Auftragsverarbeitungsvertrag (AVV)
Diese Vereinbarung ergänzt die AGB und wird gemäß deren § 7 Abs. 3 Bestandteil des Nutzungsvertrags zwischen Betreiber und Verein.
§ 1 Gegenstand und Dauer
(1) Diese Vereinbarung konkretisiert die Pflichten der Parteien in Bezug auf den Datenschutz, die sich aus der Nutzung der Plattform Angelvereinsplattform gemäß den AGB ergeben. Sie gilt für die gesamte Dauer, in der der Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, und endet automatisch mit Beendigung des zugrunde liegenden Nutzungsvertrags, spätestens jedoch mit vollständiger Löschung oder Rückgabe der Daten gemäß § 9.
(2) Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der jeweilige Verein (nachfolgend „Verantwortlicher"). Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO ist Dominic Rohrbacher (Vereins-App), Friedhofsweg 1A, 38162 Cremlingen (nachfolgend „Auftragsverarbeiter" oder „Betreiber").
§ 2 Art und Zweck der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen des Betriebs der Plattform zu folgenden Zwecken: Verwaltung von Vereinsmitgliedschaften, Erfassung und Auswertung von Fangmeldungen, Durchführung und Dokumentation von Kontrollen und Verstößen, Bereitstellung von Live-Status-Funktionen sowie Versand systembezogener E-Mails (z. B. Aktivierungslinks).
(2) Betroffene Personen sind insbesondere: Mitglieder des Vereins, vom Verein benannte Kontrolleure/Verwaltungspersonen sowie ggf. Dritte, die im Rahmen von Kontrollen erfasst werden (z. B. bei Verstößen).
(3) Kategorien verarbeiteter Daten umfassen insbesondere: Namen, Mitgliedsnummern, Kontaktdaten, Fangmeldungsdaten (Art, Gewicht, Gewässer, Datum), Kontroll- und Verstoßdaten, Zugangsdaten (Benutzernamen, gehashte Passwörter), sowie technische Protokolldaten (z. B. Anmeldezeitpunkte, IP-bezogene Hashes zu Sicherheitszwecken).
§ 3 Rechte und Pflichten des Verantwortlichen
(1) Der Verantwortliche bleibt für die Einhaltung der datenschutzrechtlichen Vorgaben gegenüber seinen Mitgliedern verantwortlich, insbesondere für das Vorliegen einer Rechtsgrundlage für die Verarbeitung sowie die Wahrung der Rechte betroffener Personen.
(2) Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter jederzeit Weisungen zu Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen sollen in Textform erfolgen; mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er in der Auftragsverarbeitung einen Verstoß gegen datenschutzrechtliche Bestimmungen feststellt.
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Europäischen Union oder der Mitgliedstaaten zu einer anderweitigen Verarbeitung verpflichtet; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und passt diese an den Stand der Technik an.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflicht zur Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (u. a. Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).
(5) Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, damit dieser seinen eigenen Melde- und Benachrichtigungspflichten fristgerecht nachkommen kann.
(6) Der Auftragsverarbeiter stellt dem Verantwortlichen alle zum Nachweis der Einhaltung dieser Vereinbarung erforderlichen Informationen zur Verfügung und ermöglicht in angemessenem Umfang Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen selbst oder einem von ihm beauftragten Prüfer durchgeführt werden. Der Verantwortliche kündigt Vor-Ort-Prüfungen mit angemessener Frist (mind. zwei Wochen) an; Anfragen zur Selbstauskunft/Dokumentation kann der Auftragsverarbeiter alternativ in Textform beantworten.
§ 5 Unterauftragsverhältnisse
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die in Anlage 2 gelisteten Unterauftragsverarbeiter einzusetzen.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen in Textform über die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter mit angemessener Frist (mind. vier Wochen) vor der geplanten Änderung. Der Verantwortliche kann der Änderung aus wichtigem, datenschutzrechtlich begründetem Grund innerhalb dieser Frist widersprechen.
(3) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter durch entsprechende Vereinbarungen zu denselben Datenschutzpflichten, wie sie in dieser Vereinbarung festgelegt sind.
(4) Erfolgt die Verarbeitung durch einen Unterauftragsverarbeiter außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien im Sinne von Art. 44 ff. DSGVO bestehen (z. B. EU-Standardvertragsklauseln oder ein Angemessenheitsbeschluss).
§ 6 Löschung und Rückgabe
Nach Beendigung der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern nicht nach dem Recht der Europäischen Union oder der Mitgliedstaaten eine Verpflichtung zur weiteren Speicherung besteht. Der Verantwortliche kann die Daten während einer angemessenen Übergangsfrist (siehe AGB § 6 Abs. 4) selbst exportieren.
§ 7 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie ergänzend nach den Haftungsregelungen in § 10 der AGB.
§ 8 Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland. Im Übrigen gelten die Schlussbestimmungen der AGB (§ 12) entsprechend.
(2) Bei Widersprüchen zwischen dieser Vereinbarung und den AGB gehen die Regelungen dieser Vereinbarung in datenschutzrechtlichen Fragen vor.
Anlage 1: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit
- Physisch getrennte Datenhaltung je Verein (eigene Datenbankdatei pro Verein) — ein Verein kann auf Daten eines anderen Vereins nicht zugreifen.
- Rollenbasiertes Zugriffskonzept (Vorstand, Verwaltung, Kontrolleur mit granularen Zusatzrechten, Mitglied) mit serverseitiger Rechteprüfung bei jedem Zugriff.
- Passwörter werden ausschließlich als Hashwerte gespeichert, nie im Klartext.
- Verschlüsselte Übertragung (HTTPS/TLS) inkl. HSTS.
- Sitzungs-Timeouts (inaktivitäts- und zeitbasiert) sowie CSRF-Schutz für alle verändernden Anfragen.
- Rate-Limiting gegen automatisierte Anmelde- und Missbrauchsversuche.
- Geheimnisse (Zugangsdaten zu Drittdiensten, Verschlüsselungs- und Sitzungsschlüssel) liegen außerhalb des öffentlich erreichbaren und des versionsverwalteten Verzeichnisses.
Integrität
- Protokollierung sicherheitsrelevanter Ereignisse (u. a. Anmeldungen, fehlgeschlagene Anmeldungen, abgelehnte CSRF-Tokens, administrative Änderungen) zur Nachvollziehbarkeit.
- Eingabevalidierung serverseitig für alle datenverändernden Vorgänge.
Verfügbarkeit und Belastbarkeit
- Automatisierte, regelmäßige Off-Site-Datensicherungen (siehe Anlage 2, Sicherungsspeicher).
- Möglichkeit des Datenexports durch den Verantwortlichen selbst.
Verfahren zur Überprüfung
- Regelmäßige Überprüfung von Berechtigungskonzept und Konfiguration im Rahmen der Weiterentwicklung der Plattform.
Anlage 2: Genehmigte Unterauftragsverarbeiter
| Anbieter | Leistung | Verarbeitungsort |
|---|---|---|
| Hostinger International Ltd. | Webhosting, Serverbetrieb | Zypern (EU) |
| Resend | Versand transaktionaler E-Mails (u. a. Aktivierungslinks) | USA — Übermittlung auf Grundlage geeigneter Garantien (EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln) |
| Supabase | Verschlüsselte Off-Site-Datensicherung (Backups) | EU (Region eu-central-1) — sofern Projektregion unverändert bleibt |