Auftragsverarbeitungsvereinbarung – Fishing-Club-Portal

Stand: 19.03.2026

Version: 2026-03-19-v1

1. Vertragsparteien

Diese Auftragsverarbeitungsvereinbarung wird geschlossen zwischen dem jeweiligen Verein als Verantwortlichem und Michael Lauenroth, Gartenstraße 21, 77963 Schwanau, Deutschland, als Betreiber der Plattform "Fishing-Club-Portal" und Auftragsverarbeiter.

2. Gegenstand und Dauer

Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der technischen Bereitstellung und des Betriebs des Fishing-Club-Portals für den jeweiligen Verein.

Die Dauer der Verarbeitung richtet sich nach der Dauer des Nutzungs- bzw. Plattformverhältnisses.

3. Art und Zweck der Verarbeitung

  • Bereitstellung des Mitgliederportals
  • Authentifizierung und Zugriffsschutz
  • Speicherung und Verarbeitung vereinsbezogener Daten
  • technische Betriebs-, Sicherheits- und Supportprozesse
  • Datenhaltung für Module wie Mitgliederverwaltung, Eventplanung, Dokumente, Fangliste und Ausweisfunktionen

4. Kategorien betroffener Personen

  • Vereinsmitglieder
  • Nutzerkonten des Vereins
  • Vorstände, Admins und Beauftragte
  • Interessenten und Antragsteller
  • Ansprechpartner des Vereins

5. Kategorien personenbezogener Daten

  • Stammdaten
  • Kontaktdaten
  • Rollen- und Berechtigungsdaten
  • Portal- und Nutzungsdaten
  • vereinsbezogene Inhalts- und Fachdaten
  • technische Protokoll- und Sicherheitsdaten

6. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur im Rahmen der dokumentierten Weisungen des jeweiligen Vereins, soweit keine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht.

7. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass mit der Verarbeitung personenbezogener Daten befasste Personen auf Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten:

  • Transportverschlüsselung: Alle Datenübertragungen zwischen Client und Server erfolgen ausschließlich über HTTPS/TLS.
  • Zugriffskontrolle: Der Zugang zur Plattform ist passwortgeschützt. Passwörter werden nicht im Klartext gespeichert; die Authentifizierung erfolgt über gehashte Credentials (bcrypt) via Supabase Auth.
  • Rollenbasierte Berechtigungen: Zugriffe auf Vereinsdaten werden durch ein Rollen- und Rechtekonzept (Admin, Vorstand, Mitglied) gesteuert.
  • Mandantenbezogene Datentrennung: Vereinsdaten sind mandantenbezogen isoliert; ein Verein hat keinen Zugriff auf Daten anderer Vereine.
  • Row Level Security (RLS): Auf Datenbankebene sind Zugriffsregeln (Policies) implementiert, die den Datenzugriff auf autorisierte Nutzer und Kontexte beschränken.
  • Secrets-Management: Zugangsdaten, API-Keys und Service-Role-Credentials werden nicht im Quellcode-Repository abgelegt, sondern über Umgebungsvariablen der Deployment-Plattform verwaltet.
  • Protokollierung von Zustimmungsereignissen: Rechtsrelevante Akzeptanzereignisse (Nutzungsbedingungen, Datenschutz, AVV, AGB) werden mit Zeitstempel, Versionsbezug und Unterzeichner protokolliert.
  • Verfügbarkeit und Backups: Datenbankbackups und Infrastrukturverfügbarkeit werden durch die eingesetzten Plattformanbieter (Supabase, Vercel) gewährleistet. Es bestehen keine eigenen SLA-Zusagen des Auftragsverarbeiters über die Leistungen der Infrastrukturanbieter hinaus.
  • Rückgabe und Löschung: Nach Vertragsende werden Daten gemäß AGB § 12 und Ziffer 11 dieser AVV gelöscht oder exportiert.

Hinweis: Es werden keine Zertifizierungen (ISO 27001 o. ä.), Penetrationstests oder 24/7-Monitoring behauptet, die nicht nachweisbar vorliegen.

9. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende genehmigte Unterauftragsverarbeiter ein:

Der Verein stimmt dem Einsatz der genannten Unterauftragsverarbeiter mit Abschluss dieser AVV zu. Über wesentliche Änderungen in der Unterauftragnehmer-Liste wird der Verein vorab informiert.

10. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verein im angemessenen Umfang bei Betroffenenanfragen, Sicherheitsvorfällen und Datenschutzverletzungen, Nachweis- und Dokumentationspflichten sowie bei Löschung, Berichtigung oder Export von Daten.

11. Rückgabe und Löschung

Nach Beendigung des Nutzungsverhältnisses werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht, gesperrt oder in einem geeigneten Format exportiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

12. Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen auf angemessene Anforderung Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser Vereinbarung erforderlich sind.

13. Schlussbestimmungen

Ergänzend gelten die Nutzungsbedingungen, Datenschutzhinweise sowie die vertraglichen Leistungsunterlagen des Fishing-Club-Portals.