Rechtliches
Auftragsverarbeitungsvertrag
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) · Stand: 1. April 2026
§ 1 Vertragsparteien
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:
Auftraggeber (Verantwortlicher)
Der jeweilige Verein
Der Verein, der sich bei Vereinswerk registriert und dessen Daten verarbeitet werden. Die Kontaktdaten ergeben sich aus dem jeweiligen Vereinskonto.
Auftragnehmer (Auftragsverarbeiter)
Marcel Weiler IT-Dienstleistungen
Regerstr. 4, 91452 Wilhermsdorf, Deutschland
datenschutz@vereinswerk.app
§ 2 Gegenstand und Dauer
Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform Vereinswerk (verfügbar unter vereinswerk.app).
Die Laufzeit dieses AVV entspricht der Laufzeit des Nutzungsvertrags über Vereinswerk. Mit Beendigung des Nutzungsvertrags endet auch dieser AVV, unbeschadet der Pflichten zur Datenlöschung gemäß § 8.
§ 3 Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der Vereinswerk-Plattform, insbesondere für folgende Funktionen:
- –Mitgliederverwaltung (Stammdaten, Beiträge, SEPA-Lastschriften)
- –Veranstaltungsmanagement und RSVP-Verwaltung
- –Community-Feed, Umfragen und Dokumente
- –Finanzbuchhaltung und Bankanbindung
- –E-Mail-Kommunikation im Auftrag des Vereins
- –Abrechnung und Zahlungsabwicklung des Vereins gegenüber seinen Mitgliedern
§ 4 Art der Daten und betroffene Personen
| Datenkategorie | Betroffene Personen |
|---|---|
| Name, Adresse, Geburtsdatum | Vereinsmitglieder, Administratoren |
| E-Mail-Adresse, Telefonnummer | Vereinsmitglieder, Administratoren |
| Bankverbindung (IBAN) | Beitragszahlende Mitglieder |
| Zahlungsdaten und Rechnungen | Beitragszahlende Mitglieder |
| Hochgeladene Dokumente und Fotos | Vereinsmitglieder (sofern enthalten) |
| Zugriffs- und Nutzungsprotokolle | Alle Nutzer der Plattform |
§ 5 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich insbesondere zu Folgendem:
- ✓Daten werden ausschließlich auf dokumentierte Weisung des Auftraggebers verarbeitet.
- ✓Alle mit der Datenverarbeitung befassten Personen wurden zur Vertraulichkeit verpflichtet.
- ✓Geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO werden umgesetzt und aufrechterhalten.
- ✓Unterauftragnehmer werden nur gemäß § 7 dieses AVV eingesetzt.
- ✓Der Auftraggeber wird bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) unterstützt.
- ✓Datenschutzverletzungen werden unverzüglich, spätestens binnen 48 Stunden, gemeldet.
- ✓Nach Beendigung des Auftrags werden alle Daten gelöscht oder zurückgegeben (§ 8).
- ✓Dem Auftraggeber wird auf Anfrage die Einhaltung der Datenschutzpflichten nachgewiesen.
§ 6 Pflichten des Auftraggebers
Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung gegenüber seinen Mitgliedern verantwortlich. Er stellt sicher, dass die Weitergabe der Daten an den Auftragnehmer auf einer gültigen Rechtsgrundlage (z.B. Vereinssatzung, berechtigtes Interesse, Einwilligung) beruht. Der Auftraggeber informiert den Auftragnehmer unverzüglich, sofern er Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung feststellt.
§ 7 Unterauftragnehmer (Sub-Processor)
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zur Beauftragung der nachfolgend genannten Unterauftragnehmer. Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen, sodass Widerspruch eingelegt werden kann.
| Anbieter | Zweck | Sitz |
|---|---|---|
| Hetzner Online GmbH | Serverhosting, Datenbank, Speicher und E-Mail-Versand | Deutschland (EU) |
| GoCardless Ltd. | Zahlungsabwicklung Vereinswerk-Abonnement (zwischen Verein und Vereinswerk) | UK / EU |
| finAPI GmbH | PSD2-Banking-Schnittstelle (Kontodaten und Zahlungsauslösung im Auftrag des Vereins) | Deutschland (EU) |
§ 8 Datenlöschung nach Vertragsende
Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Auftraggebers innerhalb von 90 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf schriftliche Anfrage kann der Auftraggeber vor Ablauf der Frist einen vollständigen Datenexport anfordern.
§ 9 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer hat insbesondere folgende Maßnahmen implementiert:
Verschlüsselung
Alle Daten werden in Transit (TLS 1.2+) und at-rest (AES-256) verschlüsselt.
Zugriffskontrolle
Row-Level Security (RLS) in der Datenbank; Zugriff nur für berechtigte Mitarbeiter.
Datensicherung
Automatische tägliche Backups mit 30-tägiger Aufbewahrung.
Protokollierung
Vollständiges Audit-Log aller administrativen Aktionen.
Verfügbarkeit
Hosting auf redundanter Cloud-Infrastruktur mit 99,9% SLA.
Pseudonymisierung
Interne IDs statt Klarnamen in Logs und Protokollen.
§ 10 Ansprechpartner & Kontakt
Bei Fragen zu diesem AVV oder zur Datenverarbeitung wende dich an: datenschutz@vereinswerk.app
Hinweis zum Vertragsschluss: Dieser AVV wird durch Aktivierung der entsprechenden Checkbox bei der Registrierung bei Vereinswerk elektronisch abgeschlossen. Datum und Zeitstempel der Annahme werden im System protokolliert und können auf Anfrage nachgewiesen werden.