zwischen
[Firma / Name des Auftraggebers] [Straße + Hausnummer] [PLZ Ort] – nachstehend „Auftraggeber” (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO) –
und
Simon Kappelmeir – Dienstleistung Simon Kappelmeir Weiherbachweg 6 82216 Maisach USt-IdNr.: [eintragen] E-Mail: app@sikapp.de – nachstehend „Auftragnehmer” (Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO) –
Version: 1.3 vom 06.05.2026
1.1 Der Auftragnehmer stellt dem Auftraggeber die Software „Gärtnerei Management” als SaaS-Anwendung zur Verfügung. Im Rahmen der Nutzung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers nach Art. 28 DSGVO.
1.2 Diese Vereinbarung wird mit Abschluss des Hauptvertrags (Nutzungsvertrag der App) wirksam und endet automatisch mit dessen Beendigung, ohne dass es einer gesonderten Kündigung bedarf.
1.3 Die Verarbeitung erfolgt ausschließlich in der Europäischen Union, dem Europäischen Wirtschaftsraum oder Drittländern, für die ein Angemessenheitsbeschluss der EU-Kommission vorliegt bzw. Standardvertragsklauseln (SCC) abgeschlossen wurden (siehe Anlage 1).
2.1 Zweck: Bereitstellung der App-Funktionen - Beetbelegung & Kulturplanung - Aufgaben- und Tagesplanverwaltung - Stundenerfassung der Mitarbeiter - Pflanzenschutz- und Düngedokumentation - Erste-Hilfe-Buch (Verbandbuch nach DGUV) - Kontaktverwaltung Kunden / Lieferanten / Ansprechpartner - Etiketten- und Listendruck - Synchronisation zwischen Endgeräten - Account- und Abo-Verwaltung
2.2 Datenarten: - Personenstamm- und Kommunikationsdaten (Name, Adresse, Telefon, E-Mail) der Mitarbeiter, Kunden, Lieferanten und Ansprechpartner - Vertragsstammdaten (Steuernummer, USt-IdNr., IBAN/BIC, Bankname, Zahlungsziel — als reine Stammdaten, nicht zur Zahlung durch den Auftragnehmer verwendet) - Betriebliche Planungs- und Steuerungsdaten (Kulturen, Beete, Aufgaben, Tagespläne) - Stundenerfassungs- und Abwesenheitsdaten der Mitarbeiter - Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO: Gesundheitsdaten von Beschäftigten im Rahmen des digitalen Erste-Hilfe-Buchs (Verbandbucheinträge, gesetzliche Aufbewahrung 5 Jahre nach DGUV Vorschrift 1) - Pflanzenschutz-Anwendungsdaten (Sachkundenachweis-Daten, Anwender-Namen, Anwendungen — gem. § 11 PflSchG, 3 Jahre) - Düngungsdaten (gem. DüV) - Account- und Login-Daten (E-Mail, Passwort-Hash, Session-Token, IP-Adressen)
2.3 Betroffene Personen: - Mitarbeiter und Auszubildende des Auftraggebers - Geschäftsführung / Inhaber des Auftraggebers - Kunden, Lieferanten und Ansprechpartner des Auftraggebers - Endkunden des Auftraggebers (sofern in der Kontaktverwaltung gespeichert)
3.1 Der Auftraggeber ist im Verhältnis zum Auftragnehmer für die Zulässigkeit der Verarbeitung nach Art. 6 DSGVO sowie für die Wahrung der Betroffenenrechte nach Art. 12–22 DSGVO allein verantwortlich.
3.2 Weisungen erteilt der Auftraggeber durch Nutzung der App und ihrer Funktionen (Konfiguration, Eingaben, Abruf der Funktionen). Darüber hinausgehende Weisungen werden in Textform (E-Mail an app@sikapp.de) erteilt und vom Auftragnehmer schriftlich bestätigt.
3.3 Der Auftraggeber benennt eine ansprechende Person für Datenschutzfragen (z. B. Geschäftsführer oder Datenschutzbeauftragter) und teilt deren Kontaktdaten dem Auftragnehmer mit.
4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen dieser Vereinbarung und nach den dokumentierten Weisungen des Auftraggebers, sofern er nicht durch Unionsrecht oder mitgliedstaatliches Recht zu einer abweichenden Verarbeitung verpflichtet ist (Art. 28 Abs. 3 lit. a DSGVO). In einem solchen Fall teilt er dies dem Auftraggeber vor der Verarbeitung mit, sofern das geltende Recht dies nicht aus wichtigem öffentlichen Interesse verbietet.
4.2 Der Auftragnehmer verpflichtet die mit der Verarbeitung befassten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO) und stellt sicher, dass diese mit den datenschutzrechtlichen Vorgaben vertraut sind.
4.3 Der Auftragnehmer ergreift alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe Anlage 2 — TOMs).
4.4 Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen und Wahrung der Rechte betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO), sowie bei den Pflichten nach Art. 32–36 DSGVO (Datenschutzfolgeabschätzung, Vorab-Konsultation, Meldung von Datenschutzverletzungen). Erkennbar an den Auftraggeber gerichtete Anfragen werden unverzüglich weitergeleitet.
4.5 Datenpannen werden dem Auftraggeber unverzüglich, spätestens binnen 48 Stunden nach Bekanntwerden, per E-Mail an die hinterlegte Kontaktadresse gemeldet. Die Meldung enthält Art und Umfang der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen und ergriffene/geplante Gegenmaßnahmen.
4.6 Der Auftragnehmer informiert den Auftraggeber, wenn eine Weisung nach seiner Auffassung gegen geltendes Recht verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Er ist berechtigt, die Weisung bis zur Klärung auszusetzen.
4.7 Der Auftragnehmer benennt einen Datenschutzbeauftragten, sofern gesetzlich erforderlich. Aktueller Stand: nicht verpflichtet (weniger als 20 ständig mit Datenverarbeitung beschäftigte Personen, keine Tätigkeit, die regelmäßige systematische Überwachung erfordert). Ansprechperson für Datenschutz: Simon Kappelmeir, app@sikapp.de.
Siehe Anlage 2 — Technische und organisatorische Maßnahmen. Der Auftragnehmer darf die Maßnahmen weiterentwickeln, das vereinbarte Schutzniveau darf dabei nicht unterschritten werden.
6.1 Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Verlangen des Auftraggebers werden die Daten zuvor in einem maschinenlesbaren Format (JSON-Export) bereitgestellt.
6.2 Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (Erste-Hilfe-Einträge: 5 Jahre nach DGUV; Pflanzenschutz-Daten: 3 Jahre nach PflSchG), werden bis zum Ablauf der Frist gesperrt aufbewahrt und anschließend gelöscht.
6.3 Auf Verlangen des Auftraggebers wird die Löschung schriftlich bestätigt.
7.1 Der Auftraggeber erteilt mit Abschluss dieses Vertrags die allgemeine Genehmigung zur Beauftragung der in Anlage 1 aufgeführten Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO).
7.2 Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus in Textform (E-Mail) über beabsichtigte Hinzuziehung oder Auswechslung weiterer Sub-Auftragsverarbeiter. Der Auftraggeber kann gegen die Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichen Grund Einspruch erheben.
7.3 Im Falle eines berechtigten Einspruchs steht dem Auftraggeber ein außerordentliches Kündigungsrecht zu, sofern der Auftragnehmer die Sub-Auftragsverarbeiter-Änderung nicht zurücknimmt oder eine zumutbare Alternative anbietet.
7.4 Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch die von ihm beauftragten Sub-Auftragsverarbeiter (Art. 28 Abs. 4 DSGVO).
8.1 Der Auftraggeber kann die Einhaltung dieser Vereinbarung durch den Auftragnehmer überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Die Überprüfung erfolgt vorrangig durch Anforderung aktueller Nachweise (Datenschutz-Konzept, TOMs, Subprozessor-Liste, Audit-Berichte).
8.2 Vor-Ort-Prüfungen sind nach vorheriger Terminabstimmung mit mindestens 4 Wochen Vorlauf, einmal jährlich, während der üblichen Geschäftszeiten möglich. Aufwand für die Begleitung wird nach tatsächlichem Stundensatz (vorab vereinbart) erstattet.
Es gilt Art. 82 DSGVO. Im Übrigen richtet sich die Haftung nach dem Hauptvertrag.
10.1 Änderungen und Ergänzungen bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Klausel.
10.2 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt die wirksame Bestimmung, die dem wirtschaftlichen Zweck am nächsten kommt.
10.3 Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – Maisach (Sitz des Auftragnehmers).
Maisach, den ____________________ __________________ , den ____________________
Simon Kappelmeir [Name des Auftraggebers] (Auftragnehmer) (Auftraggeber)
Stand: 06.05.2026
| Sub-Auftragsverarbeiter | Sitz | Verarbeitete Daten | Zweck | Drittland-Transfer / Rechtsgrundlage |
|---|---|---|---|---|
| dogado GmbH | Antonio-Segni-Straße 11, 44263 Dortmund, DE | Web- und Mail-Hosting, Domains, statische Inhalte (Datenschutz, AGB), Server-Proxy für VIES-Validierung | Hosting des Web-Frontends gaertnerei.sikapp.de + zugehöriger Mail-Konten | nein, EU/Deutschland |
| Stripe Payments Europe Ltd. | 1 Grand Canal Street Lower, Dublin, IE | E-Mail, Firmenname, USt-IdNr., Zahlungsdaten | Zahlungsabwicklung Pro-/Business-Abos im Web und auf Android | EU; bei Stripe Inc. (USA) → SCC + Data Privacy Framework |
| Apple Distribution International Limited | Hollyhill Industrial Estate, Hollyhill, Cork, IE | anonyme Transaction-IDs, Receipt-Validierung | Zahlungsabwicklung iOS/macOS via In-App-Purchase | EU |
| fintectura GmbH (openiban.com) | Berlin, DE | übermittelte IBAN | IBAN-Validierung und BIC/Bankname-Lookup für Stammdatenpflege Kontakte | nein |
| Europäische Kommission, GD TAXUD (EU-VIES) | Brüssel, BE | übermittelte USt-IdNr. | Validierung der USt-IdNr. inkl. Firmenname und Adresse | nein |
| komoot GmbH (Photon-Geocoding) | Karlsruhe, DE | übermittelter Suchbegriff (Straßenname) | Straßen-Autocomplete bei Adress-Eingabe | nein |
| zippopotam.us | (US-Hosting via Cloudflare CDN) | übermittelte PLZ + Länderkürzel | PLZ-zu-Ort-Lookup bei Adress-Eingabe | USA → Verarbeitung anonymer öffentlicher Postleitzahl-Daten, kein Personenbezug; Übermittlung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO |
Aktuelle Liste jederzeit abrufbar unter: https://gaertnerei.sikapp.de/datenschutz.html
nach Art. 32 DSGVO, Stand: 06.05.2026