Zwischen
Vereinsname, Anschrift — nachfolgend „Verantwortlicher"
und
MindClub, Geschäftsanschrift im Auftragsverarbeitungsvertrag, Deutschland — nachfolgend „Auftragsverarbeiter"
zur Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
1.1 Gegenstand
Bereitstellung der MindClub-SaaS-Plattform zur mentalen Begleitung von Spielerinnen und Spielern des Verantwortlichen.
1.2 Dauer
Die Vereinbarung läuft auf Dauer der Hauptleistungsvereinbarung („Lizenzvertrag") und endet automatisch mit deren Beendigung.
§ 2 Art und Zweck der Verarbeitung
2.1 Art
- Erfassung von Selbstauskünften zur mentalen Verfassung
- Speicherung in einem rollenbasierten Zugriffssystem
- Aggregation und Visualisierung
- Versand technischer Benachrichtigungen
- Auditing und Protokollierung
2.2 Zweck
Frühzeitige Erkennung mentaler Belastung, Unterstützung des Trainerstabs bei rollengerechter Begleitung, Förderung psychologischer Sicherheit innerhalb der Mannschaft.
§ 3 Art der personenbezogenen Daten
- Art. 6 DSGVO: Stammdaten Spieler (Name, Geb., Trikotnr., Position, Vertragsstatus)
- Art. 9 DSGVO: mentale Verfassung, Schlafqualität, Stresslevel, Belastungsempfinden, soziale Verbundenheit, von approbierten Mental-Staff-Mitgliedern erfasste Coach-/Mental-Notizen
- Audit- und Login-Daten
§ 4 Kategorien betroffener Personen
- Spielerinnen und Spieler des Vereins
- Trainerstab (Cheftrainer, Co-Trainer, Athletiktrainer, Torwarttrainer)
- Mental Performance Staff
- Medizinischer Stab
- Vereinsführung mit explizitem Zugriffsrecht
§ 5 Pflichten des Auftragsverarbeiters
5.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen in Drittländer.
5.2 Vertraulichkeit
Sämtliche zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet (Geheimhaltungsvereinbarung mit Mitarbeitern und Subunternehmern).
5.3 Sicherheit der Verarbeitung (Art. 32 DSGVO)
Maßnahmen siehe Anlage 1.
5.4 Heranziehung Subunternehmer
Genehmigte Subunternehmer (siehe Anlage 2):
- Vercel Inc. (Hosting Edge/Frontend) — Datenstandort EU
- Supabase Inc. (Datenbank, Auth) — Datenstandort EU (AWS eu-central-1)
- Resend Inc. (transaktionaler E-Mail-Versand) — Datenstandort EU
Jeder neue Subunternehmer wird dem Verantwortlichen mit mindestens 30 Tagen Vorlauf angezeigt; der Verantwortliche kann Einspruch erheben.
5.5 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Auskunfts-, Berichtigungs-, Lösch- und Datenübertragungsanfragen mit den verfügbaren technischen Mitteln (Self-Service-Export, Audit-Logs, Lösch-Workflow).
5.6 Meldung von Datenschutzverletzungen
Verletzungen werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung gemeldet.
5.7 Datenschutz-Folgenabschätzung
Auf Anfrage stellt der Auftragsverarbeiter alle für eine DPIA des Verantwortlichen erforderlichen Informationen bereit. Die eigene DPIA des Auftragsverarbeiters ist öffentlich abrufbar.
5.8 Rückgabe und Löschung
Nach Beendigung der Verarbeitungsleistungen werden alle personenbezogenen Daten innerhalb von 30 Tagen nach Wahl des Verantwortlichen entweder gelöscht oder zurückgegeben (vollständiger Datenexport in JSON-Format).
5.9 Nachweise
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung erforderlich sind, und ermöglicht Audits einschließlich Inspektionen, die der Verantwortliche durchführt oder von ihm beauftragt.
§ 6 Pflichten des Verantwortlichen
- Rechtmäßigkeit der Datenerhebung
- Einholung der ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO bei jedem Spieler vor Aktivierung
- Information der Mitarbeiter über die Verarbeitung
- Benennung eines Verantwortlichen-DSB und Kommunikation an den Auftragsverarbeiter
§ 7 Vergütung
Die Vergütung für die Auftragsverarbeitung ist im Lizenzvertrag enthalten und wird nicht gesondert berechnet.
§ 8 Haftung
Es gilt die Haftungsregelung des Lizenzvertrags. Im Übrigen Art. 82 DSGVO.
§ 9 Schlussbestimmungen
9.1 Salvatorische Klausel
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
9.2 Gerichtsstand
Sitz des Verantwortlichen, sofern nicht abweichend vereinbart.
Anlage 1 — Technische und Organisatorische Maßnahmen (TOM)
Verfügbar als separates Dokument unter /legal/tom.
Anlage 2 — Liste der genehmigten Subunternehmer
Verfügbar als separates Dokument unter /legal/subprozessoren.