6
SECHSMETER

AVV

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die Pflichten der Parteien gemäß Art. 28 DSGVO und wird zwischen Ihnen als Verein, Team oder Trainer (nachfolgend „Verantwortlicher") und Hendrik Lange, Alte Provinzialstraße 6, 58708 Menden (nachfolgend „Auftragsverarbeiter" oder „Sechsmeter") geschlossen. Er wird mit der Registrierung eines Teams auf der Sechsmeter-Plattform automatisch wirksam und ist Bestandteil unserer Allgemeinen Geschäftsbedingungen (siehe dort § 6).

1. Gegenstand und Dauer des Auftrags

Gegenstand dieses Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der Sechsmeter-Plattform (Kaderverwaltung, Anwesenheiten, Spielplanung, Statistiken, Fitness- und Gesundheitsdaten, Vereinskasse und verwandte Funktionen).

Die Dauer dieses Auftrags entspricht der Dauer der Nutzung der Sechsmeter-Plattform durch den Verantwortlichen (Laufzeit des Nutzungsvertrags gemäß AGB) und endet automatisch mit dessen Beendigung, vorbehaltlich der Regelungen in § 11 dieses AVV.

2. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der technischen Bereitstellung der Sechsmeter-Plattform, insbesondere zur Speicherung, Anzeige, Auswertung und Organisation der vom Verantwortlichen bzw. dessen Nutzern eingegebenen Daten. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich zu diesem Zweck und nicht zu eigenen Zwecken.

Art der personenbezogenen Daten

  • Stammdaten (Name, Geburtsdatum, Kontaktdaten, Vereins-/Teamzugehörigkeit, Funktion/Rolle)
  • Anwesenheits- und RSVP-Daten (Termine, Zu-/Absagen, Absagegründe)
  • Leistungs- und Spieldaten (Statistiken, Taktiken, Videoanalysen, Trefferquoten)
  • Gesundheitsdaten im Sinne von Art. 9 DSGVO, sofern vom Verantwortlichen freiwillig eingegeben (z.B. Fitness-Testwerte, Körperdaten, Verletzungs- oder Krankmeldungsvermerke)
  • Finanzdaten im Rahmen der Vereinskasse (Strafen, Beiträge – keine Zahlungskartendaten)
  • Nutzungs- und Protokolldaten (Login-Zeitpunkte, technische Metadaten)

Kategorien betroffener Personen

Spieler (einschließlich Minderjähriger), Trainer, Vereinsverantwortliche und sonstige Teammitglieder, deren Daten der Verantwortliche in die Plattform einträgt.

3. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche bleibt im datenschutzrechtlichen Sinne allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung, insbesondere für das Vorliegen einer wirksamen Rechtsgrundlage und – soweit erforderlich – die Einholung von Einwilligungen betroffener Personen bzw. bei Minderjährigen deren Erziehungsberechtigter (siehe AGB § 6 und Datenschutzerklärung Abschnitt 6 und 13).

Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter im Rahmen der Leistungsbeschreibung Weisungen zur Art und Weise der Verarbeitung zu erteilen. Weisungen, die über die vereinbarte Leistungsbeschreibung hinausgehen, bedürfen einer gesonderten Vereinbarung.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen bzw. auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten zu einer anderen Verarbeitung verpflichtet.

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass diese Personen nur im erforderlichen Umfang Zugriff auf die Daten erhalten.

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung von dessen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (Art. 15–22 DSGVO) sowie bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung).

5. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Art. 32 DSGVO genannten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen insbesondere:

  • Verschlüsselte Datenübertragung (TLS/HTTPS) für sämtliche Client-Server-Kommunikation
  • Zugriffskontrolle über rollenbasierte Berechtigungen (Trainer/Owner/Spieler) auf Ebene der Datenbank-Sicherheitsregeln
  • Trennung der Daten verschiedener Vereine/Teams auf Datenbankebene (kein mandantenübergreifender Zugriff)
  • Speicherung sensibler Zugangsdaten (z.B. Einladungs-Tokens, Webhook-Signaturschlüssel) in nicht client-lesbaren Bereichen
  • Protokollierung sicherheitsrelevanter administrativer Aktionen (Audit-Log)
  • Regelmäßige, automatisierte Datensicherungen bei der Hosting-Infrastruktur

Der Auftragsverarbeiter ist berechtigt, diese Maßnahmen dem technischen Fortschritt anzupassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

6. Berichtigung, Einschränkung und Löschung von Daten

Der Auftragsverarbeiter berichtigt, löscht oder schränkt die Verarbeitung der vertragsgegenständlichen Daten ein, wenn der Verantwortliche dies anweist und soweit dies nicht durch eine andere Weisung des Verantwortlichen abbedungen ist. Über die in der Plattform selbst verfügbaren Funktionen zur Datenpflege hinaus wird der Auftragsverarbeiter entsprechende Anfragen unverzüglich, spätestens innerhalb von 14 Tagen, bearbeiten.

7. Unterauftragsverhältnisse

Der Verantwortliche stimmt der Beauftragung folgender Unterauftragsverarbeiter zu, die der Auftragsverarbeiter zur Erbringung der vereinbarten Leistung einsetzt. Mit diesen bestehen jeweils eigene Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO bzw. entsprechende Standardvertragsklauseln bei Drittlandübermittlung:

  • Google Ireland Limited (Firebase) – Hosting, Authentifizierung, Datenbank, Datei-Speicherung; Verarbeitungsort auch außerhalb der EU möglich
  • Resend, Inc. (USA) – Versand von Transaktions-E-Mails
  • Functional Software, Inc. (Sentry, USA) – Fehler-Tracking, nur bei erteilter Cookie-Einwilligung des jeweiligen Nutzers
  • PostHog (EU-Region) – Nutzungsanalyse, nur bei erteilter Cookie-Einwilligung des jeweiligen Nutzers

Zahlungsdaten des Verantwortlichen selbst (Rechnungsstellung, Zahlungsmittel) werden gesondert über Stripe Payments Europe, Limited abgewickelt; dies betrifft keine Spieler- oder Gesundheitsdaten und ist nicht Gegenstand dieses AVV.

Der Auftragsverarbeiter informiert den Verantwortlichen über die Absicht der Beauftragung weiterer oder den Austausch bestehender Unterauftragsverarbeiter, sofern hiervon die in diesem AVV genannten Datenkategorien betroffen sind. Der Verantwortliche kann einer solchen Änderung innerhalb von 14 Tagen nach Information widersprechen; im Fall des Widerspruchs ist der Auftragsverarbeiter berechtigt, den Nutzungsvertrag außerordentlich zu kündigen, sofern eine Fortführung ohne den betreffenden Unterauftragsverarbeiter nicht zumutbar möglich ist.

8. Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich von der Einhaltung der in diesem AVV vereinbarten Pflichten des Auftragsverarbeiters zu überzeugen. Der Auftragsverarbeiter stellt hierzu auf Anfrage in zumutbarem Umfang Nachweise (z.B. Beschreibung der technischen und organisatorischen Maßnahmen) zur Verfügung. Vor-Ort-Kontrollen sind mit angemessenem Vorlauf anzukündigen und auf das erforderliche Maß zu beschränken.

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten in Bezug auf die vertragsgegenständlichen Daten bekannt wird, damit dieser seinen Melde- und Benachrichtigungspflichten gemäß Art. 33, 34 DSGVO nachkommen kann. Die Meldung enthält, soweit zu diesem Zeitpunkt bekannt, eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien und der ergriffenen bzw. vorgeschlagenen Maßnahmen.

10. Löschung und Rückgabe von Daten nach Beendigung

Nach Beendigung der Nutzung der Plattform (Kündigung, Team- oder Kontolöschung) löscht der Auftragsverarbeiter sämtliche vertragsgegenständlichen Daten innerhalb einer angemessenen Frist, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe Datenschutzerklärung Abschnitt 14). Auf Anfrage vor der Löschung ermöglicht der Auftragsverarbeiter dem Verantwortlichen den Export seiner Daten in einem gängigen, maschinenlesbaren Format.

11. Haftung

Für die Haftung der Parteien gelten die gesetzlichen Regelungen der Art. 82 DSGVO sowie ergänzend die Haftungsregelung gemäß § 8 unserer AGB.

12. Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Regelungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Im Übrigen gelten die Schlussbestimmungen unserer AGB (§ 11) entsprechend.

© 2026 Sechsmeter. Dominate the Game.