Auftragsverarbeitung (AVV)

Auftragsverarbeitung (AVV) Stand: 17. Mai 2026 1. Überblick und Einbeziehung Diese Vereinbarung zur Auftragsverarbeitung beschreibt die wesentlichen Datenschutzrollen und Auftragsverarbeitungsbedingungen für CREWIO. Sie ergänzt AGB, Datenschutzerklärung und individuelle Vereinbarungen. Soweit Kund:innen CREWIO als Verantwortliche für personenbezogene Daten ihrer Organisation nutzen und kein gesonderter AVV geschlossen wurde, gelten diese Regelungen als AVV-Anlage zum Hauptvertrag. Soweit Kund:innen personenbezogene Daten von Helfer:innen, Mitgliedern, Organisator:innen, Mitarbeitenden oder sonstigen Personen in CREWIO verarbeiten, handeln Kund:innen regelmäßig als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Pascal Hans IT Solutions verarbeitet diese Daten regelmäßig als Auftragsverarbeiter gemäß Art. 28 DSGVO. 2. Gegenstand und Dauer der Verarbeitung Gegenstand der Verarbeitung ist die Bereitstellung, Sicherung, Wartung, Weiterentwicklung und Unterstützung der CREWIO-Plattform für Event-, Schicht-, Helfer-, Vereins-, Kommunikations-, Analyse-, Integrations- und Abrechnungsfunktionen. Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Nach Vertragsende werden Daten nach Maßgabe von AGB, Datenschutzerklärung, gesetzlichen Aufbewahrungspflichten, Exportmöglichkeiten und Löschkonzepten gelöscht, anonymisiert oder zurückgegeben. 3. Art und Zweck der Verarbeitung Die Verarbeitung umfasst insbesondere Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Bereitstellen, Abgleichen, Einschränken, Löschen, Exportieren, Sichern und Protokollieren personenbezogener Daten. Zwecke sind insbesondere: - Bereitstellung von Nutzerkonten, Rollen, Berechtigungen und Mandantentrennung. - Verwaltung von Vereinen, Organisationen, Events, Schichten, Rollen und Helferprofilen. - Einladungen, Benachrichtigungen, Nachrichten, Check-ins, QR-Codes und Kalenderfunktionen. - Abrechnung, Planverwaltung, Add-ons, Event-Pässe und Zahlungsstatus. - Support, Fehleranalyse, Sicherheitsüberwachung, Audit-Logs und Missbrauchsschutz. - Developer-API, Webhooks, Integrationen und technische Zustellprotokolle. 4. Kategorien betroffener Personen Betroffen sein können insbesondere Organisator:innen, Admins, Co-Organisator:innen, Vereinsmitglieder, Helfer:innen, eingeladene Nutzer:innen, Eventteilnehmer:innen, Kontaktpersonen, Rechnungskontakte, Supportkontakte, Integrationsnutzer:innen und Nutzer:innen von White-Label-Portalen, öffentlichen Eventseiten oder Einladungslinks. 5. Kategorien personenbezogener Daten Verarbeitet werden können insbesondere Stammdaten, Kontaktdaten, Account-, Authentifizierungs-, Session- und Berechtigungsdaten, Event-, Rollen-, Schicht-, Verfügbarkeits-, Check-in-, No-Show- und Bewertungsdaten, Nachrichten, Einladungen, Supportinhalte, Zustellstatus, Benachrichtigungspräferenzen, Rechnungs-, Plan-, Add-on-, Zahlungsstatus- und Checkout-Referenzdaten sowie technische Daten wie IP-Adresse, User-Agent, Request-IDs, Logs, Audit-Einträge, API-Keys, Webhook-Metadaten und Sicherheitsereignisse. 6. Weisungen der Kund:innen Wir verarbeiten auftragsbezogene Daten grundsätzlich nur nach dokumentierten Weisungen der Kund:innen. Weisungen ergeben sich insbesondere aus Hauptvertrag, Plattformkonfiguration, Rollen, Importen, Exporten, Löschfunktionen, Supportanfragen, API-Aufrufen, Webhook-Konfigurationen und sonstigen dokumentierten Mitteilungen. Weisungen, die über die bereitgestellten Funktionen hinausgehen, können an support@crewio.co gerichtet werden. Wir informieren Kund:innen, wenn eine Weisung nach unserer Auffassung gegen Datenschutzrecht verstößt. 7. Vertraulichkeit Personen, die Zugriff auf auftragsbezogene personenbezogene Daten haben, werden auf Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht. Zugriffe werden auf das erforderliche Maß beschränkt. 8. Technische und organisatorische Maßnahmen CREWIO setzt angemessene technische und organisatorische Maßnahmen ein, insbesondere: - Zugriffskontrollen, rollenbasierte Berechtigungen und Mandantentrennung. - Row-Level-Security, serverseitige Autorisierungsprüfungen und Admin-Audit-Logs. - TLS-verschlüsselte Übertragung und angemessene Verschlüsselung eingesetzter Dienste. - sichere Session-Verarbeitung, CSRF-Schutz, Rate-Limiting und Webhook-Signaturprüfung. - Backups, Monitoring, Fehlerprotokollierung und Incident-Response-Prozesse. - Rechte- und Rollenkonzepte für interne Administration und Supportzugriffe. - Verfahren zur regelmäßigen Überprüfung, Bewertung und Verbesserung von Sicherheitsmaßnahmen nach Risiko. 9. Unterauftragsverarbeiter Kund:innen erteilen eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, soweit diese zur Bereitstellung, Sicherheit, Kommunikation, Zahlungsabwicklung, Analyse nach Einwilligung, Karten-, Wetter-, Hosting-, Datenbank-, Infrastruktur- oder Supportfunktionen erforderlich sind. Wesentliche Unterauftragsverarbeiter und Dienstleister können insbesondere sein: Supabase, Vercel, SumUp, Stripe, Resend, Twilio, Upstash, Google, Plausible, Open-Meteo, OpenStreetMap/Nominatim, GitHub sowie Apple- und Google-Plattformdienste. Der konkrete Einsatz hängt von Nutzung, Konfiguration, Einwilligung und gebuchtem Plan ab. Wir verpflichten Unterauftragsverarbeiter, soweit erforderlich, auf Datenschutzpflichten, die den Anforderungen dieser AVV entsprechen. Bei wesentlichen Änderungen informieren wir Kund:innen nach Maßgabe der vertraglichen Vereinbarungen. Kund:innen können aus wichtigem datenschutzrechtlichem Grund widersprechen. 10. Drittlandübermittlungen Soweit personenbezogene Daten außerhalb der EU oder des EWR verarbeitet werden, stützen wir Übermittlungen auf geeignete Garantien, insbesondere Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln, zusätzliche technische und organisatorische Maßnahmen oder Einwilligungen, soweit erforderlich. 11. Unterstützungspflichten Wir unterstützen Kund:innen im Rahmen des Zumutbaren und der Plattformfunktionen bei Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung der Verarbeitung, Widerspruchsprüfung, Nachweisführung, Sicherheitsvorfällen, Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden, soweit CREWIO betroffen ist. 12. Sicherheitsvorfälle Werden uns Verletzungen des Schutzes personenbezogener Daten bekannt, die auftragsbezogene Daten betreffen, informieren wir betroffene Kund:innen unverzüglich nach Maßgabe der gesetzlichen Anforderungen und stellen verfügbare Informationen zur Prüfung eigener Meldepflichten bereit. 13. Nachweise und Audits Wir stellen Kund:innen auf Anfrage angemessene Informationen zur Verfügung, die zur Prüfung der Einhaltung dieser AVV erforderlich sind, soweit dadurch Sicherheit, Geschäftsgeheimnisse, Rechte anderer Kund:innen oder gesetzliche Pflichten nicht beeinträchtigt werden. Audits sind mit angemessener Frist anzukündigen und auf das erforderliche Maß zu beschränken. 14. Rückgabe und Löschung Kund:innen können Daten im Rahmen verfügbarer Exportfunktionen herunterladen oder über Plattformfunktionen löschen. Nach Vertragsende löschen oder anonymisieren wir personenbezogene Daten nach Maßgabe der Datenschutzerklärung, gesetzlicher Aufbewahrungspflichten, berechtigter Nachweisinteressen und technischer Backup-Zyklen. 15. Pflichten der Kund:innen Kund:innen bleiben verantwortlich für Rechtmäßigkeit der Verarbeitung, Informationspflichten gegenüber betroffenen Personen, Rechtsgrundlagen, Einwilligungen, Löschkonzepte, interne Berechtigungen, besondere Kategorien personenbezogener Daten, Datenminimierung und Weisungen. 16. Kontakt und gesonderte AVV-Dokumente Anfragen zur Auftragsverarbeitung, Weisungen, Datenschutzprüfungen oder gesonderten AVV-Dokumenten können an support@crewio.co gerichtet werden.