Auftragsverarbeitungsvertrag

zwischen Clubs und swetz technologies UG (haftungsbeschränkt)

Stand: November 2025

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Zwischen

swetz technologies UG (haftungsbeschränkt)
Oelkersallee 23
22769 Hamburg
E-Mail: support@veveria.com

– nachfolgend „Auftragsverarbeiter" –

und

dem jeweiligen Club / Verein, der ein Vereinsprofil auf der Plattform Veveria registriert

– nachfolgend „Verantwortlicher" –

wird folgender Vertrag geschlossen:

1. Gegenstand und Dauer der Verarbeitung

  • Der Auftragsverarbeiter stellt dem Verantwortlichen die Softwareplattform Veveria zur Verfügung.
  • Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.
  • Der Vertrag gilt für die gesamte Dauer der Nutzung der Veveria-Plattform und endet automatisch mit Löschung des Clubs oder Kündigung des SaaS-Vertrags.

2. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung der Veveria-Plattform, insbesondere für:

  • Mitgliederverwaltung
  • Kommunikation (Posts, Kommentare, Likes)
  • Events & RSVPs
  • Gruppen- und Sichtbarkeitsmanagement
  • Buchungs- und Reservierungssystem
  • Dokumenten- und Datei-Uploads
  • Administration und Vereinsorganisation

Die konkrete Art der Verarbeitung ist in Anlage 1 beschrieben.

3. Art der Daten und Kategorien betroffener Personen

Personenbezogene Daten

Der Auftragsverarbeiter verarbeitet insbesondere:

  • Namen
  • E-Mail-Adressen
  • Rollen & Berechtigungen
  • Profilinformationen
  • Inhalte wie Posts, Kommentare, Nachrichten
  • Buchungen, Eventteilnahmen
  • Hochgeladene Dokumente oder Bilder
  • Nutzungs- & Logdaten (IP, Browser, Zeitstempel)

Betroffene Personengruppen

  • Vereinsmitglieder
  • Vereinsadministratoren
  • Vereinsvorstände
  • Trainer, Mitarbeiter, Ehrenamtliche
  • Externe Gäste (falls Events öffentlich sind)

Details siehe Anlage 1.

4. Rechte & Pflichten des Verantwortlichen

Der Verantwortliche:

  • ist für die Rechtmäßigkeit der Verarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO).
  • ist verpflichtet, seine Mitglieder über die Nutzung von Veveria zu informieren.
  • darf nur Daten verarbeiten, für die er eine Rechtsgrundlage besitzt.
  • bleibt Eigentümer aller in Veveria gespeicherten Daten.
  • ist verantwortlich für Löschanfragen, Auskunftsersuchen und Rechte betroffener Personen.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten nur nach dokumentierter Weisung des Verantwortlichen zu verarbeiten.
  • keine Daten an Dritte weiterzugeben, außer an genehmigte Unterauftragnehmer (siehe Anlage 3).
  • alle gesetzlichen Anforderungen gemäß Art. 28 DSGVO zu erfüllen.
  • geeignete technische und organisatorische Maßnahmen (TOMs) umzusetzen (siehe Anlage 2).
  • seine Mitarbeiter zur Vertraulichkeit zu verpflichten.
  • dem Verantwortlichen Unterstützung zu bieten bei: Datenpannenmeldung, Rechte der Betroffenen, Datenschutz-Folgenabschätzungen
  • den Verantwortlichen unverzüglich zu informieren, wenn Weisungen gegen geltendes Recht verstoßen.
  • Daten nach Vertragsende zu löschen oder anonymisieren (siehe Abschnitt 11).

6. Subunternehmer (Unterauftragsverarbeiter)

  • Der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen.
  • Eine vollständige Liste ist in Anlage 3 enthalten.
  • Neue Subunternehmer können hinzugefügt werden; der Verantwortliche wird informiert (z. B. per E-Mail).
  • Der Verantwortliche kann begründeten Widerspruch einlegen.
  • Der Auftragsverarbeiter verpflichtet Subunternehmer gemäß Art. 28 DSGVO.

7. Technische und organisatorische Maßnahmen (TOMs)

Die TOMs sind in Anlage 2 dokumentiert und Bestandteil des Vertrags. Dazu gehören u. a.:

  • Zugriffskontrolle
  • Verschlüsselung (TLS, Encryption-at-Rest)
  • Logging
  • Backup-Konzept
  • Multi-Tenant-Isolation
  • Monitoring
  • Hardening & IAM-Policies

8. Unterstützungspflichten des Auftragsverarbeiters

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Bearbeitung von DSGVO-Anfragen von Betroffenen
  • Meldung von Datenschutzvorfällen
  • Erstellung/Vorbereitung von Datenschutz-Folgenabschätzungen
  • Sicherstellung der Datensicherheit

9. Meldepflicht bei Datenschutzverletzungen

  • Der Auftragsverarbeiter meldet jede Verletzung des Schutzes personenbezogener Daten unverzüglich (i. d. R. < 24h).
  • Die Meldung enthält die in Art. 33 DSGVO geforderten Informationen.
  • Der Verantwortliche ist für die Meldung an die Aufsichtsbehörde verantwortlich.

10. Nachweis- und Prüfpflichten

  • Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Nachweise zur Verfügung, z. B. TOM-Dokumentation, Audit-Logs.
  • Physische Audits vor Ort sind nur bei berechtigtem Interesse möglich und müssen angekündigt werden.
  • Der Verantwortliche darf keine Infrastruktur-Geheimnisse oder Quellcode einfordern.

11. Löschung und Rückgabe von Daten

Nach Vertragsende:

  • werden alle personenbezogenen Daten binnen 30 Tagen gelöscht oder anonymisiert – es sei denn, gesetzliche Aufbewahrungspflichten stehen entgegen.
  • Der Club kann vor Löschung Daten exportieren.
  • Backups werden im regulären Turnus überschrieben.

12. Haftung

Die Haftung richtet sich nach den AGB der Veveria Plattform.

Der Auftragsverarbeiter haftet nur für Verstöße gegen diesen AVV, nicht für die Rechtmäßigkeit der Daten selbst.

13. Schlussbestimmungen

  • Es gilt deutsches Recht.
  • Gerichtsstand ist Hamburg.
  • Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Anlage 1: Beschreibung der Verarbeitungstätigkeiten

1. Art der Verarbeitung

  • Erheben
  • Speichern
  • Verändern
  • Organisieren
  • Übermitteln
  • Löschen
  • Technische Protokollierung
  • Darstellung in der App

2. Zweck der Verarbeitung

  • Betrieb der Veveria-Plattform
  • Kommunikation zwischen Vereinsmitgliedern
  • Organisation von Vereinsabläufen
  • Buchungsverwaltung
  • Dokumentenmanagement
  • Sicherheits- und Zugriffskontrolle
  • Protokollierung/Audit

3. Verarbeitete Datenkategorien

  • Mitgliederstammdaten
  • Kommunikationsdaten
  • Vereinsrollen & Berechtigungen
  • Eventteilnahmen
  • Buchungsdaten
  • Geräte- und Logdaten
  • Hochgeladene Dateien (z. B. Bilder, PDFs)
  • Profile & Avatare

4. Betroffene Personen

  • Vereinsmitglieder
  • Ehrenamtliche
  • Vorstände
  • Trainer
  • Mitarbeiter
  • Externe Gäste (bei offenen Events)

Anlage 2: Technisch-organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO

1. Zutrittskontrolle

  • Serverstandorte: AWS EU (Frankfurt)
  • Zugang nur für autorisierte Personen
  • Multi-Factor Authentication in AWS

2. Zugriffskontrolle

  • IAM mit Least-Privilege-Prinzip
  • Rollenbasierte Trennung (Admin, Member)
  • Keine Root-AWS-Zugriffe für Betrieb

3. Zugriffsbeschränkungen

  • Verschlüsselte Speicherung (DynamoDB, S3)
  • HTTPS/TLS für alle Verbindungen
  • Passwort-Hashes (Cognito, kein Klartext)

4. Datenisolierung / Mandantentrennung

  • Tenant-ID / Club-ID als Bestandteil aller Datensätze
  • Logische Mandantentrennung in DynamoDB
  • Zugriffskontrolle durch Authorizer/Lambda + Cognito-JWT

5. Weitergabekontrolle

  • Keine Datenübermittlung außerhalb EU
  • Subprozessoren nur gemäß Anlage 3
  • Signierte API-Requests

6. Eingabekontrolle

Logging von:

  • API-Zugriffen
  • Admin-Aktionen
  • Uploads & Löschvorgängen
  • Zeitstempel für alle kritischen Änderungen

7. Auftragskontrolle

  • Interne Policies
  • Vertraulichkeitsverpflichtungen
  • Subprozessor-Verträge nach Art. 28 DSGVO

8. Verfügbarkeitskontrolle

  • AWS Multi-AZ Infrastruktur
  • Backups (DynamoDB PITR)
  • Monitoring & Alarme

9. Wiederherstellbarkeit

  • Backups + Restore-Szenarien getestet
  • S3 Versioning optional

10. Pseudonymisierung / Verschlüsselung

  • Transportverschlüsselung (TLS 1.2+)
  • Encryption-at-Rest
  • Minimierung von personenbezogenen Daten

Anlage 3: Unterauftragsverarbeiter (Sub-Processors)

1. AWS – Amazon Web Services EMEA SARL

Region: eu-central-1 (Frankfurt)

Dienste:

  • Lambda
  • DynamoDB
  • Cognito
  • API Gateway
  • CloudWatch
  • SES (EU)
  • EventBridge
  • S3 (sofern genutzt)

2. PostHog (Cloud EU)

Analytics-Tool – Verarbeitung ausschließlich in der EU

Wird nur genutzt, wenn der Club die App nutzt.