Auftragsverarbeitungsvertrag (AVV)

Stand: April 2026

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen dem Nutzer der Plattform „Unsere Einladung“ (nachfolgend „Verantwortlicher“ oder „Auftraggeber“)

und

Stellenmagnet UG (haftungsbeschränkt)
Zollhofgarten 2
69115 Heidelberg
E-Mail: info@stellenmagnet.de
Handelsregister: HRB 754064, Amtsgericht Mannheim

(nachfolgend „Auftragsverarbeiter“)

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses Auftragsverarbeitungsvertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der Plattform „Unsere Einladung“ (unsere-einladung.de).

(2) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Nutzungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Die Verarbeitung beginnt mit der Eintragung von Gästedaten durch den Verantwortlichen und endet mit der Löschung der Daten oder der Beendigung des Nutzungsvertrags.

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zu folgenden Zwecken:

  • Speicherung und Verwaltung der vom Verantwortlichen eingetragenen Gästeliste
  • Versand automatisierter Einladungs-E-Mails an die Gäste des Verantwortlichen
  • Entgegennahme und Speicherung von RSVP-Antworten (Zu- und Absagen) der Gäste
  • Bereitstellung von Statistiken über Gäste-Rückmeldungen für den Verantwortlichen
  • Anzeige der Gästedaten auf der Event-Website des Verantwortlichen (z. B. Gästebucheinträge)

(2) Eine darüber hinausgehende Verarbeitung findet nicht statt. Der Auftragsverarbeiter nutzt die Daten nicht für eigene Zwecke.

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind folgende Arten personenbezogener Daten:

  • Vor- und Nachnamen der Gäste
  • E-Mail-Adressen der Gäste
  • Telefonnummern der Gäste (soweit vom Verantwortlichen eingegeben)
  • RSVP-Status (Zusage, Absage, Vielleicht)
  • Angaben zu Begleitpersonen und Kindern
  • Ernährungseinschränkungen und Allergien
  • Sonstige vom Verantwortlichen oder Gast eingegebene Angaben (z. B. Musikwünsche, Übernachtungsbedarf, Notizen)

§ 4 Kategorien betroffener Personen

Betroffene Personen sind die Gäste des Verantwortlichen, deren Daten der Verantwortliche in die Plattform einträgt oder die sich selbstständig über die Event-Website des Verantwortlichen registrieren.

§ 5 Pflichten und Rechte des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung gemäß den geltenden Datenschutzvorschriften verantwortlich. Er hat insbesondere sicherzustellen, dass

  • er berechtigt ist, die personenbezogenen Daten der Gäste in die Plattform einzugeben und deren Verarbeitung zu veranlassen,
  • er seine Gäste in geeigneter Weise über die Datenverarbeitung informiert (Art. 13, 14 DSGVO),
  • er die Rechte der betroffenen Personen wahrt und Anfragen betroffener Personen fristgerecht bearbeitet.

(2) Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung. Weisungen können über die Plattform (durch Nutzung der Funktionen) oder schriftlich per E-Mail erteilt werden.

(3) Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses Vertrags und der datenschutzrechtlichen Vorgaben beim Auftragsverarbeiter zu überprüfen (siehe § 10).

§ 6 Pflichten des Auftragsverarbeiters

(1) Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2) Vertraulichkeit: Der Auftragsverarbeiter gewährleistet, dass sich alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Dies umfasst insbesondere:

  • Verschlüsselung der Datenübertragung (TLS/HTTPS)
  • Verschlüsselte Speicherung von Passwörtern und Authentifizierungsdaten
  • Zugriffskontrolle und Authentifizierung über Firebase Authentication
  • Firestore Security Rules, die sicherstellen, dass nur berechtigte Nutzer auf ihre Daten zugreifen können
  • Getrennte Datenhaltung pro Veranstalter (Event-basierte Datenstruktur)
  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen

(4) Keine Weitergabe an Dritte: Der Auftragsverarbeiter gibt personenbezogene Daten nicht an Dritte weiter, es sei denn, der Verantwortliche hat dem zugestimmt oder es besteht eine gesetzliche Verpflichtung.

(5) Informationspflicht: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

(6) Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

§ 7 Einsatz von Subunternehmern (Unterauftragsverarbeiter)

(1) Der Verantwortliche stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu:

  • Google LLC / Firebase — Speicherung der Gästedaten in Cloud Firestore, Authentifizierung über Firebase Authentication, Dateispeicherung über Firebase Storage. Serverstandort: EU. Datenschutzinformationen: firebase.google.com/support/privacy
  • Vercel, Inc. — Hosting der Plattform und Ausführung der API-Endpunkte. Serverstandort: EU. Datenschutzinformationen: vercel.com/legal/privacy-policy
  • Resend, Inc. — Versand von Einladungs-E-Mails im Auftrag des Verantwortlichen. Datenschutzinformationen: resend.com/legal/privacy-policy
  • Google LLC / BigQuery — Speicherung aggregierter Seitenaufruf-Statistiken (keine personenbezogenen Gästedaten). Serverstandort: EU. Datenschutzinformationen: cloud.google.com/terms/data-processing-addendum

(2) Die Verarbeitung aller personenbezogenen Daten erfolgt auf Servern innerhalb der Europäischen Union. Eine Übermittlung in Drittländer findet nicht statt.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche hat die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

(4) Der Auftragsverarbeiter stellt sicher, dass den Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden wie in diesem Vertrag festgelegt.

§ 8 Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

(3) Der Auftragsverarbeiter stellt dem Verantwortlichen über die Plattform Funktionen zur Verfügung, um Gästedaten einzusehen, zu bearbeiten und zu löschen.

§ 9 Löschung und Rückgabe der Daten

(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.

(2) Der Verantwortliche hat die Möglichkeit, seine Daten vor der Löschung über die Plattform zu exportieren.

(3) Die Löschung erfolgt spätestens innerhalb von 30 Tagen nach Beendigung des Nutzungsvertrags, es sei denn, der Verantwortliche verlangt die Rückgabe der Daten in einem gängigen, maschinenlesbaren Format.

(4) Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Verlangen des Verantwortlichen schriftlich.

§ 10 Nachweis- und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Der Auftragsverarbeiter ermöglicht Überprüfungen in Form von schriftlichen Auskünften und der Bereitstellung relevanter Dokumentation. Vor-Ort-Inspektionen bedürfen einer gesonderten Vereinbarung.

(3) Der Verantwortliche kündigt Inspektionen mit angemessener Frist (mindestens 14 Werktage) an und führt diese so durch, dass der Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig gestört wird.

(4) Die Kosten einer Überprüfung trägt der Verantwortliche, sofern kein Verstoß des Auftragsverarbeiters gegen diesen Vertrag festgestellt wird.

§ 11 Laufzeit und Kündigung

(1) Dieser Auftragsverarbeitungsvertrag gilt für die Dauer des Nutzungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

(2) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragsverarbeiter seinen Pflichten aus diesem Vertrag oder der DSGVO schwerwiegend oder wiederholt zuwiderhandelt.

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

Dieser Auftragsverarbeitungsvertrag wird mit der Nutzung der Plattform und der Eingabe von Gästedaten durch den Verantwortlichen geschlossen. Eine gesonderte Unterzeichnung ist nicht erforderlich.