßnahmen (Art. 32 DSGVO)
  • Den Auftraggeber unverzüglich über Datenschutzverletzungen (Art. 33 DSGVO) zu informieren
  • Den Auftraggeber bei der Wahrung der Rechte betroffener Personen zu unterstützen
  • Alle erforderlichen Informationen für Nachweise der Compliance bereitzustellen und Audits zu ermöglichen
  • Die Daten nach Vertragsende vollständig zu löschen oder zurückzugeben

Art. 6 – Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein, deren Einsatz der Auftraggeber mit Abschluss des Nutzungsvertrags genehmigt:

Hetzner Online GmbH

Industriestraße 25, 91710 Gunzenhausen, Deutschland

Zweck: Hosting und Datenspeicherung · Rechenzentrum: Frankfurt am Main (EU)

Zertifizierung: ISO/IEC 27001

E-Mail-Versanddienst

SMTP-Server innerhalb der EU · Zweck: Versand von Fristenerinnerungen

Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen der Unterauftragsverarbeiter und räumt ihm ein Widerspruchsrecht ein.

Art. 7 – Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen implementiert:

Pseudonymisierung/Verschlüsselung: Passwörter werden verschlüsselt gespeichert (bcrypt). Datenbankdateien sind verschlüsselt. Kommunikation ausschließlich über TLS 1.2+.
Vertraulichkeit: Zugriff auf Produktionsdaten nur für autorisierte Mitarbeitende. Zugriffsprotokollierung (Audit-Log).
Integrität: Eingabevalidierung, CSRF-Schutz, SQL-Injection-Schutz durch ORM (Prisma).
Verfügbarkeit & Resilienz: Tägliche Datensicherungen, Redundanz auf Hetzner-Infrastruktur, Monitoring.
Überprüfungsverfahren: Regelmäßige Sicherheitsreviews, Dependency-Updates, Penetrationstest geplant.

Art. 8 – Datenlöschung und -rückgabe

Nach Beendigung des Nutzungsvertrags werden alle im Auftrag verarbeiteten Daten innerhalb von 30 Tagen gelöscht. Auf Wunsch stellt der Auftragnehmer dem Auftraggeber innerhalb dieser Frist eine vollständige Datensicherung im maschinenlesbaren Format (JSON/CSV) zur Verfügung.

Auf Anfrage per E-Mail an support@fristwaechter.de wird die vollständige Löschung schriftlich bestätigt.

Art. 9 – Anfragen und Kontakt

Anfragen zur Auftragsverarbeitung, Datenschutz-Audits oder zur Ausstellung eines unterzeichneten AVV als PDF richten Sie bitte an:

FristWächter c/o GAM

E-Mail: support@fristwaechter.de