Auftragsverarbeitungsvertrag (AVV) — Version 1

Auftragsverarbeitungsvertrag (AVV) – tennify

Version: 1.0
Stand: 08.04.2026

Auftragsverarbeiter:
sparse creations GmbH, Düsseldorfer Str. 60, 33647 Bielefeld, Deutschland, vertreten durch Bernd Volkmer (Geschäftsführer), info@sparsecreations.com

Verantwortlicher:
Der jeweilige Verein, der tennify nutzt (nachfolgend „Verantwortlicher”).

1. Gegenstand, Dauer und Weisungen

1.1 Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zur Bereitstellung und zum Betrieb der Software „tennify” (Mobile Apps und ggf. Web) für den Vereinsbetrieb.
1.2 Die Verarbeitung erfolgt für die Laufzeit der Nutzung von tennify durch den Verantwortlichen sowie eine technisch erforderliche Nachlaufzeit gemäß Löschkonzept (Ziffer 8).
1.3 Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern keine gesetzliche Verpflichtung zu einer anderen Verarbeitung besteht. Weisungen erfolgen regelmäßig durch Nutzung der Konfigurations- und Adminfunktionen in tennify sowie ergänzend in Textform (z. B. E-Mail).

2. Art, Zweck und Umfang der Verarbeitung

Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Organisieren, Übermitteln, Bereitstellen, Auswerten (Statistiken) und Löschen von Daten, soweit dies zur Nutzung von tennify erforderlich ist.

Zwecke im Auftrag des Vereins (nicht abschließend):

  • Mitglieder- und Rollenverwaltung (inkl. Bestätigung von Mitgliedern)
  • Platzreservierungen, Einladungen und Erinnerungen (Push)
  • Vereinsnachrichten (Push an alle, Gruppen oder einzelne Mitglieder)
  • Galerie (Upload durch berechtigte Rollen; Sichtbarkeit für Vereinsmitglieder)
  • Vereinskonfiguration (Plätze, Equipment, Regeln, Links)
  • Sperrungen von Plätzen und Stornierung bestehender Reservierungen
  • Arbeitsdienste (Definition, Eintragung, Kommunikation)
  • Statistiken und Exporte (z. B. Mitgliederliste, Gastspieler, Arbeitsdienste; perspektivisch Platznutzung)

3. Kategorien betroffener Personen

  • Vereinsmitglieder (aktive und passive)
  • Gastspieler bzw. eingeladene Spieler
  • Trainer, Platzwarte und weitere Sonderrollen
  • Admins des Vereins

4. Kategorien personenbezogener Daten

Je nach Nutzung insbesondere:

  • Stammdaten (z. B. Name, E-Mail-Adresse; ggf. weitere Kontaktdaten)
  • Vereinszugehörigkeit, Rollen und Berechtigungen
  • Buchungsdaten (Platz, Zeit, Partner/Einladungen, Status)
  • Kommunikationsdaten (Nachrichteninhalte, Empfängergruppen, Versandzeitpunkte)
  • Galerieinhalte (Fotos/Videos) inkl. technischer Metadaten
  • Arbeitsdienst-Daten (Termine, Eintragungen, Status)
  • Auswertungs- und Statistikdaten im Vereinskontext
  • Protokolldaten (Audit-Events zu kritischen Aktionen)

Besondere Kategorien (Art. 9 DSGVO):
Besondere Kategorien personenbezogener Daten sind nicht Gegenstand der beabsichtigten Verarbeitung; soweit Nutzer freiwillig Inhalte hochladen, die besondere Kategorien enthalten, erfolgt dies ohne Weisung/Veranlassung durch den Auftragsverarbeiter und im Verantwortungsbereich des Vereins.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere zu:

  • Verarbeitung nur auf Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO)
  • Vertraulichkeit der zur Verarbeitung befugten Personen (Art. 28 Abs. 3 lit. b DSGVO)
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs) gem. Art. 32 DSGVO (Anlage 2)
  • Unterstützung bei Betroffenenrechten und Pflichten (Ziffer 7)
  • Meldung von Datenschutzverletzungen (Ziffer 7)
  • Regelungen zu Unterauftragsverarbeitern (Ziffer 6)

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern gemäß Anlage 3. Der Auftragsverarbeiter informiert über Änderungen der Subunternehmerliste in geeigneter Weise. Der Verantwortliche kann aus wichtigem Grund widersprechen.

7. Unterstützung, Vorfälle und Kontrollen

7.1 Betroffenenrechte: Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei Anfragen gemäß Art. 12–22 DSGVO.
7.2 Datenschutzverletzungen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten (Art. 33/34 DSGVO).
7.3 Kontrollen/Audits: Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV im angemessenen Umfang zu prüfen. Details können einvernehmlich festgelegt werden.

8. Löschung und Rückgabe nach Vertragsende

Nach Beendigung der Nutzung löscht oder gibt der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten nach Weisung des Verantwortlichen zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Technisch bedingte Restbestände (z. B. Backups) werden im Rahmen der eingesetzten Infrastruktur vorgehalten und spätestens nach 12 Monaten gelöscht bzw. überschrieben (Backup-Aufbewahrungsdauer: 1 Jahr).

9. Versionierung, digitale Zustimmung und Nachweis (Admin-Login)

9.1 Dieser AVV wird als versioniertes Dokument geführt.
9.2 Admins müssen den AVV beim Login akzeptieren; ohne Zustimmung ist die Nutzung der App nicht möglich.
9.3 Die Zustimmung erfolgt digital (Checkbox) durch eine Person, die erklärt, im Namen ihres Vereins zu handeln.
9.4 Der Auftragsverarbeiter protokolliert die Zustimmung (Nutzer, Zeitpunkt, Version) und stellt die Zustimmungshistorie im Adminbereich bereit.
9.5 Bei neuen AVV-Versionen kann der Auftragsverarbeiter eine erneute Zustimmung verlangen und die Nutzung der App für Admins bis zur Zustimmung aussetzen.

10. Organisatorische Pflichten des Verantwortlichen (News & Galerie ohne Hinweisdialog)

Der Verantwortliche stellt sicher, dass Admins und sonstige berechtigte Nutzer nur Inhalte einstellen/hochladen, für die sie die erforderlichen Rechte besitzen, und dass keine unzulässigen personenbezogenen Daten veröffentlicht werden.
Soweit tennify beim Erstellen von Vereinsnachrichten oder beim Hochladen von Bildern keine gesonderten Warnhinweise oder Bestätigungen anzeigt, bleibt der Verantwortliche für die rechtmäßige Auswahl der Inhalte, die Information der betroffenen Personen sowie die Einhaltung interner Vereinsregeln verantwortlich. Der Auftragsverarbeiter stellt technische Möglichkeiten zur Verwaltung und Löschung bereit.

11. Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem AVV ist Bielefeld, soweit gesetzlich zulässig.

Anlage 2 – TOMs (Übersicht)

  • Zugriffskontrolle und Rollenmodell (Admin, Platzwart, Trainer, Mitglied, Gast)
  • Authentifizierung/Autorisierung (z. B. Firebase Authentication)
  • Verschlüsselung der Datenübertragung (TLS)
  • Protokollierung kritischer Aktionen (Audit-Events)
  • Backup- und Wiederherstellungsprozesse (Aufbewahrung: 1 Jahr)
  • Incident-Response-Prozess inkl. Meldung von Datenschutzvorfällen
  • Regelmäßige Updates/Sicherheitsmaßnahmen

Anlage 3 – Unterauftragsverarbeiter

  • Google (Firebase/Google Cloud) – Hosting, Datenbank, Functions, Storage, Push (FCM)

  • Google Firebase Crashlytics – Fehler- und Crash-Reporting

  • Google Firebase Analytics – Nutzungsanalyse (falls aktiviert)

  • Google AdMob – Ausspielung von Werbung (falls aktiviert)

  • Apple (APNs) – Push-Zustellung an iOS-Geräte

  • Google Play / Apple App Store – In-App Purchases (z. B. „Werbung entfernen”)

  • Änderungen der Subunternehmerliste werden in geeigneter Weise bekannt gemacht (z. B. über eine veröffentlichte Liste/Link).

  • Für Tracking- und Werbedienste kann eine gemeinsame Verantwortlichkeit oder eigene Verantwortlichkeit vorliegen

  • Sofern Daten in Drittländer übermittelt werden (z. B. USA), erfolgt dies auf Grundlage der Standardvertragsklauseln der EU-Kommission sowie ggf. des EU-U.S. Data Privacy Framework

  • Platzbuchungssystem

  • Mitgliederverwaltung

  • Vereinskommunikation (News, Benachrichtigungen)

  • Arbeitsdienst- und Aufgabenverwaltung

  • Ligaspielverwaltung (Tennisliga-Integration)

  • Gästeverwaltung

  • Geräteverwaltung (Ausrüstung)

  • Statistiken und Auswertungen

  • Buchungsterminal-Betrieb