Auftragsverarbeitungsvertrag

gemäß Art. 28 Abs. 3 DSGVO · Stand: Mai 2026 · Version 1.0

Dieser AVV gilt automatisch mit Abschluss eines Nutzungsvertrags für DJCockpit und bedarf keiner gesonderten Unterzeichnung. Die elektronische Akzeptanz bei der Registrierung erfüllt die Schriftformpflicht gemäß Art. 28 Abs. 9 DSGVO.

Parteien

Auftragsverarbeiter (Anbieter)

Thomas Stroh – DJCockpit
Lankenstraße 3, 52428 Jülich
E-Mail: info@djcockpit.de

Auftraggeber (Nutzer)

Der im Rahmen der Registrierung auf djcockpit.de angegebene Nutzer. Die konkreten Daten ergeben sich aus dem Nutzerkonto.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der SaaS-Plattform DJCockpit für den Auftraggeber. Der Auftraggeber nutzt DJCockpit zur Verwaltung seiner eigenen Kunden, Buchungen und Veranstaltungen und speichert dabei personenbezogene Daten Dritter in der Plattform.

(2) Dauer

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags gemäß den AGB von DJCockpit.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Art der Verarbeitung

Erhebung, Speicherung, Übermittlung, Abruf, Verwendung, Abgleich, Löschung und Vernichtung personenbezogener Daten im Rahmen des Betriebs der Plattform.

(2) Zweck

Bereitstellung der vertragsgegenständlichen SaaS-Funktionen: Kundenverwaltung, Buchungsverwaltung, Rechnungserstellung, Musikwunsch-System, Buchhaltungsmodul und zugehörige Funktionen.

(3) Kategorien personenbezogener Daten

Stammdaten: Name, Anschrift, Geburtsdatum
Kontaktdaten: E-Mail-Adresse, Telefonnummer
Vertragsdaten: Buchungsdetails, Veranstaltungsinformationen, Rechnungsbeträge
Kommunikationsdaten: Nachrichten im Kundenbereich, Musikwünsche
Technische Daten: IP-Adressen, Browser-Informationen (Zugriffslogs)

(4) Kategorien betroffener Personen

Kunden des Auftraggebers (Veranstaltungsauftraggeber, Hochzeitspaare, Firmen etc.)
Sonstige Dritte, deren Daten der Auftraggeber in der Plattform erfasst

§ 3 Pflichten des Auftragsverarbeiters

(1) Weisungsbindung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Plattform durch den Auftraggeber gilt als Weisung. Der Auftragsverarbeiter nutzt die Daten nicht für eigene Zwecke.

(2) Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle Personen mit Zugang zu den Daten zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der verarbeiteten Daten. Diese sind in Anhang 1 konkret beschrieben.

(4) Unterauftragsverarbeiter

Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen (Anhang 2). Der Auftraggeber erteilt die allgemeine Genehmigung hierfür. Über Änderungen wird der Auftraggeber mindestens 14 Tage im Voraus per E-Mail informiert und kann Einwände erheben.

(5) Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten gemäß Art. 15–22 DSGVO durch geeignete technische Maßnahmen.

(6) Meldung von Datenpannen

Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, per E-Mail an die im Nutzerkonto hinterlegte Adresse.

(7) Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Auftraggeber 30 Tage zur Verfügung, um Daten zu exportieren. Anschließend werden alle personenbezogenen Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(8) Nachweispflicht und Audit-Recht

Der Auftragsverarbeiter stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der DSGVO-Konformität zur Verfügung. Audits sind auf normale Geschäftszeiten mit angemessener Vorlaufzeit zu beschränken.

§ 4 Pflichten des Auftraggebers

Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung verantwortlich. Er ist insbesondere verpflichtet:

Die Verarbeitung auf einer gültigen Rechtsgrundlage gemäß Art. 6 DSGVO zu stützen
Betroffene Personen gemäß Art. 13/14 DSGVO über die Verarbeitung zu informieren
Weisungen schriftlich oder elektronisch zu erteilen
Den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler in der Verarbeitung feststellt

§ 5 Serverstandorte

Alle personenbezogenen Daten werden ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet und gespeichert. Serverstandorte: Firebase (Google): Frankfurt am Main, Deutschland (europe-west3); Vercel: Frankfurt am Main, Deutschland (fra1). Ein Transfer personenbezogener Daten in Drittländer findet nicht statt. Als zusätzliche Absicherung gegen mögliche behördliche Zugriffe nach US-Recht (CLOUD Act) gelten die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie das EU-US Data Privacy Framework (DPF).

§ 6 Haftung

Im Außenverhältnis haften Verantwortlicher und Auftragsverarbeiter gemäß Art. 82 DSGVO gesamtschuldnerisch gegenüber betroffenen Personen. Im Innenverhältnis trägt jede Partei die Haftung entsprechend ihrem Verschuldensanteil. Der Auftragsverarbeiter haftet dem Auftraggeber nur, soweit er nachweislich gegen diesen Vertrag verstoßen hat.

§ 7 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Aachen. Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Anhang 1: Technische und organisatorische Maßnahmen (TOM)

Gemäß Art. 32 DSGVO eingesetzte Maßnahmen (Stand: Mai 2026):

Maßnahmenkategorie	Konkrete Maßnahmen
Zutrittskontrolle	Keine physischen Serverräume beim Anbieter. Infrastruktur liegt bei Google Firebase und Vercel (ISO 27001-zertifizierte Rechenzentren in Frankfurt). Physischer Zugang Dritter ausgeschlossen.
Zugangskontrolle	Passwortgeschützte Nutzerkonten, Firebase Authentication mit sicheren Token, Passwort-Hashing durch Firebase, Brute-Force-Schutz integriert.
Zugriffskontrolle	Multi-Tenant-Architektur: Jeder DJ-Nutzer hat ausschließlich Zugriff auf seine eigenen Daten. Firestore Security Rules verhindern Cross-Tenant-Zugriff technisch.
Weitergabekontrolle	Datenübertragung ausschließlich über HTTPS/TLS-Verschlüsselung (TLS 1.2 oder höher). Keine unverschlüsselte Übertragung personenbezogener Daten.
Eingabekontrolle	Alle Datenbankoperationen über validierte API-Endpunkte. Firebase-Logs ermöglichen Nachvollziehbarkeit von Datenänderungen.
Verfügbarkeitskontrolle	Regelmäßige automatische Backups durch Firebase. Redundante Cloud-Infrastruktur. Monitoring über Vercel und Firebase Console.
Trennungsgebot	Strikte Datentrennung zwischen verschiedenen DJ-Nutzern durch Firestore-Datenbankstruktur (users/{uid}/...). Technisch erzwungene Isolation.
Verschlüsselung	Datenverschlüsselung at rest durch Firebase/Google. Verschlüsselung in transit über HTTPS/TLS. Passwort-Hashing mit sicheren Algorithmen.

Anhang 2: Liste der Unterauftragsverarbeiter

Eingesetzte Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 DSGVO (Stand: Mai 2026):

Anbieter	Zweck	Serverstandort	Rechtsgrundlage
Google LLC (Firebase)	Datenbank, Authentifizierung, Dateispeicherung, Cloud Functions	Frankfurt (europe-west3)	EU-Server; SCC + DPF
Vercel Inc.	Hosting, CDN, Serverless-Deployment	Frankfurt (fra1)	EU-Server; SCC + DPF
Resend Inc.	Transaktionaler E-Mail-Versand	USA	SCC 2021/914

Stand: Mai 2026 · DJCockpit.de · Thomas Stroh · Lankenstraße 3, 52428 Jülich

→ AGB → Datenschutzerklärung