← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Stand: Juli 2026 — Entwurf, noch nicht anwaltlich geprüft.

Dieser Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO (nachfolgend „AVV“) regelt die Verarbeitung personenbezogener Daten, die über die von der Organisation (nachfolgend „Verantwortlicher“) betriebenen Anmeldeformulare erhoben werden, durch

Ace Labs UG (haftungsbeschränkt)
Bodelschwinghstr. 1
48527 Nordhorn, Deutschland
(nachfolgend „Auftragsverarbeiter“).

Mit dem Setzen der beiden Häkchen im Rahmen der Kontoerstellung (AGB und AVV) schließen der Verantwortliche und der Auftragsverarbeiter diesen Vertrag als Anlage zum Nutzungsvertrag (AGB) ab. Zeitpunkt, Version und die dabei übermittelte IP-Adresse werden zu Nachweiszwecken gespeichert.

1. Gegenstand und Dauer

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten, die Teilnehmende über die vom Verantwortlichen veröffentlichten Anmeldeformulare der Plattform FreizeitHeld einreichen. Der Auftragsverarbeiter verarbeitet diese Daten ausschließlich zur technischen Speicherung, Verwaltung, Bereitstellung und zum Export im Auftrag des Verantwortlichen.

Die Laufzeit dieses AVV entspricht der Laufzeit des Nutzungsvertrags (AGB) zwischen den Parteien.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter speichert die eingereichten Formulardaten in einer Datenbank, stellt sie dem Verantwortlichen zur Einsicht und zum Export (CSV, Excel, PDF) bereit, protokolliert sicherheitsrelevante Zugriffe (Audit-Log) und löscht die Daten automatisiert nach Ablauf der vom Verantwortlichen je Formular festgelegten Aufbewahrungsfrist.

3. Art der Daten und Kreis der Betroffenen

Gegenstand der Verarbeitung sind die vom Verantwortlichen im jeweiligen Formular festgelegten Datenkategorien, typischerweise Name, Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift) sowie weitere frei konfigurierbare Angaben. Kennzeichnet der Verantwortliche ein Feld als besondere Kategorie personenbezogener Daten (Art. 9 DSGVO, z. B. Gesundheitsangaben wie Allergien oder Medikamente), verlangt die Plattform vor dem Absenden eine separate, ausdrückliche Einwilligung der betroffenen Person.

Betroffene Personen sind Teilnehmende an den vom Verantwortlichen organisierten Veranstaltungen (z. B. Freizeiten, Kurse, Gemeindefeste) sowie gegebenenfalls deren Sorgeberechtigte, sofern Minderjährige angemeldet werden.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

  • die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten zu einer anderen Verarbeitung verpflichtet;
  • die mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten oder einer angemessenen gesetzlichen Verschwiegenheitspflicht zu unterstellen;
  • die technischen und organisatorischen Maßnahmen gemäß Abschnitt 5 zu treffen;
  • den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO angemessen zu unterstützen;
  • dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, zu melden;
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Prüfungen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer im zumutbaren Rahmen zu ermöglichen; sowie
  • nach Beendigung der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Aufbewahrungspflicht entgegensteht.

5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Verschlüsselung: durchgängige Verschlüsselung der Übertragung per TLS.
  • Zugriffskontrolle: rollenbasierte Berechtigungen (Admin, Redakteur:in, Betrachter:in) je Organisation.
  • Mandantentrennung: logische Trennung der Daten verschiedener Organisationen auf Datenbankebene (Row-Level-Security).
  • Auftragskontrolle: lückenloses Audit-Log sicherheitsrelevanter Vorgänge (Anmeldungen, Zugriffe, Exporte, Änderungen).
  • Verfügbarkeitskontrolle: Betrieb bei einem deutschen Hosting-Anbieter mit regelmäßigen Datensicherungen.
  • Speicherbegrenzung: automatisierte Löschung nach Ablauf der vom Verantwortlichen festgelegten Aufbewahrungsfrist.

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt seine allgemeine Zustimmung zum Einsatz folgender Unterauftragsverarbeiter für die in Abschnitt 1 genannte Verarbeitung:

  • Hetzner Online GmbH, Gunzenhausen (Deutschland) — Server-Infrastruktur und Hosting. Verarbeitung in Rechenzentren in Deutschland.
  • Supabase, Inc. — Datenbank und Authentifizierung. Verarbeitung in einer Region innerhalb der Europäischen Union.

Über die Aufnahme oder den Austausch weiterer Unterauftragsverarbeiter informieren wir den Verantwortlichen vorab in Textform; dieser kann der Änderung innerhalb einer angemessenen Frist aus wichtigem, datenschutzrechtlich begründetem Grund widersprechen.

Unser Zahlungsdienstleister Stripe verarbeitet ausschließlich Abrechnungsdaten des Verantwortlichen selbst (z. B. Rechnungsanschrift, Zahlungsmittel), nicht jedoch die über Anmeldeformulare erhobenen Teilnahmedaten. Stripe ist daher kein Unterauftragsverarbeiter im Sinne dieses AVV; die entsprechende Verarbeitung ist in unserer Datenschutzerklärung (Abschnitt 11 f.) beschrieben.

7. Weisungen

Der Verantwortliche erteilt Weisungen grundsätzlich durch die Konfiguration seiner Formulare und Einstellungen innerhalb der Plattform sowie ergänzend in Textform (z. B. per E-Mail) an die im Impressum genannten Kontaktdaten. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

8. Haftung

Es gelten die Haftungsregelungen der zwischen den Parteien geschlossenen AGB entsprechend, soweit die DSGVO keine zwingenden abweichenden Regelungen (z. B. Art. 82 DSGVO) vorsieht.

9. Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und den AGB geht dieser AVV hinsichtlich der Verarbeitung personenbezogener Daten vor. Im Übrigen gelten die Schlussbestimmungen der AGB entsprechend.