Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO – Stand: 19.04.2026

Hinweis: Dieser Auftragsverarbeitungsvertrag gilt automatisch für alle registrierten Vereine und Organisationen, die den Dienst ELVRA zur Verarbeitung personenbezogener Daten ihrer Mitglieder nutzen. Durch die Nutzung des Dienstes wird dieser AVV akzeptiert.

Präambel

Der Auftraggeber (nachfolgend „Verantwortlicher") ist der jeweilige Verein, die Feuerwehr oder Organisation, die den Dienst ELVRA zur Verwaltung seiner Mitgliederdaten nutzt.

Der Auftragnehmer (nachfolgend „Auftragsverarbeiter") ist der Betreiber der Plattform ELVRA, erreichbar unter www.elvra.de.

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

Art. 1 – Gegenstand und Dauer

Gegenstand des Vertrages ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Dienstes ELVRA (digitale Strichlistenverwaltung). Die Dauer entspricht der Nutzungsdauer des Dienstes durch den Verantwortlichen.

Art. 2 – Art und Zweck der Verarbeitung

Art der Verarbeitung

Speicherung und Verwaltung von Mitgliedernamen
Erfassung und Speicherung von Konsumdaten (Getränke, Speisen, sonstige Produkte)
Berechnung und Speicherung offener Beträge
Erstellung von Abrechnungs-PDFs

Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der internen Strichlisten- und Kassenverwaltung des Verantwortlichen.

Kategorien betroffener Personen

Mitglieder des Verantwortlichen (Vorname und/oder Nachname, Konsumeinträge, Salden)
Administratoren und Kassenverantwortliche (Name, E-Mail-Adresse, Passwort-Hash)

Art. 3 – Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung des Systems durch den Verantwortlichen gilt als Weisung. Gesetzliche Verarbeitungspflichten bleiben unberührt.

Art. 4 – Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:

Verschlüsselte Übertragung aller Daten via HTTPS (TLS)
Passwörter werden ausschließlich als Hashwerte (bcrypt) gespeichert
Zugriffsbeschränkung durch Rollensystem (RBAC)
Mandantentrennung: Jeder Verein sieht ausschließlich seine eigenen Daten
Regelmäßige Backups durch den Hosting-Anbieter (IONOS)
Zugangsschutz zur Serverinfrastruktur

Art. 5 – Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

Art. 6 – Einsatz von Subunternehmern

Als Unterauftragsverarbeiter werden eingesetzt:

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur – Hosting und Datenbankbetrieb
Google LLC – Einbindung von Google Fonts (kann deaktiviert werden)

Über wesentliche Änderungen bei Unterauftragsverarbeitern wird der Verantwortliche informiert.

Art. 7 – Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung). Anfragen sind an den Verantwortlichen zu richten; der Auftragsverarbeiter leitet diese ggf. weiter.

Art. 8 – Löschung und Rückgabe

Nach Beendigung der Nutzung werden alle Daten des Verantwortlichen auf Anfrage gelöscht. Eine automatische Löschung erfolgt spätestens 90 Tage nach Deaktivierung des Vereinskontos.

Art. 9 – Meldepflichten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Datenschutzverletzungen, die die Daten des Verantwortlichen betreffen.

Art. 10 – Kontakt Datenschutz

Bei datenschutzrechtlichen Fragen wende dich an: kontakt@elvra.de

Stefan Hempel
Bindemannstraße 3
39418 Staßfurt