Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Gilt für alle Vereine, automatisch akzeptiert bei Registrierung.

Vertragsparteien

Auftraggeber (Verantwortlicher): Der jeweilige Verein

Auftragnehmer (Auftragsverarbeiter):
Vereinbase UG (haftungsbeschränkt)
In den Kirschwiesen 16, 73329 Kuchen
info@vereinbase.de

Gegenstand und Dauer

Gegenstand: Betrieb der Vereinbase Vereinsverwaltungssoftware
Dauer: Entspricht der Vertragslaufzeit

Art der verarbeiteten Daten

  • Mitgliederdaten (Name, Geburtsdatum, Adresse, Kontakt)
  • Kommunikationsdaten (Nachrichten, E-Mails)
  • Finanzdaten (Beiträge, SEPA-Mandate)
  • Nutzungsdaten (Login, Aktivität)

Zweck

Bereitstellung und Betrieb der Vereinsverwaltungssoftware.

Speicherort

Ausschließlich eigene Infrastruktur in Deutschland (EU).

Weisungsrecht

Der Verantwortliche (Verein) erteilt Weisungen per E-Mail an datenschutz@vereinbase.de. Vereinbase handelt ausschließlich auf Weisung des Verantwortlichen.

Technische und organisatorische Maßnahmen (TOMs)

  • Verschlüsselung der Datenübertragung (TLS)
  • Zugriffskontrolle (Row-Level Security, Schema-per-Tenant)
  • Jeder Verein hat einen vollständig getrennten Datenbereich
  • Tägliche Backups (30 Tage Aufbewahrung)
  • Passwörter bcrypt-verschlüsselt gespeichert
  • Alle Mitarbeiter zur Vertraulichkeit verpflichtet

Unterauftragnehmer

  • Stripe Inc. (Zahlungsabwicklung, bei Aktivierung): stripe.com/de/privacy
  • Anthropic / OpenAI (KI, nur wenn Verein aktiviert hat)

Der Verantwortliche stimmt diesen Unterauftragnehmern mit der Registrierung zu.

Löschung nach Vertragsende

Vollständige Löschung aller Daten auf Anfrage innerhalb von 30 Tagen. Gesetzlich aufbewahrungspflichtige Daten (10 Jahre) ausgenommen.

Stand: März 2026