← Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) · Stand: Juni 2025

Hinweis: Dieser AVV gilt für alle Kunden von OpenSpot, die personenbezogene Daten ihrer Mitarbeiter oder Nutzer über die Plattform verarbeiten. Für individuelle Anpassungen wenden Sie sich bitte an openspot.contact@gmail.com.

Präambel

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch Peter Sager (OpenSpot) als Auftragsverarbeiter im Auftrag des Kunden als Verantwortlichem gemäß Art. 28 DSGVO.

§ 1 Vertragsgegenstand und Dauer

Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen gemäß dem Hauptvertrag (Nutzungsvertrag OpenSpot). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Dieser AVV tritt mit dem Abschluss des Nutzungsvertrages in Kraft und endet mit dessen Beendigung.

§ 2 Art, Umfang und Zweck der Verarbeitung

Art der Verarbeitung: Speicherung, Erfassung, Auswertung, Übermittlung

Zweck: Bereitstellung der OpenSpot-Campus-Plattform zur Anzeige der Live-Auslastung von Etagen und Lernbereichen sowie zum Besucher-Check-in per QR-Code

Kategorien personenbezogener Daten:

  • E-Mail-Adressen und Namen der Mitarbeiter-Konten des Verantwortlichen (Bibliotheksleitung, Mitarbeiter)
  • vom Besucher selbst eingegebener Name sowie Check-in-/Check-out-Zeitpunkt und ggf. gewählte Etage (Besucher benötigen kein eigenes Konto)
  • Nutzungsstatistiken (aggregiert)

Kategorien betroffener Personen: Mitarbeiter-Konten sowie Besucher der Bibliothek des Verantwortlichen

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten
  • alle zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten
  • alle erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zu treffen
  • die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten
  • den Verantwortlichen bei der Erfüllung seiner Pflichten zu unterstützen
  • nach Wahl des Verantwortlichen alle Daten zu löschen oder zurückzugeben
  • dem Verantwortlichen alle erforderlichen Informationen zur Nachweisführung bereitzustellen

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende Maßnahmen zum Schutz personenbezogener Daten getroffen:

  • Zutrittskontrolle: Kein physischer Zugang zu Servern (Cloud-Hosting bei Vercel)
  • Zugangskontrolle: Authentifizierung über Supabase Auth mit verschlüsselten Passwörtern
  • Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (Owner, Admin, Member)
  • Transportverschlüsselung: TLS 1.2+ für alle Verbindungen (HTTPS)
  • Datensparsamkeit: Verarbeitung nur notwendiger Daten
  • Trennungsgebot: Mandantentrennung auf Datenbankebene per Row-Level-Security
  • Backups: Automatische Datensicherung durch Supabase
  • Incident Response: Meldung von Datenpannen innerhalb von 72 Stunden

§ 5 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

AnbieterZweckSitzGarantie
Supabase Inc.Datenbank, AuthUSAEU-Standardvertragsklauseln
Vercel Inc.Hosting, CDNUSAEU-Standardvertragsklauseln

Der Verantwortliche erteilt hiermit die allgemeine Genehmigung zur Inanspruchnahme der genannten Unterauftragsverarbeiter. Über wesentliche Änderungen wird der Verantwortliche informiert.

§ 6 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit). Anfragen sind an den Verantwortlichen zu richten.

§ 7 Datenpannen

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, spätestens jedoch binnen 48 Stunden, nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die von ihm verarbeitete Daten des Verantwortlichen betrifft.

§ 8 Löschung und Rückgabe

Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle verarbeiteten personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Wunsch wird der Verantwortliche über die erfolgte Löschung informiert.

§ 9 Kontakt & Anfragen

Für Fragen zum AVV oder zur Datenverarbeitung:

Peter Sager · OpenSpot
E-Mail: openspot.contact@gmail.com
Website: open-spot.de