← Übersicht

Compliance · Art. 28 DSGVO

Auftragsverarbeitungsvertrag

Vertragstemplate zur Auftragsverarbeitung zwischen dem verantwortlichen Verein und MindClub als Auftragsverarbeiter. Wird beim Pilotabschluss klubindividuell ausgefüllt.

Vertragstemplate

Felder, die in Gold hervorgehoben sind, werden bei Pilotabschluss klubindividuell ausgefüllt. Die übrigen Angaben (Auftragsverarbeiter, Datenschutzbeauftragter, eingesetzte Subunternehmer) sind bereits final.


Zwischen

Vereinsname, Anschrift — nachfolgend „Verantwortlicher"

und

MindClub, Geschäftsanschrift im Auftragsverarbeitungsvertrag, Deutschland — nachfolgend „Auftragsverarbeiter"

zur Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.


§ 1 Gegenstand und Dauer

1.1 Gegenstand

Bereitstellung der MindClub-SaaS-Plattform zur mentalen Begleitung von Spielerinnen und Spielern des Verantwortlichen.

1.2 Dauer

Die Vereinbarung läuft auf Dauer der Hauptleistungsvereinbarung („Lizenzvertrag") und endet automatisch mit deren Beendigung.


§ 2 Art und Zweck der Verarbeitung

2.1 Art

  • Erfassung von Selbstauskünften zur mentalen Verfassung
  • Speicherung in einem rollenbasierten Zugriffssystem
  • Aggregation und Visualisierung
  • Versand technischer Benachrichtigungen
  • Auditing und Protokollierung

2.2 Zweck

Frühzeitige Erkennung mentaler Belastung, Unterstützung des Trainerstabs bei rollengerechter Begleitung, Förderung psychologischer Sicherheit innerhalb der Mannschaft.


§ 3 Art der personenbezogenen Daten

  • Art. 6 DSGVO: Stammdaten Spieler (Name, Geb., Trikotnr., Position, Vertragsstatus)
  • Art. 9 DSGVO: mentale Verfassung, Schlafqualität, Stresslevel, Belastungsempfinden, soziale Verbundenheit, von approbierten Mental-Staff-Mitgliedern erfasste Coach-/Mental-Notizen
  • Audit- und Login-Daten

§ 4 Kategorien betroffener Personen

  • Spielerinnen und Spieler des Vereins
  • Trainerstab (Cheftrainer, Co-Trainer, Athletiktrainer, Torwarttrainer)
  • Mental Performance Staff
  • Medizinischer Stab
  • Vereinsführung mit explizitem Zugriffsrecht

§ 5 Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen in Drittländer.

5.2 Vertraulichkeit

Sämtliche zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet (Geheimhaltungsvereinbarung mit Mitarbeitern und Subunternehmern).

5.3 Sicherheit der Verarbeitung (Art. 32 DSGVO)

Maßnahmen siehe Anlage 1.

5.4 Heranziehung Subunternehmer

Genehmigte Subunternehmer (siehe Anlage 2):

  • Vercel Inc. (Hosting Edge/Frontend) — Datenstandort EU
  • Supabase Inc. (Datenbank, Auth) — Datenstandort EU (AWS eu-central-1)
  • Resend Inc. (transaktionaler E-Mail-Versand) — Datenstandort EU

Jeder neue Subunternehmer wird dem Verantwortlichen mit mindestens 30 Tagen Vorlauf angezeigt; der Verantwortliche kann Einspruch erheben.

5.5 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Auskunfts-, Berichtigungs-, Lösch- und Datenübertragungsanfragen mit den verfügbaren technischen Mitteln (Self-Service-Export, Audit-Logs, Lösch-Workflow).

5.6 Meldung von Datenschutzverletzungen

Verletzungen werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung gemeldet.

5.7 Datenschutz-Folgenabschätzung

Auf Anfrage stellt der Auftragsverarbeiter alle für eine DPIA des Verantwortlichen erforderlichen Informationen bereit. Die eigene DPIA des Auftragsverarbeiters ist öffentlich abrufbar.

5.8 Rückgabe und Löschung

Nach Beendigung der Verarbeitungsleistungen werden alle personenbezogenen Daten innerhalb von 30 Tagen nach Wahl des Verantwortlichen entweder gelöscht oder zurückgegeben (vollständiger Datenexport in JSON-Format).

5.9 Nachweise

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung erforderlich sind, und ermöglicht Audits einschließlich Inspektionen, die der Verantwortliche durchführt oder von ihm beauftragt.


§ 6 Pflichten des Verantwortlichen

  • Rechtmäßigkeit der Datenerhebung
  • Einholung der ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO bei jedem Spieler vor Aktivierung
  • Information der Mitarbeiter über die Verarbeitung
  • Benennung eines Verantwortlichen-DSB und Kommunikation an den Auftragsverarbeiter

§ 7 Vergütung

Die Vergütung für die Auftragsverarbeitung ist im Lizenzvertrag enthalten und wird nicht gesondert berechnet.


§ 8 Haftung

Es gilt die Haftungsregelung des Lizenzvertrags. Im Übrigen Art. 82 DSGVO.


§ 9 Schlussbestimmungen

9.1 Salvatorische Klausel

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

9.2 Gerichtsstand

Sitz des Verantwortlichen, sofern nicht abweichend vereinbart.


Anlage 1 — Technische und Organisatorische Maßnahmen (TOM)

Verfügbar als separates Dokument unter /legal/tom.

Anlage 2 — Liste der genehmigten Subunternehmer

Verfügbar als separates Dokument unter /legal/subprozessoren.

Fragen zu diesem Dokument?

Schreibe an den Datenschutzbeauftragten. Wir antworten in der Regel innerhalb von 48 Stunden während der Geschäftswochen.

dpo@themindclub.com