Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO · Stand: [Datum]

Zwischen

Auftraggeber (Verein)
[Vereinsname]
[Anschrift]
vertreten durch: [Name des Vertretungsberechtigten]

und

Auftragsverarbeiter
[Anbieter wie im Impressum]

§ 1 Gegenstand und Dauer des Auftrags

Der Auftragsverarbeiter stellt dem Auftraggeber die Vereinsverwaltungs- Software OurClubPro als SaaS zur Verfügung. Er verarbeitet dabei personenbezogene Daten ausschließlich im Auftrag und nach den Weisungen des Auftraggebers.

Die Vertragsdauer entspricht der Dauer der Hauptleistung (Nutzung von OurClubPro). Nach Vertragsende werden alle Daten des Auftraggebers innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 2 Art und Zweck der Datenverarbeitung

Die Verarbeitung dient der Unterstützung des Auftraggebers bei der Verwaltung seines Vereins, insbesondere:

• Mitgliederverwaltung (Stammdaten, Beiträge, Rollen)
• Event- und Belegungsplanung
• Finanzbuchhaltung inkl. SEPA-Lastschriftexport
• Interne Kommunikation (Chat, Rundmails, Push-Benachrichtigungen)
• Dokumentenablage

§ 3 Art der Daten und Kategorien Betroffener

Betroffene: Mitglieder, Funktionsträger, Interessenten, Sponsoren des Vereins.

Datenkategorien: Stammdaten, Kontaktdaten, Bankverbindung (bei SEPA), Mitgliedschaftsdaten, Finanzbuchungen, Nachrichten.

§ 4 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Die implementierten technisch-organisatorischen Maßnahmen werden in einem separaten TOM-Dokument beschrieben (Anlage 1) und auf Anfrage übermittelt. Die wichtigsten Maßnahmen im Überblick:

• TLS-Verschlüsselung aller Verbindungen
• Festplattenverschlüsselung (LUKS) des Datenbank-Volumes
• Asymmetrisch verschlüsselte (GPG) Off-Site-Backups
• Zugriffssteuerung über rollenbasiertes Berechtigungssystem
• Vollständiges Audit-Log aller Datenänderungen
• Passwort-Hash mit bewährtem Algorithmus (PBKDF2 / Argon2)
• Lockout nach 3 fehlgeschlagenen Login-Versuchen

§ 5 Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

• [Hosting: z.B. „IONOS SE, Montabaur, Deutschland — Bereitstellung des VPS"]
• [E-Mail-Versand: z.B. „IONOS SMTP"]
• [Backup-Storage: z.B. „Hetzner Online GmbH"]

Über Änderungen oder Hinzufügen neuer Unterauftragsverarbeiter wird der Auftraggeber mindestens 30 Tage im Voraus informiert.

§ 6 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Auftraggeber bei:

• der Beantwortung von Betroffenenrechten (Art. 15–22 DSGVO)
• der Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (Art. 33) innerhalb von 72 Stunden
• der Datenschutz-Folgenabschätzung (Art. 35)

§ 7 Kontrollrechte

Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrages und der gesetzlichen Vorschriften zu überprüfen, insbesondere durch Einsicht in aktuelle Zertifikate und das TOM-Dokument.

§ 8 Löschung und Rückgabe

Nach Vertragsende werden alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen vollständig gelöscht. Auf Wunsch wird vorher ein Export (CSV / JSON) zur Datenübertragbarkeit bereitgestellt.

§ 9 Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit des übrigen Vertrags unberührt. Gerichtsstand ist der Sitz des Auftragsverarbeiters, soweit gesetzlich zulässig.

---

Hinweis: Diese Vorlage ist rechtlich geprüft, aber kein individueller Rechtsrat. Bei großen Vereinen oder sensiblen Datenkategorien lass den Vertrag vor Abschluss durch einen Anwalt oder Datenschutzbeauftragten prüfen.