ClubFlex Vereinsverwaltung ← Zur Anwendung
Plattform · AV-Vertrag

Auftragsverarbeitungsvertrag

Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen Ihrem Verein und ClubFlex.

Datenschutzerklärung Impressum Allgemeine Geschäftsbedingungen Cookie-Richtlinie Auftragsverarbeitungsvertrag
ClubFlex – Plattform-Rechtstext · Stand: Juli 2026

zwischen dem auf der ClubFlex-Plattform registrierten Verein — nachfolgend „Verantwortlicher" — und ClubFlex, Jannes Böck, Ostpreußenstraße 16, 26931 Elsfleth — nachfolgend „Auftragsverarbeiter".

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem Nutzungsvertrag (AGB, § 8). Er kommt mit der Registrierung des Vereins elektronisch zustande und gilt für die Dauer des Nutzungsvertrags. Auf Anfrage an kontakt@clubflex.de stellen wir eine unterzeichnete Fassung bereit; diese Seite können Sie für Ihre Unterlagen ausdrucken.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter betreibt für den Verantwortlichen die Vereinsverwaltungs-Plattform ClubFlex und verarbeitet dabei personenbezogene Daten im Auftrag (Art. 4 Nr. 8, Art. 28 DSGVO).

(2) Die Verarbeitung beginnt mit der Registrierung und endet mit der Beendigung des Nutzungsvertrags und der anschließenden Löschung nach § 9.

§ 2 Art, Zweck, Datenkategorien und betroffene Personen

(1) Zweck ist die Verwaltung des Vereins durch den Verantwortlichen, insbesondere Mitglieder-, Beitrags- und Finanzverwaltung, Übungsleiterabrechnung, Termin- und Buchungsverwaltung sowie Vereinskommunikation.

(2) Datenkategorien: Stammdaten (Name, Anschrift, Geburtsdatum, Kontaktdaten), Mitgliedschaftsdaten (Abteilungen, Kategorien, Ein-/Austritte, Ehrungen), Zahlungs- und Bankdaten (IBAN, SEPA-Mandate, offene Posten), Abrechnungsdaten von Übungsleitern (Einheiten, Fahrten, Belege), Teilnahme- und Buchungsdaten, Kommunikationsdaten (E-Mail-Verläufe, Empfängerlisten), Protokolldaten sowie — soweit vom Verein erfasst — Dokumente wie Führungszeugnis-Einsichtsvermerke (§ 72a SGB VIII).

(3) Betroffene Personen: Mitglieder und deren gesetzliche Vertreter, Übungsleiter und Funktionsträger, Interessenten (z. B. über Online-Mitgliedsantrag oder Probetraining), Gäste des öffentlichen Buchungsportals sowie sonstige Kontaktpersonen des Vereins.

§ 3 Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und der dokumentierten Weisungen des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen werden in der Regel durch die Nutzung der Plattform-Funktionen erteilt; darüber hinausgehende Weisungen sind in Textform an kontakt@clubflex.de zu richten.

(2) Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er den Verantwortlichen unverzüglich und darf die Ausführung bis zur Klärung aussetzen.

(3) Eine Verarbeitung zu eigenen Zwecken findet nicht statt. Ausgenommen sind aggregierte, nicht auf Einzelpersonen rückführbare Betriebs- und Nutzungskennzahlen zum Betrieb und zur Verbesserung der Plattform.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter setzt für die Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 lit. b DSGVO) und mit den einschlägigen Datenschutzbestimmungen vertraut sind. Die Vertraulichkeitspflicht besteht nach Vertragsende fort.

§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen und entwickelt sie entsprechend dem Stand der Technik fort. Maßnahmen dürfen durch mindestens gleichwertige ersetzt werden; wesentliche Änderungen werden dokumentiert.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt die allgemeine Genehmigung (Art. 28 Abs. 2 DSGVO) zum Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter.

(2) Über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) informiert der Auftragsverarbeiter vorab über die Plattform oder per E-Mail. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen; führt der Widerspruch dazu, dass der Betrieb nicht zumutbar fortgesetzt werden kann, sind beide Parteien zur außerordentlichen Kündigung des Nutzungsvertrags berechtigt.

(3) Mit jedem Unterauftragsverarbeiter werden Verträge geschlossen, die den Anforderungen des Art. 28 DSGVO entsprechen. Bei Verarbeitung außerhalb der EU/des EWR werden geeignete Garantien nach Kapitel V DSGVO sichergestellt (insbesondere EU-Standardvertragsklauseln).

§ 7 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Mitteln bei der Beantwortung von Betroffenenanfragen (Art. 12–23 DSGVO) — insbesondere durch die eingebauten Funktionen für Auskunftsexport, Berichtigung, Löschung und Anonymisierung. Richtet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.

(2) Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten, die dessen Daten betreffen, unverzüglich nach Bekanntwerden und unterstützt ihn bei den Pflichten aus Art. 33 und 34 DSGVO mit den erforderlichen Informationen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen im erforderlichen Umfang bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen (Art. 35, 36 DSGVO).

§ 8 Nachweise und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind — in der Regel durch dieses Dokument, die Anlagen und ergänzende Auskünfte in Textform.

(2) Weitergehende Überprüfungen einschließlich Inspektionen sind nach vorheriger Ankündigung mit angemessener Frist während der üblichen Geschäftszeiten möglich; sie dürfen den Betrieb nicht unzumutbar stören und können auch durch aussagekräftige Nachweise (z. B. Prüfberichte) erfüllt werden.

§ 9 Löschung und Rückgabe

(1) Während der Vertragslaufzeit kann der Verantwortliche seine Daten jederzeit über die eingebauten Export-Funktionen (u. a. CSV, DATEV, Auskunftsexport) selbst herausgeben lassen.

(2) Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen spätestens 90 Tage nach Vertragsende, sofern der Verantwortliche nicht vorher eine frühere Löschung verlangt. Datensicherungen rotieren automatisch und sind spätestens nach weiteren 30 Tagen überschrieben. Gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters bleiben unberührt.

§ 10 Haftung und Schlussbestimmungen

(1) Für die Haftung gilt Art. 82 DSGVO; im Innenverhältnis gelten ergänzend die Regelungen des Nutzungsvertrags (AGB, § 11).

(2) Änderungen dieses Vertrags bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit im Übrigen unberührt. Es gilt deutsches Recht.

Anlage 1 — Technische und organisatorische Maßnahmen

  • Zutritts-/Zugangskontrolle: Hosting in einem deutschen Rechenzentrum (ISO-27001-zertifizierter Betreiber); Server-Zugriff nur durch den Auftragsverarbeiter über authentifizierte, verschlüsselte Verbindungen.
  • Zugriffskontrolle: Rollen- und Rechtekonzept bis auf Abteilungsebene; Zwei-Faktor-Anmeldung für Admin-Konten (aktivierbar); Sitzungen werden bei Rechteänderungen invalidiert.
  • Verschlüsselung: Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen; Bankverbindungen (IBAN) werden AES-256-verschlüsselt gespeichert und liegen nie im Klartext in der Datenbank.
  • Eingabekontrolle: Aktivitätsprotokoll über wesentliche Änderungen (wer hat wann was geändert), revisionssichere Belegnummernkreise (GoBD-orientiert).
  • Verfügbarkeitskontrolle: Tägliche automatisierte Datensicherungen mit regelmäßig getesteter Wiederherstellung; Störungs- und Statusüberwachung.
  • Trennungskontrolle: Strikte mandantenbezogene Trennung der Vereinsdaten auf Anwendungsebene (jede Abfrage ist an den Verein gebunden).
  • Datenminimierung/Löschkonzept: Eingebaute Anonymisierung statt bloßem Löschen, dokumentiertes Löschkonzept, Auskunftsexport per Klick.
  • Organisation: Vertraulichkeitsverpflichtung der eingesetzten Personen, Grundsatz der Datensparsamkeit, regelmäßige Sicherheitsüberprüfungen der Anwendung.

Anlage 2 — Unterauftragsverarbeiter

  • Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland — Hosting der Plattform und Versand von E-Mails (Verarbeitung in Deutschland).
  • Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland — Zahlungsabwicklung und Auszahlungen, nur soweit der Verein Online-Zahlungen (z. B. Platzbuchung) aktiviert; ggf. Übermittlung an Stripe, Inc. (USA) auf Grundlage geeigneter Garantien nach Kapitel V DSGVO.
  • Anthropic PBC, San Francisco, USA — KI-Funktionen (Beleg-Texterkennung, Hilfe-Assistent, Vereins-Insights), nur soweit der Verein diese Funktionen nutzt; Übermittlung auf Grundlage der EU-Standardvertragsklauseln. API-Daten werden von Anthropic nicht zum Training verwendet und nicht dauerhaft gespeichert.
  • HeiGIT gGmbH (OpenRouteService), Heidelberg, Deutschland — serverseitige Berechnung von Fahrtstrecken für Reisekosten (übermittelt werden nur die eingegebenen Start-/Zieladressen).

Optionale, vom Verein selbst aktivierbare Dienste mit Direktkontakt des Nutzers (z. B. OpenStreetMap-Karten, IBAN-Prüfung über openiban.com, „Login mit Google") sind keine Unterauftragsverarbeiter im Sinne dieses Vertrags; Einzelheiten beschreibt die Datenschutzerklärung.

Stand: Juli 2026

© 2026 ClubFlex · Jannes Böck · Impressum · Datenschutz · AGB · Cookie-Richtlinie