Vertrag zur Auftragsverarbeitung
Nach Art. 28 DSGVO zwischen dem Betreiber der Schießstand-Website (Auftraggeber) und Constantin Vogel / Prozessvogel (Auftragnehmer) für den Betrieb des Bullseye-Buchungssystems.
§ 1 Parteien
Auftraggeber (Verantwortlicher)
Firma / Name: __________________________________________
Anschrift: __________________________________________
Vertretung: __________________________________________
E-Mail: __________________________________________
Auftragnehmer (Auftragsverarbeiter)
Constantin Vogel, Prozessvogel
Wilhelmstraße 10
31582 Nienburg, Deutschland
E-Mail: constantin@prozessvogel.de
§ 2 Gegenstand und Dauer
Gegenstand des Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen des Bullseye-Buchungssystems (WordPress-Plugin „Bullseye Buchungen" sowie zentrale API unter api.bullseyerange.de).
Die Laufzeit entspricht der Laufzeit der Lizenzvereinbarung für das Plugin; sie endet mit dem Widerruf des Lizenz-Keys oder der Kündigung der Nutzung durch den Auftraggeber.
§ 3 Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung folgender Funktionen:
- Entgegennahme von Buchungsanfragen über das öffentliche Widget und Schreiben in den Google-Kalender des Auftraggebers (Event als „Anfrage" markiert).
- Versand von Eingangsbestätigungs- und Status-E-Mails (Zusage / Absage) an die vom Anfragenden angegebene Adresse.
- Lizenz-Validierung und Bereitstellung von Plugin-Updates über die Bullseye-API.
§ 4 Art der personenbezogenen Daten
- Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer
- Inhaltsdaten: Wunschtermin, Disziplin, Personenanzahl, freiwillige Nachricht
- Metadaten: Zeitstempel der Anfrage, IP-Hash (anonymisiert für Rate-Limiting)
§ 5 Kategorien betroffener Personen
- Besucher der Website des Auftraggebers, die eine Buchungsanfrage stellen.
§ 6 Pflichten des Auftragnehmers
- Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit nicht eine gesetzliche Verpflichtung zu einer anderen Verarbeitung besteht.
- Alle Personen, die Zugang zu den Daten haben, sind zur Vertraulichkeit verpflichtet.
- Der Auftragnehmer ergreift die in § 10 beschriebenen technisch-organisatorischen Maßnahmen.
- Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit).
- Bei einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragnehmer den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis.
§ 7 Pflichten des Auftraggebers
- Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
- Der Auftraggeber informiert die Betroffenen über die Verarbeitung in seiner Datenschutzerklärung (Verweis auf diesen AVV und Sub-Auftragsverarbeiter).
- Der Auftraggeber ist verantwortlich für die Rechtmäßigkeit der Datenverarbeitung und für die Wahrung der Rechte der Betroffenen.
§ 8 Sub-Auftragsverarbeiter
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter hinzuzuziehen. Die aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter ist verfügbar unter:
https://bullseyerange.de/subprozessoren.html
Änderungen werden dem Auftraggeber per E-Mail mit einer Frist von 14 Tagen angekündigt. Widerspricht der Auftraggeber innerhalb dieser Frist, kann der Auftragnehmer den Vertrag mit einer Frist von 30 Tagen kündigen.
§ 9 Ort der Verarbeitung
Die Verarbeitung findet primär in Deutschland statt (Hetzner Online GmbH, Rechenzentrum Nürnberg). Beim Mail-Versand werden Daten durch Resend, Inc. (USA) verarbeitet; dies erfolgt auf Grundlage der EU-Standardvertragsklauseln und zusätzlicher Schutzmaßnahmen nach Art. 46 DSGVO.
§ 10 Technisch-organisatorische Maßnahmen
- Verschlüsselte Übertragung zwischen Plugin, API und Drittdiensten ausschließlich via HTTPS / TLS 1.2+.
- Server-Zugang ausschließlich per SSH-Schlüssel, keine Passwort-Anmeldung.
- Lizenz-Keys und API-Tokens in isolierten, verschlüsselten Umgebungen gespeichert.
- OAuth-Access-Tokens im Plugin AES-256-CBC-verschlüsselt, abgeleitet aus
AUTH_KEY+NONCE_SALTder WordPress-Installation. - Regelmäßige Backups des Server-Zustands (Hetzner Snapshots).
- Logging ohne personenbezogene Daten — nur anonymisierte IP-Hashes und Status-Codes.
- Rate-Limiting gegen Missbrauch (pro IP und pro E-Mail-Hash).
- Getrennte Zugangsebenen: öffentliche API-Endpunkte mit Bearer-Lizenz, Admin-Scripts nur auf dem Server.
§ 11 Weisungsrecht und Kontrolle
Der Auftraggeber kann jederzeit Weisungen zur Verarbeitung erteilen. Der Auftragnehmer informiert den Auftraggeber, wenn eine Weisung seiner Auffassung nach gegen datenschutzrechtliche Vorschriften verstößt.
Der Auftraggeber kann die Einhaltung der vertraglichen Pflichten nach Terminabsprache überprüfen oder durch einen Dritten prüfen lassen. Kosten eines solchen Audits trägt der Auftraggeber.
§ 12 Löschung und Rückgabe
Nach Beendigung des Vertrages löscht der Auftragnehmer auf Wunsch des Auftraggebers alle im Rahmen dieses Vertrages verarbeiteten personenbezogenen Daten oder gibt sie heraus, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
Anfragen-Events im Google-Kalender des Auftraggebers bleiben in dessen Eigentum und Verantwortung — der Auftragnehmer hat hier keinen Löschzugriff nach Vertragsende.
§ 13 Haftung
Es gelten die Regelungen des Art. 82 DSGVO.
§ 14 Schlussbestimmungen
Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt deutsches Recht.
§ 15 Unterschriften
Ort, Datum
_______________________________________
Unterschrift
Ort, Datum
_______________________________________
Constantin Vogel · Prozessvogel