SPM Sportplatz-Media GmbH (nachfolgend „Auftragnehmer“), Schleidenstraße 3, 22083 Hamburg, betreibt die Webseite www.spielerplus.de und die dazugehörige SpielerPlus-App. Mit dieser Anwendung (nachfolgend „SpielerPlus“) können Teamleiter/Trainer (nachfolgend „Auftraggeber“) ihre Sportteams als Administrator organisieren. Der Auftraggeber verwaltet die personenbezogenen Daten eigenverantwortlich.

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Diese Auftragsverarbeitungsvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag beschriebenen Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter von Auftragnehmer oder durch Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

1.1 Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Art. 4 Nr. 1 DSGVO).

1.2 Datenverarbeitung im Auftrag ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten i.S.d. Art. 4 Nr. 2 DSGVO durch den Auftragnehmer im Auftrag des Auftraggebers.

1.3 Weisung bedeutet alle Anweisungen, die der Auftraggeber an den Auftragnehmer erteilt und mit denen der Auftragnehmer zur Ausführung einer bestimmten Handlung in Bezug auf personenbezogene Daten aufgefordert wird (z. B. Anonymisierung, Sperrung, Löschung, Herausgabe) Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).

1.4 Erheben, Verarbeiten und Nutzen von personenbezogenen Daten hat die in Art. 4 Nr. 2 DSGVO definierte Bedeutung.

Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne Art. 4 Nr. 7 DSGVO). Dem Auftragnehmer steht das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.

3.1 Der Gegenstand des Auftrags ergibt sich aus dem Hauptvertrag/Leistungsbeschreibung auf den/die hier verwiesen wird.

3.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.

3.3 Das Recht zur außerordentlichen Kündigung bleibt hiervon unberührt.

Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Auftragnehmer für den Auftraggeber sind konkret beschrieben in dem Hauptvertrag.

Gegenstand der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind folgende Datenarten/ -kategorien (Aufzählung/ Beschreibung der Datenkategorien):

Art der Daten (allgemein):

• Benutzername
• Vor- und Nachname
• Adresse
• Geburtsdatum
• E-Mail Adresse
• Telefon- und Handynummer
• Profilbild
• Chat-Verläufe
• Representatives and contact persons
• Daten, die im Rahmen der Chat- oder Kontaktformulare eingeben werden
• Informationen betreffend den Spieler; wie:
  • Garment size
  • Trikotnummer
  • Position (Angriff, Verteidigung, Mittelfeld etc.)
  • Mitgliedsnummer (Sportverein / Team)
  • Zu- und Absagen zu Terminen inklusive der Gründe
  • Aufstellung
  • Teilnahme in Fahrgemeinschaften
  • Zugewiesene Aufgaben innerhalb des Teams
  • Daten aus dem Spielbericht (wie Tore, Fouls, Strafen etc.)
  • Teamkasse (Strafen, Beiträge)
  • Tippverhalten (Tipprunde)
  • Voting behavior

Besondere Kategorie von Daten:

• Abwesenheit wegen Krankheit/Verletzung (Gesundheitsdaten)

Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst:

• Trainer/Teamleiter
• Spieler/Teammitglieder
• Ansprechpartner im Verein
• Bei Minderjährigen: Sorgeberechtigte

7.1 Die im Rahmen des Auftrages verarbeiteten Daten, dürfen von Auftragnehmer nur nach Weisung des Auftraggebers berichtigt, gelöscht oder gesperrt werden.

7.2 Der Auftraggeber kann jederzeit während und nach Beendigung dieses Auftrages bzw. des Hauptvertrages die Berichtigung, Löschung, Sperrung und Herausgabe von Daten verlangen.

8.1 Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

8.2 Auftragnehmer wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 24, 32 DSGVO) entsprechen. Dies beinhaltet insbesondere, sofern dies angemessen ist,

• Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle),
• zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
• dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
• dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
• dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
• dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
• dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
• dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle),
• die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

8.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

9.1 Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen.

9.2 Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen, es sei denn, dass er nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung der Daten verpflichtet ist.

9.3 Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.

9.4 Auftragnehmer muss den Auftraggeber von Ausnahmen von der Weisungspflicht aufgrund für ihn geltendem Recht unterrichten, es sei denn gerade dieses Recht verbietet solche Mitteilung wegen eines wichtigen öffentlichen Interesses.

9.5 Auftragnehmer bestellt schriftlich – soweit gesetzlich vorgeschrieben – einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37, 38, 39 DSGVO ausüben kann. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt.

9.6 Auftragnehmer stellt sicher, dass die mit der Verarbeitung der personenbezogenen Daten des Auftraggebers befassten Mitarbeiter auf das Datengeheimnis verpflichtet werden (Art. 29 DSGVO) und in die Schutzbestimmungen der DSGVO eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

9.7 Auftragnehmer unterrichtet den Auftraggeber unverzüglich, sofern er der Auffassung ist, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt.

9.8 Auftragnehmer unterrichtet den Auftraggeber bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers. Dies gilt auch für etwaige Kontrollhandlungen, Maßnahmen der Aufsichtsbehörde nach Art. 51 – 59 DSGVO oder Ermittlungen nach Art. 83, 84 DSGVO.

9.9 Es ist bekannt, dass den Auftraggeber nach § Art. 33 DSGVO Informationspflichten im Falle der unrechtmäßigen Übermittlung oder Kenntniserlangung von bestimmten personenbezogenen Daten treffen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Die Meldung des Auftragnehmers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
• eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber Pflichten nach Art. 33 DSGVO treffen, hat der Auftragnehmer ihn hierbei zu unterstützen.

9.10 Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen von einer Verletzung des Schutzes personenbezogener Daten betroffen sind. Die datenschutzkonforme Vernichtung von Material übernimmt Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber. In besonderen, vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe.

9.11 Der Auftragnehmer wird den Auftraggeber darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.

10.1 Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Datenerhebung, -verarbeitung oder -nutzung sowie für die Wahrung der Reche der Betroffenen allein verantwortlich.

10.2 Der Auftraggeber hat Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

10.3 Die Pflicht zur Führung des Verarbeitungsverzeichnisses nach Art.30 DSGVO liegt beim Auftraggeber.

10.4 Dem Auftraggeber obliegen die aus Art. 33 DSGVO resultierenden Informationspflichten.

10.5 Der Auftraggeber legt die Maßnahmen zur Rückgabe der überlassenen Datenträger und/oder Löschung der gespeicherten Daten nach Beendigung des Vertrages vertraglich oder durch Weisung fest.

Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, wird Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen, vorausgesetzt der Auftraggeber hat Auftragnehmer hierzu schriftlich aufgefordert.

Auftraggeber und Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen von Auftragnehmer und dokumentiert das Ergebnis. Hierfür kann er etwa Selbstauskünfte des Auftragnehmers einholen oder auf eigene Kosten ein Audit durchführen lassen. In Falle eines Audits trägt Auftraggeber die Kosten der Mitarbeiter von Auftragnehmer, die am Audit mitwirken müssen.

14.1 Die Weitergabe von Aufträgen im Rahmen dieses Vertrages und der in §§ 3, 4, 5, 6 konkretisierten Tätigkeiten an Subunternehmer ist möglich, sofern Auftragnehmer sicherstellt, dass der Subunternehmer die Pflichten aus diesem Vertrag gegenüber dem Auftragnehmer übernimmt. Erteilt Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es Auftragnehmer, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen. Es gelten insbesondere die Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages.

14.2 Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend § 13 einzuräumen. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, von Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.

Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.

16.1 Sollten die Daten des Auftraggebers bei Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „verantwortlicher Stelle“ im Sinne der DSGVO liegen.

16.2 Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44, 45, 46 DSGVO erfüllt sind.Dem Auftraggeber ist bekannt, dass der Auftragnehmer sich der Dienstleistungen des Subauftragnehmers Amazon Web Services, Inc., P.O. Box 81226, Seattle, WA 98108-122 (AWS) bedient. AWS bietet Hostingleistungen auch innerhalb der EU (u.a. in Deutschland) an. Für den Fall einer Datenverarbeitung in den USA bietet AWS hinreichende Garantien zur datenschutzkonformen Verarbeitung i.S.d. Art. 46 DSGVO durch eine US/EU Privacy Shield Zertifizierung.

16.3 Änderungen und Ergänzungen dieses Vertrages und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen von Auftragnehmer - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Regelungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

16.4 Es gilt deutsches Recht, mit Ausnahme des Kollisionsrechts.