Auftragsverarbeitungsvertrag
Gültig ab: 26. Februar 2026
Dieser Auftragsverarbeitungsvertrag („AVV“) wird zwischen dem Kunden, der die OpenMatchDay-Plattform nutzt („Verantwortlicher“, „Sie“) und POISE AB, USt-IdNr. SE556773092301 („Auftragsverarbeiter“, „wir“, „uns“) gemäß Artikel 28 der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) geschlossen.
Dieser AVV ergänzt die Nutzungsbedingungen und gilt automatisch für alle Kunden, deren Nutzung des Dienstes die Verarbeitung personenbezogener Daten umfasst.
1. Begriffsbestimmungen
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemäß Art. 4 Abs. 1 DSGVO.
- Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, gemäß Art. 4 Abs. 2 DSGVO.
- Verantwortlicher: Der Kunde (Turnierveranstalter), der die Zwecke und Mittel der Verarbeitung personenbezogener Daten über den Dienst bestimmt.
- Auftragsverarbeiter: POISE AB, die personenbezogene Daten im Auftrag des Verantwortlichen über die OpenMatchDay-Plattform verarbeitet.
- Unterauftragsverarbeiter: Ein Dritter, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.
2. Gegenstand und Zweck der Verarbeitung
2.1 Gegenstand
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung der OpenMatchDay Turnierverwaltungsplattform.
2.2 Kategorien betroffener Personen
- Turnieradministratoren und Mitarbeiter (Kontoinhaber)
- Teamvertreter und Kontaktpersonen
- In Turnieren registrierte Spieler
- Zuschauer, die öffentliche Turnierseiten aufrufen (nur minimale Daten)
2.3 Arten personenbezogener Daten
- Namen (Administratoren, Spieler)
- E-Mail-Adressen (Administratoren)
- Spielerinformationen (Name, Trikotnummer)
- Teaminformationen (Teamname, Kontaktdaten, sofern angegeben)
- Spiel- und Leistungsdaten (Ergebnisse, Ereignisse, Statistiken)
- Nutzungsdaten (IP-Adressen, Browserinformationen aus Server-Protokollen)
2.4 Dauer
Die Verarbeitung dauert für die Laufzeit des Abonnements des Verantwortlichen und für den in unserer Datenschutzerklärung festgelegten Aufbewahrungszeitraum.
3. Pflichten des Auftragsverarbeiters
3.1 Verarbeitungsanweisungen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen, es sei denn, eine Verarbeitung ist nach EU-Recht oder dem Recht eines Mitgliedstaats erforderlich. Die Weisungen des Verantwortlichen werden durch die Funktionen und die Konfiguration des Dienstes definiert, wie sie vom Verantwortlichen genutzt werden.
3.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3.3 Sicherheitsmaßnahmen
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich:
- Verschlüsselung bei der Übertragung: Alle Daten werden per HTTPS/TLS übertragen
- Authentifizierung: Passwörter werden mittels bcrypt-Hashing gespeichert; CSRF-Token-Schutz bei allen Operationen
- Zugriffskontrolle: Rollenbasierte Berechtigungen (Plattform-Admin, Turnier-Admin, Schiedsrichter, Betrachter)
- Content Security Policy: CSP-Header mit Nonces zur Verhinderung von Injection-Angriffen
- Hosting: Daten werden auf EU-basierten Servern gespeichert
- Überwachung: Server-Zugriffsprotokolle werden 90 Tage zur Sicherheitsüberprüfung aufbewahrt
- Aktualisierungen: Regelmäßige Sicherheitspatches und Plattform-Updates
3.4 Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter. Die aktuelle Liste der Unterauftragsverarbeiter lautet:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| EU-Hosting-Anbieter | Serverinfrastruktur und Datenspeicherung | Europäische Union |
| Lettermint | Transaktionaler E-Mail-Versand | Europäische Union |
Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen der Unterauftragsverarbeiterliste. Der Verantwortliche kann innerhalb dieser Frist Einspruch gegen einen neuen Unterauftragsverarbeiter erheben. Kann der Einspruch nicht beigelegt werden, kann der Verantwortliche den Vertrag kündigen.
3.5 Rechte der betroffenen Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß DSGVO ausüben (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung, Widerspruch). Der Auftragsverarbeiter stellt innerhalb der Plattform Werkzeuge bereit, mit denen der Verantwortliche Spieler- und Teamdaten direkt verwalten kann.
3.6 Meldung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich und spätestens 72 Stunden nach Bekanntwerden der Verletzung. Die Benachrichtigung umfasst:
- Eine Beschreibung der Art der Verletzung
- Die Kategorien und die ungefähre Anzahl der betroffenen Personen
- Die wahrscheinlichen Folgen der Verletzung
- Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung
3.7 Datenschutz-Folgenabschätzungen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit nach Art. 35 und 36 DSGVO erforderlich.
4. Pflichten des Verantwortlichen
Der Verantwortliche ist verantwortlich für:
- Die Sicherstellung einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten, die in den Dienst eingegeben werden
- Die Einholung einer angemessenen Einwilligung der betroffenen Personen (z. B. Spieler), soweit erforderlich
- Die Bereitstellung von Datenschutzinformationen für betroffene Personen über die Verwendung ihrer Daten im Turnier
- Die Festlegung der Aufbewahrungsdauer für Turnierdaten im Rahmen der Möglichkeiten des Dienstes
5. Datenlöschung und -rückgabe
5.1 Während des Abonnements
Der Verantwortliche kann Turnierdaten, Teams und Spieler jederzeit über die administrativen Werkzeuge der Plattform löschen.
5.2 Bei Beendigung
Bei Beendigung des Abonnements kann der Verantwortliche innerhalb von 30 Tagen einen Datenexport anfordern. Nach Ablauf dieser Frist löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten, es sei denn, eine Aufbewahrung ist nach EU-Recht oder dem Recht eines Mitgliedstaats vorgeschrieben.
5.3 Automatische Bereinigung
Abgeschlossene Turniere werden 60 Tage nach Abschluss automatisch gelöscht. Nicht aktivierte Entwurfsturniere werden nach 24 Stunden gelöscht. Diese Aufbewahrungsfristen gelten, sofern der Verantwortliche die Daten nicht vorher löscht.
6. Prüfungen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO erforderlich sind. Dies umfasst:
- Jährliche Compliance-Dokumentation auf schriftliche Anfrage
- Mitwirkung bei Prüfungen durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten unabhängigen Prüfer, vorbehaltlich angemessener Vorankündigung und Umfangsbeschränkungen
Prüfungen werden während der normalen Geschäftszeiten durchgeführt und dürfen den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen.
7. Internationale Übermittlungen
Der Auftragsverarbeiter speichert und verarbeitet alle personenbezogenen Daten innerhalb der Europäischen Union. Sollte ein Unterauftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten, stellt der Auftragsverarbeiter sicher, dass geeignete Schutzmaßnahmen (wie Standardvertragsklauseln) gemäß Kapitel V DSGVO getroffen werden.
8. Haftung
Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den in den Nutzungsbedingungen festgelegten Beschränkungen.
9. Laufzeit und Beendigung
Dieser AVV tritt in Kraft, wenn der Verantwortliche den Dienst zu nutzen beginnt, und bleibt wirksam, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der AVV endet automatisch, wenn alle personenbezogenen Daten gemäß Abschnitt 5 gelöscht oder zurückgegeben wurden.
10. Kontakt
Bei Fragen zu diesem Auftragsverarbeitungsvertrag kontaktieren Sie:
POISE AB
E-Mail: hello@openmatchday.com
USt-IdNr.: SE556773092301