Paceflow
  • Features
  • Use Cases
  • Preise
  • FAQ
Demo starten

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DS-GVO – Stand: Juni 2026 – Version 1.1

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem Kunden (nachfolgend „Verantwortlicher") und

Marco Frommholz
(handelnd unter: Piouswood Solution)
Eilbeker Weg 190
22089 Hamburg
Rechtsform: Einzelunternehmen
E-Mail: hello@paceflow.de

(nachfolgend „Auftragsverarbeiter") geschlossen.

Der AVV wird durch Akzeptanz beim Onboarding (digitale Annahme mit Zeitstempel) abgeschlossen und ist Bestandteil des Hauptvertrags über die Nutzung der Software Paceflow.

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung der cloudbasierten Vereinsverwaltungssoftware „Paceflow". Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Vertragsende werden die Daten gemäß § 9 dieses AVV gelöscht oder zurückgegeben.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient der Erbringung der vertraglich vereinbarten SaaS-Leistungen, insbesondere:

  • Speicherung, Verwaltung und Darstellung von Stammdaten zu Mitgliedern und Funktionsträgern
  • Verwaltung von Events, Aufgaben und Projekten
  • Verarbeitung von Finanzdaten und Kassenverwaltung
  • Kommunikation und Dokumentenverwaltung
  • Technischer Betrieb, Datensicherung und Support

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:

  • Stammdaten: Name, Vorname, Anschrift, Geburtsdatum, Kontaktdaten (E-Mail, Telefon)
  • Mitgliedschaftsdaten: Beitrittsdatum, Mitgliedschaftsstatus, Rolle im Verein
  • Finanzdaten: Bankverbindung (IBAN), Zahlungshistorie, Beitragszahlungen
  • Event- und Aktivitätsdaten: Teilnahme an Events, Aufgabenzuordnungen, Aktivitätsprotokolle
  • Nutzungsdaten: Login-Zeitstempel, Aktivitätsprotokolle (Audit-Log)

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden grundsätzlich nicht verarbeitet, es sei denn, der Verantwortliche gibt solche Daten in Freitextfeldern ein.

§ 4 Kategorien betroffener Personen

  • Vereinsmitglieder
  • Funktionsträger und Vorstandsmitglieder
  • Interessenten und Gäste bei Events
  • Dienstleister und Lieferanten
  • Mitarbeitende des Verantwortlichen (Nutzer der Software)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen
  • Den Verantwortlichen bei der Meldung von Datenschutzverletzungen gemäß Art. 33, 34 DSGVO zu unterstützen
  • Alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung dieses AVV nachweisen zu können
  • Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, an den Verantwortlichen zu melden, um diesem die Erfüllung seiner Meldepflichten nach Art. 33, 34 DS-GVO zu ermöglichen

§ 6 Weisungsrecht des Verantwortlichen

Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter jederzeit Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen erfolgen in der Regel durch Nutzung der Funktionen innerhalb der Software oder schriftlich per E-Mail an hello@paceflow.de.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Ansicht gegen datenschutzrechtliche Vorschriften verstößt.

§ 7 Datensicherung und Backup

Der Auftragsverarbeiter erstellt Datensicherungen (Backups) der vom Verantwortlichen verarbeiteten Daten nach folgendem Rhythmus:

  • Tägliche inkrementelle Backups (Mo–So)
  • Wöchentliche Vollbackups (sonntags)
  • Aufbewahrungsdauer: 30 Tage
  • Speicherort: separat gesicherter Speicher auf Servern in Deutschland (Hetzner Online GmbH)
  • Verschlüsselung: AES-256 at rest, TLS in transit

Bei Datenverlust oder Beschädigungen stellt der Auftragsverarbeiter wiederhergestellte Daten kostenfrei zur Verfügung. Der Verantwortliche bleibt für eigene zusätzliche Datensicherungen (z. B. CSV-Export der Mitgliederdaten) selbst verantwortlich.

§ 7b Technische und organisatorische Maßnahmen (Art. 32 DS-GVO)

Der Auftragsverarbeiter trifft folgende konkrete technische und organisatorische Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Zutrittskontrolle: Hosting in zertifizierten Rechenzentren der Hetzner Online GmbH (ISO 27001) mit Zutrittsbeschränkung, Videoüberwachung, Alarmanlagen.
  • Zugangskontrolle: JWT-basierte Authentifizierung, Passwort-Hashing mit bcrypt (Cost-Faktor ≥ 12), automatische Session-Sperre bei Inaktivität.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem; Multi-Tenant-Isolation auf Datenbank-Ebene (eigene Schema/DB pro Verein); Admin-Zugriffe nur durch namentlich benannte Personen mit Audit-Log (siehe § 7a).
  • Pseudonymisierung: Audit-Logs und interne Statistiken nutzen pseudonymisierte Identifier statt Klarnamen, wo möglich.
  • Verschlüsselung: TLS 1.2+ für sämtliche Verbindungen, AES-256 für ruhende Datenbank-Backups, Datenbankzugriff nur über privates Netzwerk.

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

  • Weitergabekontrolle: Datenexporte (CSV/JSON) ausschließlich für authentifizierte Nutzer mit entsprechender Rolle; HTTPS-Zwang.
  • Eingabekontrolle: Vollständiges Audit-Log aller schreibenden Aktionen mit Zeitstempel, Nutzer-ID und IP-Adresse.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Verfügbarkeitskontrolle: Tägliche Backups, Notfall-Wiederherstellungsverfahren, Monitoring (Uptime Kuma) mit Alarmierung.
  • Trennungskontrolle: Multi-Tenant-Architektur mit logisch und teils physisch getrennten Datenbanken pro Verein; keine Cross-Tenant-Queries.
  • Kapazitätsplanung: Skalierbare Infrastruktur mit Reserven, regelmäßige Lasttests.

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DS-GVO)

  • Auftragskontrolle: Schriftliche AV-Verträge mit allen Subauftragsverarbeitern.
  • Regelmäßige Reviews: Jährliche Überprüfung dieser TOMs auf Aktualität; Sicherheits-Updates der eingesetzten Software-Komponenten zeitnah.
  • Datenschutz-Folgenabschätzung: Unterstützung des Verantwortlichen gemäß Art. 35 DS-GVO bei Bedarf.

§ 7a Support & Admin-Zugriff zur Fehlerbehebung

Der Auftragsverarbeiter darf für Zwecke des technischen Supports und der Fehlerbehebung mit Zustimmung des Verantwortlichen auf Daten des Verantwortlichen zugreifen. Dies umfasst insbesondere:

  • Debugging technischer Probleme
  • Überprüfung von Fehlerquellen
  • Beantwortung von technischen Support-Anfragen
  • Datenwiederherstellung nach Fehlern oder Datenverlust

Protokollierung: Jeder Admin-Zugriff wird vollständig in einem Audit-Log protokolliert. Der Audit-Log enthält folgende Informationen:

  • Zeitpunkt des Zugriffs (Start und Ende)
  • Identität des Administrators (E-Mail-Adresse)
  • Durchgeführte Aktionen (Ansicht, Bearbeitung, Export)
  • Quelle des Zugriffs (IP-Adresse)

Betroffenenrechte: Der Verantwortliche und betroffene Personen können jederzeit das Audit-Log einsehen, um zu sehen, wer Zugriff auf welche Daten hatte und welche Aktionen durchgeführt wurden. Betroffene Personen können auf Anfrage ein Audit-Log ihrer persönlichen Daten anfordern.

Beschränkung: Der Admin-Zugriff wird auf das zwingend notwendige Minimum beschränkt und nur mit vorheriger Zustimmung des Verantwortlichen durchgeführt. Der Verantwortliche kann den Admin-Zugriff jederzeit widerrufen.

§ 8 Dauer und Ende der Verarbeitung

Nach Beendigung der Erbringung der Dienstleistungen werden die vom Verantwortlichen bereitgestellten personenbezogenen Daten auf Anforderung gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Während einer Übergangsfrist von 60 Tagen nach Vertragsende stellt der Auftragsverarbeiter die Daten zum Export in den Formaten CSV, JSON und XML zur Verfügung. Nach Ablauf dieser Frist werden die Daten unwiderruflich gelöscht. Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage schriftlich.

§ 9 Kontrolle und Audit

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch angemessene Kontrollen und Audits zu überprüfen. Der Auftragsverarbeiter stellt dafür alle erforderlichen Auskünfte und Informationen bereit.

§ 10 Unterauftragsverarbeiter

(1) Der Auftragsverarbeiter setzt zur Erbringung der vertraglichen Leistung folgende Unterauftragsverarbeiter ein. Mit Abschluss dieses AVV erteilt der Verantwortliche seine Zustimmung zur Beauftragung:

UnterauftragnehmerFunktionSitz / DatenverarbeitungGarantien
Hetzner Online GmbH Hosting der Anwendung und Datenbanken, Datensicherung Deutschland (Falkenstein / Nürnberg) AVV nach Art. 28 DS-GVO; ISO/IEC 27001 zertifiziert
Cloudflare Germany GmbH (Cloudflare, Inc.) DNS-Auflösung, TLS-Terminierung, DDoS-Schutz EU-Edge-Knoten primär; Backend USA AVV; EU-Standardvertragsklauseln (SCC); EU-US Data Privacy Framework
Stripe Payments Europe Ltd. Zahlungsabwicklung (nur bei kostenpflichtigen Tarifen) Irland (Hauptverarbeitung in der EU) AVV; SCC für etwaige Drittlandtransfers an Stripe Inc. (USA); PCI-DSS Level 1
Resend, Inc. Versand transaktionaler E-Mails (z. B. Einladungen, Benachrichtigungen) USA, EU-Routing wo verfügbar AVV; EU-Standardvertragsklauseln (SCC); EU-US Data Privacy Framework

(2) Eine jeweils aktuelle Fassung dieser Liste wird unter dieser URL bereitgehalten. Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen mit einer Vorlauffrist von mindestens 30 Tagen vor der geplanten Beauftragung eines neuen Unterauftragsverarbeiters per E-Mail an die im System hinterlegte Kontaktadresse.

(3) Der Verantwortliche kann der Beauftragung neuer Unterauftragsverarbeiter aus wichtigem datenschutzrechtlichem Grund innerhalb von 30 Tagen nach Mitteilung widersprechen. Im Fall eines berechtigten Widerspruchs steht beiden Parteien ein Sonderkündigungsrecht zum Zeitpunkt des Wirksamwerdens der Änderung zu.

(4) Der Auftragsverarbeiter stellt vertraglich sicher, dass alle Unterauftragsverarbeiter mindestens die in diesem AVV vereinbarten Datenschutzpflichten einhalten.

§ 11 Datenschutz-Folgenabschätzung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, falls diese erforderlich ist.

§ 12 Inkrafttreten

Dieser Auftragsverarbeitungsvertrag tritt bei Annahme durch den Verantwortlichen (durch Nutzung der Software) in Kraft und bleibt während der gesamten Vertragslaufzeit gültig.

Paceflow

Die moderne Softwarelösung für Vereinsverwaltung.

Produkt
  • Features
  • Use Cases
  • Preise
  • FAQ
Rechtliches
  • Impressum
  • Datenschutz
  • AGB
  • AVV
Kontakt
  • Kontakt
© 2026 Paceflow