Auftragsverarbeitungsvertrag (AVV)

WizClub

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

zwischen dem Verein/der Organisation als Verantwortlicher (nachfolgend „Auftraggeber") und Marvin Wisniewski als Auftragsverarbeiter (nachfolgend „Auftragnehmer").

§ 1 Gegenstand und Dauer

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform „WizClub". Die Verarbeitung erfolgt für die Dauer des Abonnements.

Art der Daten:

  • Mitgliederstammdaten (Name, Vorname, Geburtsdatum, Geschlecht)
  • Kontaktdaten (Adresse, E-Mail, Telefon)
  • Bankdaten (IBAN, BIC, Kontoinhaber — für SEPA-Lastschrift)
  • Vereinsmitgliedschaftsdaten (Kategorie, Beitrittsdatum, Status)
  • Nutzungsdaten (Login-Zeiten, Modul-Zugriffe)

Kategorien betroffener Personen:

  • Mitglieder des Vereins
  • Vorstandsmitglieder und Funktionsträger
  • Kontaktpersonen (z. B. Sponsoren, Lieferanten)

§ 2 Weisungsbefugnis

Der Auftragnehmer verarbeitet die Daten ausschließlich gemäß den Weisungen des Auftraggebers. Weisungen erfolgen in der Regel durch die Konfiguration und Nutzung der Plattform. Darüber hinausgehende Weisungen sind in Textform zu erteilen.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • die Daten nur im Rahmen des Auftrags und nach Weisung des Auftraggebers zu verarbeiten;
  • alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten;
  • die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen (siehe TOM-Dokumentation);
  • Unterauftragsverarbeiter nur mit vorheriger Genehmigung des Auftraggebers einzusetzen;
  • den Auftraggeber bei der Erfüllung der Betroffenenrechte zu unterstützen;
  • den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren;
  • nach Beendigung des Auftrags alle Daten zu löschen oder zurückzugeben.

§ 4 Technische und Organisatorische Maßnahmen

Der Auftragnehmer hat die folgenden Maßnahmen implementiert (Auszug — vollständige Dokumentation unter wizclub.de/toms):

  • Server-Standort Deutschland (Hetzner, Nürnberg, ISO 27001)
  • TLS-Verschlüsselung aller Verbindungen
  • Mandantentrennung: eigene Datenbank pro Verein
  • Tägliche automatische Backups
  • Rollenbasiertes Berechtigungssystem
  • Passwort-Hashing (bcrypt), verschlüsselte Credential-Speicherung (Sodium)

§ 5 Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

AnbieterZweckStandortGarantien
Hetzner Online GmbHServer-HostingNürnberg, DEAVV mit Hetzner, ISO 27001
Stripe Inc.ZahlungsabwicklungUSASCCs, SOC 2 Type II, PCI DSS Level 1
Cloudflare Inc.DNS-HostingUSASCCs (DNS only, kein Datenzugriff)

Änderungen werden dem Auftraggeber vorab mitgeteilt. Der Auftraggeber kann innerhalb von 4 Wochen widersprechen.

§ 6 Kontrolle und Audits

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags und der datenschutzrechtlichen Vorgaben zu überprüfen. Der Auftragnehmer stellt die erforderlichen Informationen zur Verfügung und duldet Audits.

Audits sind mit einer Frist von 4 Wochen anzukündigen und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen.

§ 7 Datenlöschung

Nach Beendigung des Auftragsverhältnisses löscht der Auftragnehmer sämtliche personenbezogene Daten des Auftraggebers innerhalb von 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch erhält der Auftraggeber vorher einen Datenexport.

§ 8 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für den Schaden, den sie durch eine nicht der DSGVO entsprechende Verarbeitung verursacht.

§ 9 Schlussbestimmungen

Dieser AVV tritt mit der Registrierung des Auftraggebers auf der Plattform in Kraft. Es gilt das Recht der Bundesrepublik Deutschland.

Stand: 01.06.2026