Auftragsverarbeitungsvertrag (AVV)

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde — der im Account hinterlegte Verein bzw. Stallbetreiber, der Stablr nutzt und die Daten seiner Mitglieder, Mitarbeitenden, Pferdeeigentümer und sonstigen Betroffenen eingibt (nachfolgend „Verantwortlicher").

Auftragsverarbeiter ist Nailforge, Inh. Dipl.-Ing. Alexander Nagel, Bodelschwinghstraße 39, 76185 Karlsruhe (nachfolgend „Auftragsverarbeiter" oder „Anbieter"; siehe Impressum).

Gegenstand der Verarbeitung ist die Bereitstellung der Stallmanagement-Software Stablr gemäß den Allgemeinen Geschäftsbedingungen. Im Rahmen dieser Leistung verarbeitet der Anbieter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags; sie endet mit dessen Beendigung. Einzelheiten zu Art, Umfang und Zweck der Verarbeitung sowie zu den betroffenen Personen und Datenkategorien ergeben sich aus Anlage 1.

Der Anbieter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Die Nutzung der Anwendung durch den Verantwortlichen (Eingabe, Änderung, Löschung von Daten, gewählte Einstellungen und Module) gilt als Weisung. Hält der Anbieter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.

Der Anbieter verpflichtet sich gemäß Art. 28 Abs. 3 DSGVO insbesondere dazu,

1. Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
2. sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen umzusetzen (siehe Anlage 3);
4. die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter (§ 5) einzuhalten;
5. den Verantwortlichen nach Möglichkeit mit geeigneten Maßnahmen bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) zu unterstützen;
6. den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung) zu unterstützen;
7. nach Abschluss der Verarbeitung alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (§ 8);
8. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen (§ 6).

Der Verantwortliche bleibt im Datenschutzsinne „Herr der Daten". Er ist für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich. Wendet sich eine betroffene Person mit Anliegen (Auskunft, Berichtigung, Löschung etc.) unmittelbar an den Anbieter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter. Über die Selbstbedienungs-Funktionen der Anwendung kann der Verantwortliche Daten jederzeit selbst einsehen, berichtigen, exportieren und löschen.

Der Verantwortliche stimmt der Einbindung der in Anlage 2 genannten Unterauftragsverarbeiter zu (allgemeine Genehmigung gem. Art. 28 Abs. 2 DSGVO). Der Anbieter verpflichtet jeden Unterauftragsverarbeiter auf ein Datenschutzniveau, das dieser Vereinbarung entspricht. Beabsichtigt der Anbieter, einen weiteren Unterauftragsverarbeiter hinzuzuziehen oder einen bestehenden zu ersetzen, informiert er den Verantwortlichen vorab; dieser kann der Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.

Der Anbieter weist die Einhaltung der vereinbarten Pflichten auf Anfrage in geeigneter Weise nach (z. B. durch Vorlage der technischen und organisatorischen Maßnahmen, aktueller Testate/Zertifikate oder einer Selbstauskunft). Reicht dies zur Überzeugung des Verantwortlichen nicht aus, ermöglicht der Anbieter Überprüfungen — auch durch beauftragte Dritte — zu den üblichen Geschäftszeiten nach rechtzeitiger Ankündigung und ohne Störung des Betriebsablaufs.

Der Anbieter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die die im Auftrag verarbeiteten Daten betrifft. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit verfügbar, und unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörde und Betroffenen.

Nach Beendigung des Vertrags löscht der Anbieter die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Dem Verantwortlichen wird vor der Löschung ein angemessener Zeitraum eingeräumt, um seine Daten zu exportieren. Sicherungskopien werden im Rahmen der üblichen Backup-Zyklen automatisch überschrieben.

Für die Haftung gelten die Regelungen des Art. 82 DSGVO sowie die Haftungsregelung der AGB. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Bei Widersprüchen zwischen dieser Vereinbarung und den AGB gehen für Fragen der Auftragsverarbeitung die Regelungen dieser Vereinbarung vor.

Stand: 2026-06-05.

Zweck: Bereitstellung und Betrieb der Stallmanagement-Software (u. a. Mitglieder- und Pferdeverwaltung, Dienst- und Aufgabenplanung, Flächen- und Anlagenbuchung, Arbeitsstunden, optional Abrechnung, Lohn, Bewässerung).

Art der Verarbeitung: Erheben, Erfassen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln (nur an die in Anlage 2 genannten Stellen), Löschen.

Kategorien betroffener Personen: Mitglieder, Mitarbeitende, Vorstands- und Funktionsträger, Pferdeeigentümer, Reitschüler sowie sonstige im Account erfasste Personen des Verantwortlichen.

Kategorien personenbezogener Daten: Stammdaten (Name, Anschrift, Kontaktdaten), Account-Daten (E-Mail, verschlüsseltes Passwort), Mitgliedschafts- und Rollendaten, Pferde- und Boxendaten, Dienst-, Aufgaben- und Arbeitsstunden­daten, optional Abrechnungs-, Bank- und Lohndaten sowie Protokoll-/ Audit-Daten zur Nachvollziehbarkeit von Änderungen. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht vorgesehen; gibt der Verantwortliche dennoch solche Daten ein, erfolgt dies in seiner Verantwortung.

Zum Betrieb von Stablr werden folgende Unterauftragsverarbeiter eingesetzt:

• Hosting / Infrastruktur: Betrieb von Anwendung und Datenbank auf eigener Infrastruktur in einem Rechenzentrum in Deutschland (EU). Zweck: Bereitstellung, Speicherung und Sicherung der Daten.
• Resend, Inc., San Francisco, CA, USA — Versand transaktionaler E-Mails (z. B. Einladungen, System- und Passwort-Benachrichtigungen). Verarbeitet werden E-Mail-Adresse und Nachrichteninhalt. Da der Anbieter seinen Sitz in den USA hat, ist die Übermittlung durch einen Auftragsverarbeitungsvertrag mit EU-Standardvertragsklauseln (Art. 46 DSGVO) abgesichert.

Reine Reichweitenmessung auf den öffentlichen Web-Seiten erfolgt mit selbst-gehosteter, cookieloser Software ohne Übermittlung an Dritte; sie betrifft keine im Auftrag verarbeiteten Mitgliederdaten (siehe Datenschutzerklärung).

• Verschlüsselung: Transportverschlüsselung (TLS) für alle Verbindungen; Passwörter werden ausschließlich als kryptografischer Hash gespeichert; sensible Zugangsdaten von Drittsystemen werden verschlüsselt abgelegt.
• Zugangs- und Zugriffskontrolle: Zugang nur nach Authentifizierung; mandantenfähige Trennung mit strikter Vereins-Isolation (jede Datenabfrage ist auf den jeweiligen Verein begrenzt); rollenbasiertes Berechtigungssystem.
• Trennungskontrolle: Logische Trennung der Daten verschiedener Vereine; getrennte Test- und Produktionsumgebung.
• Eingabe- und Nachvollziehbarkeitskontrolle: Änderungen an wesentlichen Daten werden in einem Audit-Log mit Vorher-/Nachher-Stand und Urheber protokolliert.
• Verfügbarkeitskontrolle: Regelmäßige Datensicherungen; Betrieb in einem Rechenzentrum mit entsprechenden Schutzmaßnahmen.
• Belastbarkeit und Wiederherstellbarkeit: Fähigkeit, die Verfügbarkeit der Daten nach einem Zwischenfall rasch wiederherzustellen.

Die Maßnahmen werden dem Stand der Technik entsprechend fortlaufend angepasst. Eine jeweils aktuelle Fassung stellt der Anbieter auf Anfrage bereit.