Stand: April 2026 — Mustertext nach Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") wird zwischen dem Verein als Verantwortlichem (im Folgenden „Auftraggeber") und der BeeBack UG (haftungsbeschränkt), Scheffelstrasse 20A, 60318 Frankfurt am Main (im Folgenden „Auftragnehmer") als Auftragsverarbeiter geschlossen. Der AVV regelt die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der SaaS-Lösung verein.xhub und ist Anlage zum Hauptvertrag (siehe AGB).

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten von Vereinsmitgliedern, Vorstandsmitgliedern, Spendern und sonstigen Kontakten des Auftraggebers durch den Auftragnehmer im Rahmen der Bereitstellung der SaaS-Lösung verein.xhub.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Beendigung des Hauptvertrags gelten die in § 11 geregelten Lösch- und Rückgabeverpflichtungen.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung von Mitgliederdaten, Beiträgen, Spenden, Veranstaltungen und Beschluss-Protokollen
• Übermittlung von SEPA-Lastschriftdateien an die Hausbank des Vereins (über den Auftraggeber selbst)
• Versand von Newslettern, Erinnerungen und Spendenbescheinigungen
• Auswertung aggregierter, anonymisierter Statistiken zum Verein­sgeschehen
• Backups und Wiederherstellung im Fehlerfall
• Support-Bearbeitung nach Weisung des Auftraggebers

(2) Zweck der Verarbeitung ist ausschließlich die Erfüllung des Hauptvertrags — also die Bereitstellung einer Vereinsverwaltungs­software. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers ist ausgeschlossen.

§ 3 Art der personenbezogenen Daten

Die Verarbeitung kann folgende Datenarten betreffen:

• Stammdaten (Name, Anschrift, Geburtsdatum)
• Kontaktdaten (E-Mail, Telefonnummer)
• Bankverbindungsdaten (IBAN, BIC für SEPA-Mandate)
• Vereinsmitgliedschafts-Daten (Eintrittsdatum, Status, Rolle)
• Beitragsdaten und Spendenhistorie
• Kommunikationsdaten (Newsletter-Anmeldungen, gesendete Nachrichten)
• Optional: Profilbilder, Atteste, Lizenzen — sofern vom Verein hinterlegt

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten, religiöse Überzeugungen etc.) werden nur verarbeitet, wenn der Auftraggeber sie ausdrücklich erfasst und eine entsprechende Rechtsgrundlage dokumentiert hat.

§ 4 Kategorien betroffener Personen

• Mitglieder des Vereins (aktive, passive, Ehrenmitglieder)
• Vorstandsmitglieder und Funktionsträger
• Spender und Förderer
• Veranstaltungs-Teilnehmer (auch Nicht-Mitglieder)
• Kontaktpersonen (z. B. Trainer, Übungsleiter)

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

1. die Daten nur im Rahmen der schriftlichen Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
2. den Auftraggeber unverzüglich zu informieren, wenn er die Auffassung vertritt, dass eine Weisung gegen Datenschutzvorschriften verstößt;
3. alle mit der Datenverarbeitung beschäftigten Personen schriftlich auf Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO);
4. geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO umzusetzen — siehe TOM-Anlage;
5. den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen;
6. den Auftraggeber bei Datenpannen unverzüglich (innerhalb von 24 Stunden) zu informieren;
7. den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen;
8. nach Vertragsende sämtliche personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben (siehe § 11).

§ 6 Weisungsrecht des Auftraggebers

(1) Der Auftraggeber bleibt im Sinne der DSGVO Verantwortlicher und erteilt Weisungen zur Verarbeitung personenbezogener Daten.

(2) Weisungen können in Textform (E-Mail, Support-Ticket, in der Software-Oberfläche) erteilt werden.

(3) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(4) Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

§ 7 Sub-Auftragsverarbeiter

(1) Der Auftraggeber stimmt der Beauftragung folgender Sub-Auftragsverarbeiter zu:

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen — Hosting der Anwendung und Datenbank in Rechenzentren in Falkenstein/Nürnberg
• Resend, Inc. bzw. äquivalenter EU-Anbieter (z. B. Brevo SAS, Paris) — transactional E-Mail-Versand
• Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin — Zahlungsabwicklung (nur bei kostenpflichtigen Tarifen)
• Sentry GmbH oder selbst-gehostetes GlitchTip — Fehler-Monitoring (nur technische Logs, keine Mitgliederdaten)

(2) Die aktuelle, vollständige Sub-Auftragsverarbeiter-Liste ist jederzeit unter verein.xhub.io/datenschutz einsehbar.

(3) Der Auftragnehmer wird den Auftraggeber mit angemessener Vorlauf­zeit (mindestens 30 Tage) über jede beabsichtigte Änderung in der Person der Sub-Auftragsverarbeiter informieren. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen widersprechen; bei Widerspruch hat der Auftraggeber das Recht zur außerordentlichen Kündigung des Hauptvertrags.

(4) Der Auftragnehmer schließt mit jedem Sub-Auftragsverarbeiter einen Vertrag mit datenschutzrechtlichen Verpflichtungen ab, die denen dieses AVV mindestens gleichwertig sind.

§ 8 Technisch-organisatorische Maßnahmen (TOM)

(1) Der Auftragnehmer trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme.

(2) Die konkreten TOM sind in der Anlage verein.xhub.io/tom dokumentiert und Bestandteil dieses AVV.

(3) Der Auftragnehmer behält sich vor, die TOM weiterzuentwickeln, sofern das Schutzniveau dabei nicht abgesenkt wird.

§ 9 Datenpannen-Meldepflicht

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, nach Bekanntwerden über jede Verletzung des Schutzes personenbezogener Daten („Datenpanne") nach Art. 33 Abs. 2 DSGVO.

(2) Die Meldung enthält:

• Beschreibung der Art der Datenpanne
• Kategorien und Zahl der betroffenen Personen
• Kategorien und Zahl der betroffenen Datensätze
• Wahrscheinliche Folgen der Datenpanne
• Bereits ergriffene oder vorgeschlagene Maßnahmen zur Eindämmung und Behebung
• Kontaktdaten der zuständigen Person beim Auftragnehmer

(3) Der Auftragnehmer unterstützt den Auftraggeber bei dessen Meldepflicht gegenüber der Aufsichtsbehörde (innerhalb von 72 Stunden, Art. 33 DSGVO) und ggf. der Benachrichtigung der Betroffenen (Art. 34 DSGVO).

§ 10 Unterstützung bei Betroffenenrechten

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte der betroffenen Personen (Art. 15–22 DSGVO). Konkret stellt der Auftragnehmer dem Auftraggeber folgende Funktionen in der Software zur Verfügung:

• Auskunft (Art. 15): Datenexport pro Mitglied auf Knopfdruck (CSV/JSON)
• Berichtigung (Art. 16): Mitgliederdaten direkt editierbar
• Löschung (Art. 17): Lösch-Workflow mit automatischer Anonymisierung
• Einschränkung (Art. 18): Status-Flag „verarbeitung eingeschränkt"
• Datenübertragbarkeit (Art. 20): Export in offenen Formaten (CSV, JSON, XML)

(2) Bei direkten Anfragen Betroffener an den Auftragnehmer leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.

§ 11 Datenrückgabe und Löschung nach Vertragsende

(1) Nach Beendigung des Hauptvertrags hat der Auftraggeber 30 Tage Zeit, alle personen­bezogenen Daten zu exportieren.

(2) Anschließend werden alle personen­bezogenen Daten — vorbehaltlich gesetzlicher Aufbewahrungs­pflichten (z. B. § 257 HGB, § 147 AO) — innerhalb von 30 weiteren Tagen sicher gelöscht.

(3) Daten, die gesetzlichen Aufbewahrungs­pflichten unterliegen (insbesondere Buchungsdaten), werden in einem zugriffs­geschützten Archiv aufbewahrt und nach Ablauf der jeweiligen Frist automatisch gelöscht.

(4) Auf Anforderung des Auftraggebers wird die Löschung dokumentiert und schriftlich bestätigt.

§ 12 Nachweispflichten und Prüfrechte

(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV und in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Der Auftraggeber kann die Einhaltung der Verpflichtungen des Auftragnehmers durch geeignete Maßnahmen prüfen, insbesondere durch:

• Einsicht in aktuelle Audit-Berichte (z. B. C5-Testat, ISO 27001, SOC 2 — sobald vorhanden)
• Einsicht in dieses AVV und die TOM-Anlage
• Vor-Ort-Inspektionen mit angemessener Vorankündigung (mindestens 14 Tage), maximal einmal jährlich, soweit erforderlich

(3) Die Kosten für Vor-Ort-Inspektionen trägt der Auftraggeber, sofern bei der Inspektion keine wesentlichen Verstöße festgestellt werden.

§ 13 Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung personenbezogener Daten beschäftigten Personen schriftlich zur Vertraulichkeit. Diese Verpflichtung besteht über das Beschäftigungs­verhältnis hinaus fort.

§ 14 Haftung

(1) Im Verhältnis zwischen den Parteien gilt für die Haftung Art. 82 DSGVO sowie die Haftungs­regelungen des Hauptvertrags (siehe AGB § 10).

(2) Macht ein Betroffener Schadensersatz­ansprüche gegenüber einer Partei geltend, so wird die andere Partei sie nach Kräften unterstützen.

§ 15 Schlussbestimmungen

(1) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

(2) Gerichtsstand ist Frankfurt am Main, soweit gesetzlich zulässig.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

(4) Im Konflikt zwischen den Regelungen dieses AVV und denen des Hauptvertrags gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.

Dieser AVV ist mit Stand April 2026 verfasst und folgt den Mustertexten der BfDI sowie etablierter SaaS-Praxis. Vor Public Launch wird er durch einen Fachanwalt für IT-Recht final geprüft. Mit Vertragsschluss zum Hauptvertrag gilt dieser AVV als mitvereinbart und ist im Vereins-Account jederzeit als PDF abrufbar.

Anhang: Technische und organisatorische Maßnahmen (TOM)