gemäß Art. 28 DSGVO
Stand: April 2026
Diese Vereinbarung zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus dem zwischen ihnen geschlossenen Nutzungsvertrag über die Plattform RIKE (nachfolgend „Hauptvertrag") ergeben. Sie findet Anwendung auf alle Tätigkeiten, bei denen die Vegvísir GmbH (nachfolgend „Auftragnehmer") personenbezogene Daten des Kunden (nachfolgend „Auftraggeber" oder „Verantwortlicher") im Auftrag verarbeitet.
(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der cloudbasierten SaaS-Plattform RIKE zur Verwaltung von Mitgliedern, Events, Dokumenten, Kommunikation und weiteren vereins- bzw. clubbezogenen Prozessen gemäß dem Hauptvertrag.
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags. Sie beginnt mit Bereitstellung der Plattform und endet mit Vertragsende, spätestens jedoch mit der endgültigen Löschung aller Auftraggeber-Daten gemäß § 10 dieses AVV.
Art der Verarbeitung: Erhebung, Speicherung, Strukturierung, Anpassung, Abfrage, Übermittlung, Löschung, Einschränkung und sonstige mit der Bereitstellung der Plattform verbundene Vorgänge.
Zweck der Verarbeitung: Ermöglichung der vertragsgemäßen Nutzung der Plattform RIKE durch den Auftraggeber zur Organisation und Verwaltung seines Clubs bzw. Vereins.
Art der personenbezogenen Daten:
Kategorien betroffener Personen:
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sind nicht Gegenstand der Auftragsverarbeitung. Der Auftraggeber ist verpflichtet, solche Daten nicht ohne vorherige Abstimmung und ergänzende technische Absicherung in die Plattform einzustellen.
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, es sei denn, er ist gesetzlich zu einer anderweitigen Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
(3) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(4) Der Auftragnehmer führt die in § 5 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO durch und hält sie während der Vertragslaufzeit aufrecht.
(5) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gemäß Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.
(6) Der Auftragnehmer hat einen externen Datenschutzbeauftragten bestellt, sofern dies gesetzlich erforderlich ist. Die Kontaktdaten werden dem Auftraggeber auf Anfrage mitgeteilt.
(1) Der Auftraggeber ist im Rahmen dieses Vertrags für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO).
(2) Der Auftraggeber erteilt seine Weisungen grundsätzlich schriftlich oder in Textform (z. B. per E-Mail an support@rike.club). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
(3) Der Auftraggeber benennt gegenüber dem Auftragnehmer die zur Erteilung von Weisungen berechtigten Personen. Im Zweifel gelten die als Administrator im System hinterlegten Nutzer als weisungsberechtigt.
(4) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
Der Auftragnehmer gewährleistet gemäß Art. 32 DSGVO die Sicherheit der Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Diese umfassen insbesondere:
1. Vertraulichkeit
2. Integrität
3. Verfügbarkeit und Belastbarkeit
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Die aktuelle Fassung der TOM wird dem Auftraggeber auf Anfrage in ausführlicher Form zur Verfügung gestellt. Der Auftragnehmer ist berechtigt, die TOM im Rahmen der technischen Weiterentwicklung anzupassen, sofern das im AVV vereinbarte Schutzniveau nicht unterschritten wird.
(1) Der Auftraggeber stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu:
| Name | Sitz | Leistung |
|---|---|---|
| Vercel Inc. | USA (EU-Rechenzentren Frankfurt) | Web-Hosting, Edge-Delivery |
| Supabase Inc. | Singapur (EU-Rechenzentren Frankfurt) | Datenbank, Authentifizierung, Datei-Speicher |
| Stripe Payments Europe, Ltd. | Irland | Zahlungsabwicklung |
| Resend, Inc. | USA | Transaktionale E-Mails |
| Anthropic PBC | USA | KI-Assistent (nur im Pro-Tarif) |
(2) Der Auftragnehmer hat mit allen genannten Unterauftragsverarbeitern Verträge gemäß Art. 28 DSGVO geschlossen, die ein dem vorliegenden AVV vergleichbares Schutzniveau sicherstellen. Bei Übermittlungen in Drittländer bestehen Standardvertragsklauseln der EU-Kommission gemäß Art. 46 DSGVO nebst ergänzender Garantien.
(3) Der Auftragnehmer informiert den Auftraggeber rechtzeitig vor Hinzuziehung oder Austausch eines Unterauftragsverarbeiters in Textform (z. B. per E-Mail an die hinterlegte Admin-Adresse oder durch Hinweis in der Plattform). Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung aus wichtigem datenschutzrechtlichen Grund in Textform widersprechen.
(4) Widerspricht der Auftraggeber berechtigt, ist der Auftragnehmer berechtigt, den Vertrag mit einer Frist von 30 Tagen zu kündigen, sofern eine einvernehmliche Lösung nicht erzielt werden kann.
(5) Nicht als Unterauftragsverhältnis im Sinne dieser Bestimmung gelten Leistungen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt (z. B. Telekommunikationsdienste, Post- und Transportleistungen, Reinigung, Wartungskräfte).
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
(2) Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer zur Geltendmachung ihrer Rechte, leitet der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiter.
(3) Der Auftraggeber stellt die Auskunfts-, Berichtigungs- und Löschfunktionen in der Plattform-Administration selbstständig zur Verfügung und nutzt diese eigenständig für die Bearbeitung von Betroffenenrechten.
(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, über Verletzungen des Schutzes personenbezogener Daten des Auftraggebers (Art. 33 DSGVO).
(2) Die Meldung enthält mindestens:
(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und der Benachrichtigung der betroffenen Personen (Art. 34 DSGVO).
(1) Der Auftraggeber hat das Recht, sich von der Einhaltung der Verpflichtungen aus diesem AVV durch den Auftragnehmer zu überzeugen. Der Auftragnehmer stellt dem Auftraggeber hierzu auf Anfrage die erforderlichen Informationen zur Verfügung, insbesondere:
(2) Soweit die Vorlage der vorgenannten Unterlagen nach Ansicht des Auftraggebers nicht ausreicht, kann der Auftraggeber einmal jährlich oder anlassbezogen eine Vor-Ort-Kontrolle durch einen von ihm benannten sachverständigen Dritten vornehmen lassen. Der Dritte darf kein Wettbewerber des Auftragnehmers sein und ist zur Verschwiegenheit zu verpflichten.
(3) Kontrollen sind mit einer Vorlaufzeit von mindestens 30 Tagen in Textform anzukündigen und haben zu üblichen Geschäftszeiten zu erfolgen, ohne den Betriebsablauf unverhältnismäßig zu beeinträchtigen.
(4) Den Aufwand für die Kontrolle trägt der Auftraggeber. Der Auftragnehmer ist berechtigt, für seinen eigenen Aufwand ein angemessenes Entgelt in Rechnung zu stellen.
(1) Nach Abschluss der Auftragsverarbeitung – spätestens mit Beendigung des Hauptvertrags – stellt der Auftragnehmer dem Auftraggeber für 30 Tage einen Export seiner Daten in einem gängigen, maschinenlesbaren Format (z. B. JSON/CSV) über die Plattform zur Verfügung.
(2) Nach Ablauf der Export-Frist löscht der Auftragnehmer sämtliche im Rahmen des Hauptvertrags verarbeiteten personenbezogenen Daten datenschutzgerecht und unwiderruflich, einschließlich etwaiger Kopien bei Unterauftragsverarbeitern, soweit nicht gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen.
(3) Backup-Daten werden im Rahmen der üblichen Backup-Rotation gelöscht, spätestens jedoch innerhalb von 90 Tagen nach Vertragsende.
(4) Die Löschung wird dem Auftraggeber auf Anfrage schriftlich oder in Textform bestätigt.
Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags entsprechend, soweit in diesem AVV nichts Abweichendes geregelt ist. Art. 82 DSGVO bleibt unberührt.
(1) Dieser AVV ergänzt den Hauptvertrag. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Regelung als vereinbart, die dem Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie datenschutzrechtliche Belange betreffen.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist Hamburg.
Dieser AVV wird mit Abschluss des Hauptvertrags (Bestellung eines kostenpflichtigen Tarifs über die Plattform rike.club) automatisch Vertragsbestandteil. Eine gesonderte Unterzeichnung ist nicht erforderlich; der Auftraggeber akzeptiert diesen AVV konkludent durch den Abschluss des Hauptvertrags.
Auf Wunsch stellt der Auftragnehmer eine gesondert unterzeichnete Fassung dieses AVV zur Verfügung. Anfragen hierzu bitte an support@rike.club.
Vegvísir GmbH
Ballindamm 27
20095 Hamburg
Deutschland
Geschäftsführer: Mark C. Reinold
HRB 178193, Amtsgericht Hamburg
USt-ID: DE357182449
