Auftragsverarbeitungsvertrag (AVV)
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:
Auftraggeber: Der Kunde (Veranstalter), der die Plattform CheckinManager nutzt (nachfolgend „Verantwortlicher")
Auftragnehmer:
Arthur Lier
c/o MDC Management#6252
Welserstraße 3, 87463 Dietmannsried
E-Mail: support@checkinmanager.de
(nachfolgend „Auftragsverarbeiter")
Der AVV ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzerklärung der Plattform CheckinManager.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform „CheckinManager" zur Verwaltung von Veranstaltungen, Teilnehmern, Check-ins und zugehörigen Kommunikationsdiensten.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (Nutzung der Plattform). Nach Vertragsende werden die Daten gemäß § 8 dieses AVV gelöscht.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Verwaltung von Teilnehmerdaten (Name, E-Mail, ggf. weitere vom Veranstalter erfasste Felder)
- Versand von E-Mails (Einladungen, Bestätigungen, Tickets) im Auftrag des Veranstalters
- Generierung und Validierung von QR-Codes für Check-in-Zwecke
- Erstellung von Statistiken und Berichten über Veranstaltungen
- Verarbeitung von Zahlungsdaten im Rahmen des Ticketverkaufs (über Stripe als Sub-Auftragsverarbeiter)
- Speicherung von Check-in-Zeitstempeln
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Stammdaten: Vorname, Nachname, E-Mail-Adresse
- Kontaktdaten: Telefonnummer, Adresse (sofern vom Veranstalter erfasst)
- Veranstaltungsdaten: Anmeldestatus, Check-in-Zeitpunkte, Ticket-Informationen, Panel-Zuordnungen
- Benutzerdefinierte Felder: Vom Veranstalter individuell konfigurierte Datenfelder
- Technische Daten: IP-Adressen (bei Self-Registration), Browser-Informationen
- Zahlungsdaten: Transaktions-IDs (keine Kreditkartennummern – diese verarbeitet ausschließlich Stripe)
§ 4 Kategorien betroffener Personen
- Teilnehmer/Gäste der vom Verantwortlichen organisierten Veranstaltungen
- Mitarbeiter/Team-Mitglieder des Verantwortlichen (Benutzerkonto-Daten)
§ 5 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- (a) personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
- (b) sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO);
- (c) alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 6);
- (d) den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen;
- (e) den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO zu unterstützen;
- (f) nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (siehe § 8);
- (g) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat folgende Maßnahmen implementiert:
Vertraulichkeit
- Verschlüsselte Datenübertragung (TLS 1.2/1.3) für alle Verbindungen
- Verschlüsselte Datenspeicherung (AES-256) in der Datenbank
- Zugriffskontrolle durch rollenbasiertes Berechtigungssystem (Admin, Staff, Checkin-Only)
- Passwort-Hashing mit bcrypt
- Rate-Limiting zum Schutz vor Brute-Force-Angriffen
Integrität
- Eingabevalidierung auf Client- und Serverseite
- Schutz vor SQL-Injection, XSS und CSRF
- Audit-Logging für sicherheitsrelevante Aktionen
Verfügbarkeit
- Hosting bei Hetzner Cloud (Rechenzentren in Deutschland, ISO 27001 zertifiziert)
- Automatische tägliche Datenbank-Backups
- Docker-basierte Infrastruktur mit automatischem Neustart
- Monitoring und Alerting
Belastbarkeit
- Regelmäßige Sicherheitsupdates
- Getestete Backup-Wiederherstellungsprozeduren
- Disposable-E-Mail-Erkennung und Spam-Schutz
§ 7 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann gegen solche Änderungen Einspruch erheben.
(3) Aktuelle Unterauftragsverarbeiter:
| Unternehmen | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank | Deutschland |
| Brevo (Sendinblue) | Transaktionaler E-Mail-Versand | Deutschland/EU |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Ticketverkauf) | Irland (EU) |
§ 8 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Die Plattform bietet automatische Löschfristen, die vom Veranstalter konfiguriert werden können.
(3) Der Verantwortliche kann jederzeit einen Datenexport (CSV) seiner Teilnehmerdaten anfordern.
(4) Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.
§ 9 Meldepflicht bei Datenschutzverletzungen
(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung enthält mindestens:
- eine Beschreibung der Art der Verletzung
- die Kategorien und ungefähre Anzahl der betroffenen Personen
- eine Beschreibung der wahrscheinlichen Folgen
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
§ 10 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen, auch durch Inspektionen.
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung und unterstützt bei Audits.
(3) Inspektionen sind mit angemessener Vorankündigung (mindestens 14 Tage) durchzuführen.
§ 11 Schlussbestimmungen
(1) Dieser AVV unterliegt deutschem Recht.
(2) Änderungen dieses AVV bedürfen der Schriftform.
(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Dieser AVV tritt mit Registrierung des Kundenkontos in Kraft und gilt für die Dauer der Nutzung der Plattform.
AVV herunterladen
Sie können diesen AVV als Referenz speichern, indem Sie diese Seite drucken (Strg+P / Cmd+P → Als PDF speichern).
Bei Fragen zum AVV wenden Sie sich bitte an: support@checkinmanager.de