Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Abs. 3 DSGVO
Zuletzt aktualisiert: 15 Feb 2026
§ 1 Gegenstand und Dauer
Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus der Nutzung der FireVue-Events-Plattform (nachfolgend „Software“) ergeben. Die FireVue UG (haftungsbeschränkt) (nachfolgend „Auftragsverarbeiter“) verarbeitet personenbezogene Daten im Auftrag des Kunden (nachfolgend „Verantwortlicher“).
Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages (Nutzung der Software).
§ 2 Art und Zweck der Verarbeitung
Der Auftragsverarbeiter stellt eine Event-Management-Software bereit. Der Verantwortliche nutzt diese Software zur Verwaltung von Veranstaltungen und zur Erhebung von Daten der Teilnehmer (z. B. über individuell erstellte Formulare und Fragebögen).
Art der Daten
Namen, E-Mail-Adressen, Zahlungsbestätigungen sowie weitere Daten, die der Verantwortliche über selbst erstellte Formulare erhebt.
Kategorien betroffener Personen
Teilnehmer der Veranstaltungen des Verantwortlichen.
§ 3 Pflichten des Auftragsverarbeiters
Weisungen
Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich.
Vertraulichkeit
Alle zur Verarbeitung personenbezogener Daten befugten Personen sind zur Vertraulichkeit verpflichtet.
Sicherheitsmaßnahmen
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, darunter insbesondere:
- Verschlüsselung der Daten bei Übertragung und Speicherung (über Supabase/Vercel)
- Datenbank-Hosting innerhalb der Europäischen Union
- Rollenbasierte Zugriffskontrolle und Authentifizierung
- Regelmäßige Backups und Disaster-Recovery-Verfahren
- Kontinuierliche Sicherheitsüberwachung und Updates
Unterauftragsverarbeiter
Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz der folgenden Unterauftragsverarbeiter:
- Vercel Inc. — Website-Hosting und Deployment
- Supabase / Copple Software Inc. — Datenbank und Authentifizierung
- Cloudflare Inc. — Dateispeicherung (R2) und CDN
- Stripe Payments Europe Ltd. — Zahlungsabwicklung
Der Auftragsverarbeiter informiert den Verantwortlichen vor der Hinzunahme oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen solche Änderungen Einspruch zu erheben. Unterauftragsverarbeiter werden auf dieselben datenschutzrechtlichen Pflichten verpflichtet, wie sie in diesem Vertrag festgelegt sind.
§ 4 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflicht, auf Anfragen betroffener Personen zu reagieren, die ihre Rechte gemäß Kapitel III der DSGVO ausüben (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch). Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
§ 5 Meldung von Datenschutzverlätzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat. Die Meldung enthält:
- Die Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen
- Die voraussichtlichen Folgen der Verletzung
- Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer nachteiligen Auswirkungen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 33 und 34 DSGVO (Meldung an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen).
§ 6 Datenschutz-Folgenabschätzung
Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit erforderlich, bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) und bei der vorherigen Konsultation der Aufsichtsbehörde gemäß Art. 35 und 36 DSGVO.
§ 7 Pflichten des Verantwortlichen
Rechtmäßigkeit der Datenerhebung
Der Verantwortliche ist allein für die rechtliche Zulässigkeit der von ihm erstellten Formulare und Fragebögen verantwortlich. Dies umfasst die Sicherstellung einer geeigneten Rechtsgrundlage für alle erhobenen Daten (insbesondere besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO).
Freistellung
Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die daraus resultieren, dass der Verantwortliche Daten ohne Rechtsgrundlage (z. B. Gesundheitsdaten ohne ordnungsgemäße Einwilligung) über die Plattform verarbeitet.
§ 8 Kontroll- und Prüfungsrechte
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen. Der Auftragsverarbeiter ermöglicht Überprüfungen – einschließlich Inspektionen – durch den Verantwortlichen oder einen von ihm beauftragten Prüfer und trägt dazu bei. Überprüfungen erfolgen mit angemessener Vorankündigung und während der üblichen Geschäftszeiten.
§ 9 Internationale Datenübermittlungen
Soweit Unterauftragsverarbeiter außerhalb der EU/des EWR ansässig sind, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien bestehen, wie EU-Standardvertragsklauseln (SCCs) oder eine Zertifizierung im Rahmen des EU-US-Datenschutzrahmens, gemäß Art. 46 DSGVO.
§ 10 Beendigung und Löschung
Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten, sofern keine Aufbewahrungspflicht nach EU- oder nationalem Recht besteht. Der Verantwortliche kann vor der Löschung eine Kopie der Daten in einem gängigen, maschinenlesbaren Format anfordern.
§ 11 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet für Schäden durch die Verarbeitung nur, soweit er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder er außerhalb oder entgegen den rechtmäßigen Weisungen des Verantwortlichen gehandelt hat.
