gemäß Art. 28 DS-GVO – Stand: Juni 2026 – Version 1.1
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem Kunden (nachfolgend „Verantwortlicher") und
Marco Frommholz
(handelnd unter: Piouswood Solution)
Eilbeker Weg 190
22089 Hamburg
Rechtsform: Einzelunternehmen
E-Mail: hello@paceflow.de
(nachfolgend „Auftragsverarbeiter") geschlossen.
Der AVV wird durch Akzeptanz beim Onboarding (digitale Annahme mit Zeitstempel) abgeschlossen und ist Bestandteil des Hauptvertrags über die Nutzung der Software Paceflow.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung der cloudbasierten Vereinsverwaltungssoftware „Paceflow". Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen.
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Vertragsende werden die Daten gemäß § 9 dieses AVV gelöscht oder zurückgegeben.
Die Verarbeitung dient der Erbringung der vertraglich vereinbarten SaaS-Leistungen, insbesondere:
Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden grundsätzlich nicht verarbeitet, es sei denn, der Verantwortliche gibt solche Daten in Freitextfeldern ein.
Der Auftragsverarbeiter verpflichtet sich:
Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter jederzeit Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen erfolgen in der Regel durch Nutzung der Funktionen innerhalb der Software oder schriftlich per E-Mail an hello@paceflow.de.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Ansicht gegen datenschutzrechtliche Vorschriften verstößt.
Der Auftragsverarbeiter erstellt Datensicherungen (Backups) der vom Verantwortlichen verarbeiteten Daten nach folgendem Rhythmus:
Bei Datenverlust oder Beschädigungen stellt der Auftragsverarbeiter wiederhergestellte Daten kostenfrei zur Verfügung. Der Verantwortliche bleibt für eigene zusätzliche Datensicherungen (z. B. CSV-Export der Mitgliederdaten) selbst verantwortlich.
Der Auftragsverarbeiter trifft folgende konkrete technische und organisatorische Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten:
Der Auftragsverarbeiter darf für Zwecke des technischen Supports und der Fehlerbehebung mit Zustimmung des Verantwortlichen auf Daten des Verantwortlichen zugreifen. Dies umfasst insbesondere:
Protokollierung: Jeder Admin-Zugriff wird vollständig in einem Audit-Log protokolliert. Der Audit-Log enthält folgende Informationen:
Betroffenenrechte: Der Verantwortliche und betroffene Personen können jederzeit das Audit-Log einsehen, um zu sehen, wer Zugriff auf welche Daten hatte und welche Aktionen durchgeführt wurden. Betroffene Personen können auf Anfrage ein Audit-Log ihrer persönlichen Daten anfordern.
Beschränkung: Der Admin-Zugriff wird auf das zwingend notwendige Minimum beschränkt und nur mit vorheriger Zustimmung des Verantwortlichen durchgeführt. Der Verantwortliche kann den Admin-Zugriff jederzeit widerrufen.
Nach Beendigung der Erbringung der Dienstleistungen werden die vom Verantwortlichen bereitgestellten personenbezogenen Daten auf Anforderung gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Während einer Übergangsfrist von 60 Tagen nach Vertragsende stellt der Auftragsverarbeiter die Daten zum Export in den Formaten CSV, JSON und XML zur Verfügung. Nach Ablauf dieser Frist werden die Daten unwiderruflich gelöscht. Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage schriftlich.
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch angemessene Kontrollen und Audits zu überprüfen. Der Auftragsverarbeiter stellt dafür alle erforderlichen Auskünfte und Informationen bereit.
(1) Der Auftragsverarbeiter setzt zur Erbringung der vertraglichen Leistung folgende Unterauftragsverarbeiter ein. Mit Abschluss dieses AVV erteilt der Verantwortliche seine Zustimmung zur Beauftragung:
| Unterauftragnehmer | Funktion | Sitz / Datenverarbeitung | Garantien |
|---|---|---|---|
| Hetzner Online GmbH | Hosting der Anwendung und Datenbanken, Datensicherung | Deutschland (Falkenstein / Nürnberg) | AVV nach Art. 28 DS-GVO; ISO/IEC 27001 zertifiziert |
| Cloudflare Germany GmbH (Cloudflare, Inc.) | DNS-Auflösung, TLS-Terminierung, DDoS-Schutz | EU-Edge-Knoten primär; Backend USA | AVV; EU-Standardvertragsklauseln (SCC); EU-US Data Privacy Framework |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (nur bei kostenpflichtigen Tarifen) | Irland (Hauptverarbeitung in der EU) | AVV; SCC für etwaige Drittlandtransfers an Stripe Inc. (USA); PCI-DSS Level 1 |
| Resend, Inc. | Versand transaktionaler E-Mails (z. B. Einladungen, Benachrichtigungen) | USA, EU-Routing wo verfügbar | AVV; EU-Standardvertragsklauseln (SCC); EU-US Data Privacy Framework |
(2) Eine jeweils aktuelle Fassung dieser Liste wird unter dieser URL bereitgehalten. Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen mit einer Vorlauffrist von mindestens 30 Tagen vor der geplanten Beauftragung eines neuen Unterauftragsverarbeiters per E-Mail an die im System hinterlegte Kontaktadresse.
(3) Der Verantwortliche kann der Beauftragung neuer Unterauftragsverarbeiter aus wichtigem datenschutzrechtlichem Grund innerhalb von 30 Tagen nach Mitteilung widersprechen. Im Fall eines berechtigten Widerspruchs steht beiden Parteien ein Sonderkündigungsrecht zum Zeitpunkt des Wirksamwerdens der Änderung zu.
(4) Der Auftragsverarbeiter stellt vertraglich sicher, dass alle Unterauftragsverarbeiter mindestens die in diesem AVV vereinbarten Datenschutzpflichten einhalten.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, falls diese erforderlich ist.
Dieser Auftragsverarbeitungsvertrag tritt bei Annahme durch den Verantwortlichen (durch Nutzung der Software) in Kraft und bleibt während der gesamten Vertragslaufzeit gültig.