Die Vereinsapp für euren Verein

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO)

Parteien

Auftraggeber (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO):

Name des Vereins:  

Anschrift:  

Vertretungsberechtigte Person:  

E-Mail:  

nachfolgend „Auftraggeber" oder „Verein"

Auftragnehmer (Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO):

Moritz Karls
Hildtstraße 3, 74189 Weinsberg, Deutschland
E-Mail: unsere-vereinsapp@mkarls.de

nachfolgend „Auftragnehmer" oder „Plattformbetreiber"

Präambel

Der Auftraggeber nutzt die Online-Plattform „unsere-vereinsapp.de" des Auftragnehmers zur Verwaltung seiner Vereinsmitglieder, zur Organisation von Veranstaltungen, Buchungen, Dokumenten, vereinsinternen Mitteilungen und zur Bearbeitung vereinsbezogener Anfragen (Support-Tickets). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragnehmer im Auftrag und nach Weisung des Auftraggebers personenbezogene Daten der Vereinsmitglieder und weiterer natürlicher Personen, für die der Auftraggeber datenschutzrechtlich verantwortlich ist.

Die Parteien schließen daher diesen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, um die datenschutzrechtlichen Anforderungen an eine Auftragsverarbeitung vertraglich abzusichern. Dieser AVV ergänzt und ist Teil des zwischen den Parteien geschlossenen Nutzungsvertrags über die Plattform (nachfolgend „Nutzungsvertrag").

§ 1 Gegenstand und Dauer

(1) Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der Plattform „unsere-vereinsapp.de" und der zugehörigen Vereins-Subdomain (in der Form vereinsname.unsere-vereinsapp.de).

(2) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Nutzungsvertrags. Endet der Nutzungsvertrag, aus welchem Grund auch immer, endet auch dieser AVV, vorbehaltlich der in § 10 geregelten Nachwirkungen.

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf dokumentierte Weisung des Auftraggebers (§ 4 dieses Vertrags).

(2) Die Verarbeitung dient der Erbringung folgender Leistungen gegenüber dem Auftraggeber:

• Mitgliederverwaltung: Speicherung und Verwaltung von Mitgliederdaten, Rollen und Berechtigungen innerhalb der Vereinsapp.
• Einladungssystem: Versand von Einladungs-E-Mails an potenzielle Mitglieder und Verwaltung von Einladungs-Codes sowie Sammeleinladungslinks.
• Eventkalender: Speicherung und Bereitstellung vereinsinterner Veranstaltungsdaten.
• Buchungssystem: Verwaltung buchbarer Objekte und der darauf basierenden Buchungen durch Vereinsmitglieder.
• Dokumentenverwaltung: Sichere Ablage und berechtigungsgesteuerte Bereitstellung vereinsinterner Dokumente.
• Mitteilungssystem: Übermittlung vereinsinterner Nachrichten (inkl. E-Mail-Benachrichtigungen) sowie automatisierter Systemnachrichten.
• Ticketsystem (vereinsbezogen): Bearbeitung von Anfragen und Support-Tickets, die dem Auftraggeber zugeordnet sind.
• E-Mail-Versand: Technischer Versand von E-Mails (Einladungen, Mitteilungsbenachrichtigungen) im Auftrag des Auftraggebers.

(3) Eine Verarbeitung der Daten zu anderen als den in Abs. 2 genannten Zwecken ist dem Auftragnehmer nicht gestattet. Insbesondere darf der Auftragnehmer die verarbeiteten Daten nicht für eigene Zwecke nutzen, zusammenführen oder weitergeben, es sei denn, dies ist zur Erfüllung dieses Vertrags oder einer gesetzlichen Pflicht erforderlich.

(4) Soweit der Auftragnehmer personenbezogene Daten als eigener Verantwortlicher verarbeitet (z. B. im Rahmen der Abrechnung, von Sicherheitsmaßnahmen oder des Plattform-Supports), ist dies nicht Gegenstand dieses AVV; hierfür gilt die Datenschutzerklärung der Plattform unter unsere-vereinsapp.de/datenschutz.

(5) Für die Abrechnung des Plattform-Abonnements setzt der Auftragnehmer den Zahlungsdienstleister Stripe ein. Diese Verarbeitung erfolgt in eigener datenschutzrechtlicher Verantwortung des Auftragnehmers und ist nicht Gegenstand dieses AVV; Einzelheiten enthält die Datenschutzerklärung der Plattform (Abschnitt 14).

§ 3 Arten der personenbezogenen Daten und Kategorien der Betroffenen

3.1 Kategorien betroffener Personen

• Aktive und ehemalige Mitglieder des Vereins
• Eingeladene Personen (vor Registrierung)
• Natürliche Personen, die dem Verein über das Ticketsystem Anfragen stellen

3.2 Arten der verarbeiteten personenbezogenen Daten

Stamm- und Kontaktdaten:

• Vorname, Nachname, Anzeigename
• E-Mail-Adresse (in der Datenbank verschlüsselt gespeichert; zusätzlich in pseudonymisierter Form als Anmelde-Kennung; in der Benutzeroberfläche ausschließlich maskiert dargestellt, z. B. m***@e***.de, außer gegenüber der betreffenden Person selbst)
• Profilbild (optional; bei Nichtangabe eines der 9 vorgegebenen anonymen Standardbilder)

Mitgliedschafts- und Berechtigungsdaten:

• Vereinszuordnung, Rolle, zugewiesene Berechtigungen
• Mitgliedsstatus (aktiv / inaktiv), Zeitpunkt einer Deaktivierung
• Interne Kennungen der Nutzerkonten als Referenz (einladende Person, erstellende Person bei Tickets und Kommentaren)

Einladungsdaten:

• E-Mail-Adresse der eingeladenen Person (verschlüsselt, pseudonymisiert sowie maskiert dargestellt)
• Vorname, Nachname (soweit bei Einladung angegeben)
• Einladungs-Code, Erstellungsdatum, Ablaufdatum, Versandstatus
• Bei Sammeleinladungen: Einladungs-Code, Verwendungszähler, optionales Ablaufdatum, QR-Code

Buchungsdaten:

• Buchbares Objekt, Datum, Uhrzeit, Dauer, Wiederholungsregeln
• Stornierungsstatus, stornierende Person (Verweis auf das Nutzerkonto)

Eventdaten:

• Eventname, Ort, Beschreibung, Start- und Endzeitpunkt
• Kein Personenbezug über den Event selbst hinaus (das erstellende Mitglied wird nicht gespeichert)

Dokumentendaten:

• Originaldateiname, interne Referenznummer, Dateigröße, Hochladezeitpunkt
• Dateiinhalt (privater Speicher; Auslieferung nur nach Berechtigungsprüfung)

Mitteilungsdaten:

• Absender und Empfänger (jeweils Verweis auf das Nutzerkonto)
• Titel und Text der Nachricht
• Versand- und Lesezeitpunkt, E-Mail-Benachrichtigungsstatus

Ticketdaten (vereinsbezogen):

• Erstellendes Mitglied (sofern angemeldet) oder E-Mail-Adresse (verschlüsselt) bei anonymer Erstellung
• Titel, Beschreibung (Freitext)
• Status, Priorität, Zeitstempel
• Kommentare (Autor, Text, Zeitstempel)
• Änderungsprotokoll (geändertes Feld, alter und neuer Wert, ändernde Person, Zeitstempel)

E-Mail-Zustellbarkeitsdaten:

• Pseudonymisierter Prüfwert der Empfänger-E-Mail (kein Klartext), Versandart, Zeitstempel
• Informationen zu unzustellbaren oder abgelehnten E-Mails inkl. Grund und Zeitstempel

3.3 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Der Auftragnehmer sieht keine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO vor. Sollte der Auftraggeber in seinen Vereinstätigkeiten solche Daten über die Plattform verarbeiten wollen (z. B. Gesundheitsdaten), hat er den Auftragnehmer vorab schriftlich zu informieren. In diesem Fall sind die Parteien verpflichtet, diesen AVV entsprechend zu ergänzen.

§ 4 Weisungsgebundenheit

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch das Recht der Europäischen Union oder das Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

(2) Als dokumentierte Weisung im Sinne dieses Vertrags gelten:

• die im Nutzungsvertrag und in diesem AVV enthaltenen Festlegungen;
• schriftliche (einschließlich elektronischer) Anweisungen des Auftraggebers, die im Rahmen der Nutzung der Plattform erteilt werden (z. B. Löschanfragen, Konfigurationsänderungen über die Vereinsapp-Oberfläche);
• ausdrückliche schriftliche Einzelanweisungen per E-Mail an unsere-vereinsapp@mkarls.de.

(3) Weisungen des Auftraggebers können von jeder Person der Vereinsleitung erteilt werden, also von Personen, die in der Vereinsapp über die Berechtigung „Vereinsapp verwalten" (management.edit) verfügen. Der Auftraggeber ist dafür verantwortlich, den Kreis der weisungsbefugten Personen aktuell zu halten.

(4) Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn er der Meinung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Ausführung einer solchen Weisung auszusetzen, bis der Auftraggeber sie bestätigt oder zurückzieht.

(5) Zugriffe des Auftragnehmers auf vereinsbezogene Daten (z. B. über die Verwaltungsoberfläche der Plattform) erfolgen ausschließlich zur Fehleranalyse und zum technischen Support und nur in dem dafür erforderlichen Umfang. Sie werden in den Server-Protokollen erfasst.

§ 5 Vertraulichkeit

(1) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Der Auftragnehmer betreibt die Plattform als Einzelunternehmer ohne weitere Mitarbeitende mit Zugang zu personenbezogenen Daten der Vereinsapps. Sollten in Zukunft weitere Personen (z. B. Mitarbeitende oder Auftragnehmer des Plattformbetreibers) Zugang zu solchen Daten erhalten, sind diese durch schriftliche Vertraulichkeitsvereinbarungen zu verpflichten; dieser AVV sowie die Datenschutzerklärung der Plattform sind entsprechend zu aktualisieren.

§ 6 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer hat vor Beginn der Verarbeitung die in Anlage 3 dieses Vertrags beschriebenen technischen und organisatorischen Maßnahmen (TOMs) ergriffen und hält diese aufrecht, um ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO zu gewährleisten.

(2) Der Auftraggeber hat die TOMs vor Abschluss dieses Vertrags geprüft und als für die von ihm beabsichtigten Verarbeitungen geeignet befunden.

(3) Der Auftragnehmer darf die TOMs im Laufe der Zeit anpassen, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen teilt er dem Auftraggeber in geeigneter Form mit.

§ 7 Unterauftragnehmer

(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zum Einsatz der in Anlage 2 aufgeführten Unterauftragnehmer. Der Auftragnehmer darf weitere Unterauftragnehmer einsetzen, sofern er den Auftraggeber mindestens 30 Tage im Voraus schriftlich oder elektronisch informiert. Der Auftraggeber kann den Einsatz eines neuen Unterauftragnehmers aus wichtigem datenschutzrechtlichem Grund schriftlich ablehnen; in diesem Fall werden die Parteien eine einvernehmliche Lösung suchen.

(2) Der Auftragnehmer verpflichtet seine Unterauftragnehmer vertraglich zu datenschutzrechtlichen Pflichten, die mindestens denjenigen dieses AVV entsprechen, insbesondere zur Einhaltung der Art. 28, 29 und 32 DSGVO.

(3) Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Einhaltung der datenschutzrechtlichen Pflichten durch seine Unterauftragnehmer vollumfänglich verantwortlich.

(4) Eine Übermittlung der im Auftrag des Auftraggebers verarbeiteten Daten in Drittländer ist nur unter den Voraussetzungen der Art. 44 ff. DSGVO zulässig. Die hierfür eingesetzten Schutzmechanismen sind in Anlage 2 für jeden Unterauftragnehmer aufgeführt.

§ 8 Unterstützung des Auftraggebers

(1) Betroffenenrechte: Der Auftragnehmer unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht, Anfragen betroffener Personen auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) zu beantworten. Die hierfür verfügbaren Funktionen der Plattform (z. B. Mitgliederverwaltung, Datenanzeige, Deaktivierung) stehen dem Auftraggeber über die Vereinsapp-Oberfläche zur Verfügung. Die Unterstützung des Auftraggebers im Rahmen des bestehenden Funktionsumfangs der Plattform, einschließlich der Bearbeitung von Support-Anfragen, ist von den im Nutzungsvertrag vereinbarten Leistungen abgedeckt. Nicht vom Leistungsumfang erfasst ist die Anforderung oder Entwicklung neuer, über den bestehenden Funktionsumfang hinausgehender Funktionen; eine solche Unterstützung kann gesondert vergütet werden.

(2) Datenschutz-Folgenabschätzung (DSFA) und vorherige Konsultation: Soweit erforderlich, unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung einer DSFA gemäß Art. 35 DSGVO sowie einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO, insbesondere durch Bereitstellung von Informationen über die Plattform und ihre Verarbeitungsvorgänge.

(3) Sicherheit der Verarbeitung: Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten aus Art. 32 DSGVO, indem er die in Anlage 3 beschriebenen Maßnahmen einhält und auf Anfrage entsprechende Informationen bereitstellt.

§ 9 Datenschutzverletzungen und Meldepflichten

(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit, nachdem er davon Kenntnis erlangt hat, und zwar unabhängig davon, ob die Verletzung durch den Auftragnehmer selbst oder durch einen seiner Unterauftragnehmer verursacht wurde.

(2) Die Mitteilung erfolgt per E-Mail an die vom Auftraggeber hinterlegte Kontaktadresse und enthält mindestens:

• Art der Verletzung (Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzung)
• Soweit möglich: betroffene Datenkategorien und ungefähre Anzahl betroffener Personen und Datensätze
• Kontaktdaten des Ansprechpartners beim Auftragnehmer
• Wahrscheinliche Folgen der Verletzung
• Ergriffene oder vorgeschlagene Abhilfemaßnahmen

(3) Die Meldung nach Abs. 1 und 2 dient dem Auftraggeber als Grundlage zur Erfüllung seiner eigenen Meldepflicht nach Art. 33 DSGVO (72-Stunden-Frist gegenüber der Aufsichtsbehörde) und ggf. seiner Benachrichtigungspflicht nach Art. 34 DSGVO gegenüber den betroffenen Personen. Der Auftragnehmer ist nicht für die Einhaltung dieser Pflichten des Auftraggebers verantwortlich.

(4) Der Auftragnehmer ist nicht verpflichtet, im Namen des Auftraggebers eine Meldung bei der Aufsichtsbehörde vorzunehmen oder betroffene Personen zu benachrichtigen. Er unterstützt den Auftraggeber jedoch auf Anfrage bei diesen Maßnahmen.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle im Auftrag des Auftraggebers verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht der Löschung entgegensteht.

(2) Die Löschung umfasst alle Kopien, einschließlich der Sicherungskopien. Da Sicherungskopien als rollierende Momentaufnahmen mit einer Aufbewahrungsdauer von maximal 7 Tagen geführt werden, ist eine sofortige Löschung aus den Sicherungskopien technisch nicht möglich; die vollständige Entfernung erfolgt spätestens nach Ablauf des Sicherungszyklus (maximal 7 Tage).

(3) Vor der abschließenden Löschung kann der Auftraggeber seine Daten über die Plattform in einem maschinenlesbaren Format erhalten. Der Umfang der Exportmöglichkeiten ist wie folgt:

• Buchungen je Mitglied: Export als CSV-Datei über die Vereinsapp.
• Gesamtexport (Events, Buchungen sowie Mitgliederdaten): Ein Export der vereinsbezogenen Daten in maschinenlesbarem Format. Der Mitgliederexport umfasst die für den Auftraggeber als Verantwortlichen erforderliche „Mitgliedschafts-Sicht" dieses Vereins (Vor- und Nachname, Kontakt-E-Mail-Adresse, Rolle, Mitglied-seit-Datum, Mitgliedsstatus). Nicht enthalten sind plattforminterne Kontodaten (z. B. Passwortdaten und Anmeldedaten) sowie Daten zu Mitgliedschaften der betreffenden Person in anderen Vereinen. Der Export kann ausschließlich von Personen der Vereinsleitung mit der Berechtigung „Vereinsmanager aufrufen" (management.access) ausgelöst werden, erfolgt über eine angemeldete Sitzung und wird protokolliert.
• Dokumente: Die vom Auftraggeber hochgeladenen Dokumente können jederzeit einzeln über die Vereinsapp-Oberfläche heruntergeladen werden.

(4) Auf Verlangen des Auftraggebers bescheinigt der Auftragnehmer schriftlich die erfolgte Löschung.

(5) Handels- oder steuerrechtliche Aufbewahrungspflichten, die den Auftragnehmer als Verantwortlichen für Abrechnungsdaten treffen (z. B. nach § 147 AO / § 257 HGB für Rechnungen), bleiben von Abs. 1 unberührt, da es sich dabei um Verarbeitungen des Auftragnehmers als eigener Verantwortlicher handelt.

§ 11 Nachweise und Kontrollen

(1) Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus diesem AVV erforderlich sind, und ermöglicht Überprüfungen, einschließlich Inspektionen, durch den Auftraggeber oder einen von ihm beauftragten Prüfer.

(2) Der Auftragnehmer kann dem Nachweiserfordernis genügen durch:

• Bereitstellung der in Anlage 3 dieses Vertrags beschriebenen technischen und organisatorischen Maßnahmen sowie Verweis auf aktuelle Zertifikate, Prüfberichte oder Audit-Bescheinigungen seiner Unterauftragnehmer (insbesondere die ISO/IEC-27001-Zertifizierung der Hetzner Online GmbH für die Rechenzentrumsinfrastruktur);
• Beantwortung schriftlicher Fragebögen des Auftraggebers zur Datenschutz- und Sicherheitspraxis;
• Gestattung von Vor-Ort-Inspektionen oder Fernüberprüfungen, die rechtzeitig (mindestens 4 Wochen im Voraus) anzukündigen und auf das Erforderliche zu beschränken sind.

(3) Inspektionen finden maximal einmal pro Kalenderjahr statt, es sei denn, es besteht ein konkreter Anlass (z. B. eine bekannt gewordene Datenschutzverletzung).

(4) Kosten für Prüfungen, die über die reguläre Auskunftspflicht hinausgehen (insbesondere Vor-Ort-Inspektionen), trägt der Auftraggeber, sofern die Parteien nichts anderes vereinbaren. Dies umfasst sowohl die Kosten des vom Auftraggeber beauftragten Prüfers als auch den Erstattungsanspruch des Auftragnehmers für den ihm entstehenden Aufwand.

§ 12 Sonstige Bestimmungen

(1) Anwendbares Recht: Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland, insbesondere der DSGVO und dem BDSG.

(2) Verhältnis zum Nutzungsvertrag: Im Falle von Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gehen im Bereich des Datenschutzes die Regelungen dieses AVV vor.

(3) Datenschutzbeauftragter: Der Auftragnehmer hat gemäß § 38 BDSG keinen Datenschutzbeauftragten bestellt (Einzelunternehmer, weniger als 20 mit der Datenverarbeitung beschäftigte Personen). Datenschutzanfragen sind direkt an den Auftragnehmer unter unsere-vereinsapp@mkarls.de zu richten.

(4) Änderungen und Ergänzungen: Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB; Schriftform oder dauerhafter elektronischer Nachweis).

Inhaltliche Änderungen dieses AVV werden wie folgt umgesetzt: Eine Person der Vereinsleitung mit der Berechtigung „Vereinsapp verwalten" (management.edit) wird bei der nächsten Anmeldung im Vereinsmanager zur erneuten aktiven Bestätigung der geänderten Fassung aufgefordert. Die Bestätigung wird serverseitig protokolliert, einschließlich der neuen Versionsangabe des AVV. Eine stillschweigende Akzeptanz durch Weiternutzung findet nicht statt.

Stimmt der Auftraggeber einer inhaltlichen Änderung nicht zu, bleibt die bisherige Fassung dieses AVV zunächst in Kraft. Der Auftragnehmer kann dem Auftraggeber eine angemessene Frist zur Zustimmung setzen. Verweigert der Auftraggeber die Zustimmung dauerhaft, bleibt es dem Auftragnehmer unbenommen, den Nutzungsvertrag nach den dort geregelten Bestimmungen ordentlich zu kündigen; nach Wirksamwerden der Kündigung gelten die Export- und Löschregelungen des § 10.

Rein redaktionelle Änderungen ohne inhaltliche Auswirkung auf die Rechte und Pflichten der Parteien bedürfen keiner erneuten Zustimmung. Die Aufnahme neuer Unterauftragnehmer richtet sich ausschließlich nach dem Verfahren in § 7 und nicht nach diesem Absatz.

(5) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(6) Inkrafttreten: Dieser AVV tritt mit Abschluss des Nutzungsvertrags zwischen den Parteien in Kraft. Die Zustimmung zum AVV erfolgt in elektronisch nachweisbarer Form durch aktive Bestätigung einer Person der Vereinsleitung mit der Berechtigung „Vereinsapp verwalten" (management.edit) im Rahmen des Registrierungsprozesses oder nachträglich im Vereinsmanager, jeweils mit serverseitiger Protokollierung.

Solange der Auftraggeber dem AVV nicht zugestimmt hat, sind die Funktionen der Plattform, die eine Verarbeitung personenbezogener Daten von Mitgliedern oder sonstigen Dritten auslösen, insbesondere das Einladen von Mitgliedern und die Mitgliederverwaltung, technisch gesperrt. Dem Auftraggeber stehen bis zur Zustimmung lediglich diejenigen Funktionen offen, die keine solche Verarbeitung erfordern (z. B. Anmeldung, Einsicht in den AVV, Erteilung der Zustimmung).

Anlage 1: Beschreibung der Verarbeitungen

Diese Anlage konkretisiert Art. 28 Abs. 3 DSGVO und beschreibt die im Rahmen dieses AVV stattfindenden Verarbeitungen im Überblick.

Merkmal	Beschreibung
Verarbeitungsort	Rechenzentrum Hetzner, Nürnberg, Deutschland (EU)
Art der Verarbeitung	Erhebung, Speicherung, Lesen, Änderung, Übermittlung (E-Mail-Benachrichtigungen), Löschung
Zweck	Erbringung der Plattformleistungen gemäß § 2 dieses AVV
Verarbeitungsdauer	Für die Dauer des Nutzungsvertrags, danach Löschung gemäß § 10

Löschfristen für vereinsbezogene Daten

Datenkategorie	Löschfrist	Mechanismus
Mitgliedschaft nach Deaktivierung	45 Tage	automatisierter täglicher Prozess
Einladungen (abgelaufen)	30 Tage ab Erstellung	automatisierter täglicher Prozess
Buchungen (deaktiviert)	60 Tage	automatisierter täglicher Prozess
Mitteilungen	183 Tage (ca. 6 Monate)	automatisierter monatlicher Prozess
Tickets (offen / in Bearbeitung)	90 Tage ab letzter Aktivität	automatisierter täglicher Prozess
Tickets (abgeschlossen)	30 Tage	automatisierter täglicher Prozess
Versand- und Unzustellbarkeitsprotokoll	37 Tage	automatisierter täglicher Prozess
Sicherungskopien	max. 7 Tage (rollierend)	automatisierter täglicher Prozess
Vereinsdaten nach Deaktivierung	90 Tage	automatisierter täglicher Prozess

Anlage 2: Genehmigte Unterauftragnehmer

Die nachfolgend aufgeführten Unterauftragnehmer sind im Sinne des § 7 dieses AVV genehmigt. Der Auftragnehmer hat mit jedem dieser Unterauftragnehmer einen eigenen AVV gemäß Art. 28 DSGVO geschlossen.

1. Hetzner Online GmbH: Hosting

Merkmal	Details
Anschrift	Industriestr. 25, 91710 Gunzenhausen, Deutschland
Verarbeitungszweck	Hosting der Plattform (Server, Datenbankspeicher, Sicherungskopien)
Verarbeitungsort	Nürnberg, Deutschland (EU); ausschließlich innerhalb der EU
AVV-Stand	01.02.2026 (Hetzner AV-Vertrag Version 1.1 vom 10.02.2025)
Drittlandübermittlung	Keine, Serverstandort ausschließlich EU
Datenkategorien	Personenstammdaten, Kommunikationsdaten, Vertragsstammdaten, Protokolldaten aller Plattformnutzer:innen
TOMs	Abrufbar unter hetzner.com/de/AV/TOM.pdf

Hinweis zu Hetzner-Subunternehmern: Hetzners AVV enthält genehmigte Subunternehmer in den USA und Singapur. Diese sind nach ausdrücklicher Klarstellung in Anlage 3 des Hetzner-AVV jedoch ausschließlich bei Serverstandorten außerhalb der EU tätig. Da der Plattformbetreiber einen EU-Serverstandort (Nürnberg) gewählt hat, werden diese Subunternehmer nicht mit Plattformdaten befasst.

2. Sand Dune Mail Limited (SMTP2GO): E-Mail-Versand

Merkmal	Details
Anschrift	96-106 Manchester Street, Christchurch 8011, Neuseeland
Verarbeitungszweck	Versand ausgehender E-Mails (Einladungen, Mitteilungsbenachrichtigungen) sowie Verarbeitung von Rückmeldungen zu unzustellbaren oder als Spam markierten E-Mails
Genutzte Region	EU-Region des Anbieters
AVV-Stand	Version 1.4 vom 15.07.2025
Drittlandübermittlung	Neuseeland: Angemessenheitsbeschluss der EU-Kommission (Beschluss 2013/65/EU; Art. 45 DSGVO) als primäre Rechtsgrundlage; zusätzlich EU-Standardvertragsklauseln Modul 2 (Verantwortlicher zu Auftragsverarbeiter, Beschluss (EU) 2021/914) als ergänzende vertragliche Garantie
Datenkategorien	E-Mail-Adressen, Namen und sonstige Inhalte der versandten E-Mails
Unterauftragnehmer-Liste	Liste der Unterauftragnehmer von SMTP2GO

Hinweis zu einem möglichen Providerwechsel: Ein Wechsel des E-Mail-Dienstleisters (etwa zu Amazon Simple Email Service) bleibt vorbehalten. Vor einem solchen Wechsel wird der Auftraggeber gemäß § 7 Abs. 1 dieses AVV informiert; dieser AVV wird dann entsprechend aktualisiert.

3. Hostinger International Ltd.: E-Mail-Postfächer des Plattformbetreibers

Merkmal	Details
Anschrift	61 Lordou Vironos str., 6023 Larnaca, Zypern (EU)
Verarbeitungszweck	Hosting der E-Mail-Postfächer des Plattformbetreibers (unsere-vereinsapp@mkarls.de, tickets@mkarls.de) für Supportanfragen, die den Auftraggeber oder Plattformbetrieb betreffen
Verarbeitungsort	Europa (Niederlande), lt. Kundenpanel bestätigt (Stand 2026-05-03)
AVV-Stand	2026-04-15
Drittlandübermittlung	Hostinger selbst ist EU-Gesellschaft (kein Drittland). Einzelne Subunternehmer von Hostinger sitzen in den USA und Kanada; Schutzmechanismus: EU-Standardvertragsklauseln Modul 2/3 (Beschluss (EU) 2021/914; Art. 46 DSGVO)
Datenkategorien	Inhalte der Support-E-Mails (Name, E-Mail-Adresse, Anfrageinhalte); betrifft vorrangig die Kommunikation zwischen Auftraggeber und Plattformbetreiber

Hinweis zum Anwendungsbereich: Hostinger verarbeitet vorrangig Daten, die im Rahmen der Kommunikation des Auftraggebers mit dem Plattformbetreiber anfallen (Support-E-Mails). Eine direkte Verarbeitung von Mitgliederdaten des Vereins über Hostinger findet nicht statt.

Hinweis zur Abrechnung (Stripe): Für die Abwicklung der Abonnementzahlungen setzt der Plattformbetreiber den Zahlungsdienstleister Stripe ein. Stripe ist kein Unterauftragnehmer im Sinne dieses AVV: Die Abrechnung erfolgt in eigener datenschutzrechtlicher Verantwortung des Plattformbetreibers und nicht im Auftrag des Vereins (vgl. § 2 Abs. 5). Einzelheiten zu dieser Verarbeitung enthält die Datenschutzerklärung der Plattform (Abschnitt 14).

Anlage 3: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO implementiert:

A. Zutrittskontrolle

• Physischer Zugang zu den Serverinfrastrukturen obliegt ausschließlich Hetzner Online GmbH (Sicherheitsmaßnahmen: elektronisches Zugangssystem mit Protokollierung, Hochsicherheitszaun, abschließbare Racks, flächendeckende Videoüberwachung; vgl. Hetzner TOMs unter hetzner.com/de/AV/TOM.pdf).
• Kein physischer Serverzugang durch den Plattformbetreiber selbst; die Verwaltung erfolgt ausschließlich über die Cloud-Verwaltungsoberfläche von Hetzner.

B. Zugangskontrolle

• Administrativer Zugang zur Serverinfrastruktur ausschließlich durch den Plattformbetreiber über ein passwortgeschütztes Konto mit Zwei-Faktor-Authentifizierung.
• Der Fernzugriff auf den Produktionsserver erfolgt ausschließlich über ein schlüsselbasiertes Verfahren (kryptografischer Schlüssel, zusätzlich durch ein Kennwort geschützt); ein reiner Passwort-Zugang ist nicht möglich.
• Auf die Datenbank kann ausschließlich vom Produktionsserver aus zugegriffen werden; ein Zugriff aus dem öffentlichen Internet ist nicht möglich.

C. Zugriffskontrolle / Berechtigungssteuerung

• Rollenbasiertes Berechtigungssystem auf Vereinsebene mit fein abgestuften Berechtigungen, etwa für das Erstellen von Events oder den Zugriff auf die Verwaltung.
• Strikte Trennung der Vereine: Die Daten jedes Vereins sind voneinander getrennt; ein Verein kann nicht auf die Daten eines anderen Vereins zugreifen.
• Grundsatz der minimalen Rechtevergabe: Mitglieder sehen nur die Daten, zu denen ihre Rolle Zugang gewährt.
• E-Mail-Adressen werden in der Benutzeroberfläche ausschließlich in maskierter Form (m***@e***.de) angezeigt, außer gegenüber der eigenen Person.
• Die Verwaltungsoberfläche der Plattform ist ausschließlich dem Plattformbetreiber zugänglich.

D. Weitergabekontrolle / Übertragungssicherheit

• Ausschließliche Kommunikation über TLS 1.2 / 1.3 (HTTPS); Zertifikate von Let's Encrypt (automatische Erneuerung).
• Keine Übertragung personenbezogener Daten an Dritte außerhalb der in Anlage 2 aufgeführten Unterauftragnehmer.

E. Eingabekontrolle

• Alle von Nutzern eingegebenen Inhalte (Mitteilungstexte, Ticket-Felder) werden technisch abgesichert, um das Einschleusen von Schadcode zu verhindern.
• Alle Eingaben werden serverseitig auf Gültigkeit geprüft.
• Änderungsprotokoll für Statusänderungen an Tickets (geändertes Feld, alter und neuer Wert, ändernde Person, Zeitstempel).

F. Auftragskontrolle

• Unterauftragnehmer werden ausschließlich gemäß § 7 dieses AVV eingesetzt.
• Verträge mit Unterauftragnehmern enthalten datenschutzrechtliche Pflichten, die denen dieses AVV entsprechen.

G. Verfügbarkeitskontrolle

• Tägliche Sicherungskopien über Hetzner (verschlüsselte Speicherung, rollierende Aufbewahrung von maximal 7 Tagen, Rechenzentrum Nürnberg).
• Automatisierte Hintergrundprozesse entfernen regelmäßig abgelaufene Einladungen, alte Tickets, Mitteilungen und vergleichbare Daten und verhindern so ein unkontrolliertes Datenwachstum.
• Begrenzung der Anzahl der Anfragen pro Nutzer auf Server-Ebene als Basisschutz gegen Überlastungsangriffe.

H. Trennungskontrolle

• Strikte logische Trennung der einzelnen Vereine auf Ebene der Datenbank; die Daten jedes Vereins sind technisch eindeutig zugeordnet und voneinander abgegrenzt.
• Die Entwicklungs- und Testumgebung ist vollständig von der Produktionsumgebung getrennt. Test- und Entwicklungsarbeiten greifen nicht auf die produktive Datenbank und die produktiven Daten zu.
• Demo-Vereine werden innerhalb der Produktionsumgebung als eigene, abgegrenzte Vereine geführt; sie sind von echten Vereinen getrennt und enthalten ausschließlich fiktive Beispieldaten sowie das Konto des Plattformbetreibers.

I. Pseudonymisierung / Verschlüsselung

• E-Mail-Adressen: werden in der Datenbank verschlüsselt gespeichert (Verfahren AES-128-CBC mit HMAC-SHA256). Für die Anmeldung wird ausschließlich ein pseudonymisierter Wert verwendet, nicht die E-Mail-Adresse im Klartext. Ein regelmäßiger Wechsel des Verschlüsselungsschlüssels ist möglich.
• Passwörter: werden ausschließlich als kryptografischer Prüfwert (Verfahren PBKDF2) gespeichert; das Klartext-Passwort wird nicht gespeichert.
• Datenträger: Die Server-Datenträger sind durch Hetzner verschlüsselt.
• Sitzungs-Cookies: sind gegen Auslesen durch Skripte und gegen unverschlüsselte Übertragung geschützt und auf die eigene Domain beschränkt.
• Schutz vor gefälschten Formularanfragen: Alle Formulare sind durch ein Sicherheitsmerkmal gegen missbräuchliche Absendung von fremden Seiten geschützt.

J. Sicherheit gegen Missbrauch

• Schutz vor wiederholten Anmeldeversuchen: Nach fünf fehlgeschlagenen Versuchen wird die betreffende IP-Adresse für zehn Minuten gesperrt. Diese Information wird nur flüchtig im Zwischenspeicher gehalten und nicht dauerhaft gespeichert.
• Begrenzung der Anzahl der Anfragen je Nutzer oder IP-Adresse; auch diese Information wird nur flüchtig im Zwischenspeicher gehalten.
• Schutz vor automatisierten Anfragen bei anonymen Kontaktformularen durch ein signiertes, kurzzeitig gültiges Sicherheitsmerkmal sowie ein verstecktes Prüffeld.
• Überwachung der Zustellbarkeit: Vereinsbezogene E-Mail-Versendungen werden automatisch ausgesetzt, wenn die Quote unzustellbarer E-Mails 5 % übersteigt. Dies schützt den Ruf des Versandsystems; gespeichert wird dabei nur ein pseudonymisierter Wert der E-Mail-Adresse, kein Klartext.

Zustimmung und Vertragsschluss

Dieser AVV wird nicht handschriftlich unterzeichnet. Der Vertragsschluss erfolgt in elektronisch nachweisbarer Form, die als Textform i. S. d. § 126b BGB gilt (Art. 28 Abs. 9 DSGVO).

Auftraggeber (Verein): Die zur Vertretung des Vereins berechtigte Person, in der Vereinsapp eine Person der Vereinsleitung mit der Berechtigung „Vereinsapp verwalten" (management.edit), bestätigt diesen AVV durch aktives Setzen einer Checkbox im Rahmen des Registrierungsprozesses oder nachträglich im Vereinsmanager. Die Zustimmung wird serverseitig dauerhaft protokolliert (Kennung des Nutzerkontos, Zeitstempel, AVV-Version, IP-Adresse, Zustimmungskanal). Diese Protokollierung dient beiden Parteien als Nachweis des Vertragsschlusses.

Auftragnehmer (Plattformbetreiber): Der Auftragnehmer stellt diesen AVV in der jeweils gültigen Fassung über die Plattform bereit und erklärt mit dieser Bereitstellung seine Zustimmung zum Vertragsinhalt. Maßgeblich ist die jeweils im Zustimmungszeitpunkt protokollierte Versionsangabe des AVV.

Eine gesonderte schriftliche Ausfertigung wird nicht erstellt; der vorliegende AVV in Verbindung mit dem Zustimmungsprotokoll bildet den vollständigen Vertrag zwischen den Parteien.