Auftragsverarbeitungsvereinbarung (AVV)
gemaess Art. 28 DSGVO
Stand: 2026-05-12
1. Gegenstand und Dauer der Verarbeitung
Diese Vereinbarung regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch TeamRegie (nachfolgend „Auftragnehmer“) im Auftrag des Vereins bzw. der Organisation (nachfolgend „Auftraggeber“).
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers fuer die Dauer der Nutzung der TeamRegie-Plattform. Die Verarbeitung endet mit der Kuendigung des Kontos und der Loeschung aller Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen.
2. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt zum Zweck der Bereitstellung der TeamRegie-Plattform fuer die Trainings- und Spielorganisation des Auftraggebers. Dies umfasst insbesondere:
- Verwaltung von Mitgliederdaten (Name, E-Mail, Geburtsdatum)
- Organisation von Trainings und Spielen (Termine, Zu-/Absagen)
- Kommunikation innerhalb des Teams (Push-Benachrichtigungen, Nachrichten)
- Verwaltung von Aufstellungen und Teamkasse
3. Art der personenbezogenen Daten
| Datenkategorie | Beispiele |
|---|---|
| Stammdaten | Name, E-Mail-Adresse, Geburtsdatum |
| Kontaktdaten | E-Mail-Adresse |
| Nutzungsdaten | Login-Zeitpunkte, Geraete-Token fuer Push |
| Organisationsdaten | Teamzugehoerigkeit, Rolle, Zu-/Absagen, Trikotnummer |
| Finanzdaten | Teamkasse-Eintraege (Betraege, Grund) |
4. Kategorien betroffener Personen
- Vereinsmitglieder (Spieler, Trainer, Betreuer)
- Vereinsadministratoren
- Erziehungsberechtigte (bei Jugendteams)
5. Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten.
- Alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten.
- Alle erforderlichen technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO zu ergreifen.
- Unterauftragnehmer nur mit vorheriger Zustimmung des Auftraggebers einzusetzen.
- Den Auftraggeber bei der Erfuellung von Betroffenenrechten zu unterstuetzen.
- Nach Beendigung der Verarbeitung alle Daten zu loeschen oder zurueckzugeben.
- Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfuegung zu stellen.
6. Pflichten des Auftraggebers
Der Auftraggeber ist verantwortlich fuer:
- Die Rechtmaessigkeit der Datenverarbeitung gegenueber den betroffenen Personen.
- Die Erteilung von Weisungen an den Auftragnehmer.
- Die Information der betroffenen Personen ueber die Datenverarbeitung.
7. Unterauftragnehmer
| Dienstleister | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting | Deutschland |
| Google Firebase (FCM) | Push-Benachrichtigungen | EU/USA (Standardvertragsklauseln) |
Der Auftraggeber stimmt dem Einsatz der oben genannten Unterauftragnehmer zu. Bei Aenderungen wird der Auftraggeber informiert und kann innerhalb von 14 Tagen Einspruch erheben.
8. Technische und organisatorische Massnahmen (TOM)
Der Auftragnehmer setzt folgende Massnahmen um:
- Verschluesselung: HTTPS/TLS fuer alle Datenuebertragunen, verschluesselte Datenbankspeicherung
- Zugriffskontrolle: JWT-basierte Authentifizierung, rollenbasierte Autorisierung
- Datentrennung: Physische Datenbanktrennung pro Verein (eine eigene Datenbank pro Mandant)
- Verfuegbarkeit: RAID-1 Speicher, regelmaessige Backups
- Belastbarkeit: Rate Limiting, DDoS-Schutz
- Wiederherstellbarkeit: Taegliche Backups mit definierten Wiederherstellungszeiten
- Ueberpruefung: Regelmaessige Sicherheitsupdates und Systemueberwachung
9. Meldung von Datenschutzverletzungen
Der Auftragnehmer informiert den Auftraggeber unverzueglich (innerhalb von 24 Stunden) ueber Datenschutzverletzungen, die personenbezogene Daten des Auftraggebers betreffen.
10. Loeschung und Rueckgabe von Daten
Nach Beendigung der Auftragsverarbeitung wird der Auftragnehmer:
- Auf Wunsch alle Daten in einem gaengigen Format exportieren und dem Auftraggeber zur Verfuegung stellen.
- Nach Ablauf von 30 Tagen nach Kuendigung alle Daten unwiderruflich loeschen (einschliesslich
DROP DATABASEder vereinsspezifischen Datenbank).
11. Schlussbestimmungen
Diese AVV ist Bestandteil der Nutzungsbedingungen von TeamRegie. Bei Widerspruechen zwischen dieser AVV und den Nutzungsbedingungen hat diese AVV Vorrang, soweit der Schutz personenbezogener Daten betroffen ist.
Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers.
Kontakt fuer Datenschutzanfragen:
E-Mail: datenschutz@teamregie.de