Glider Dashboard — Auftragsverarbeitungs-Vertrag

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

— im Folgenden gemeinsam „Parteien“, einzeln „Auftragsverarbeiter“ (kurz: AV) bzw. „Verantwortlicher“ —

§ 1 Gegenstand und Dauer

(1) Der AV stellt dem Verantwortlichen die Software-Plattform „Fly Dash“ als Software-as-a-Service kostenfrei zur Verfügung. Im Rahmen des Betriebs verarbeitet der AV personenbezogene Daten im Auftrag des Verantwortlichen.

(2) Die Anlagen 1 (Technisch-organisatorische Maßnahmen) und 2 (Sub-Auftragsverarbeiter) sind Bestandteil dieses Vertrags.

(3) Der Vertrag beginnt mit Unterzeichnung durch beide Parteien. Er läuft unbefristet und endet mit Beendigung des zugrunde liegenden Hauptvertrags (Bereitstellung der Plattform) oder durch ordentliche Kündigung mit einer Frist von 30 Tagen zum Monatsende durch eine der Parteien. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

§ 2 Art und Zweck der Verarbeitung; Art der Daten; betroffene Personenkreise

(1) Art und Zweck der Verarbeitung umfassen ausschließlich:

• Bereitstellung des Live-Tracking-Dashboards für die Vereinsflotte
• Authentifizierung von Vereinsmitgliedern (Account-Verwaltung)
• Erstellung von Vereinsstatistik aus aggregierten Trail-Daten
• Audit-Logging zur Sicherheit der Plattform
• Hosting der Vereinskonfiguration (Flotte, Lufträume, Außenlandeplätze)

Eine Verarbeitung zu anderen Zwecken — insbesondere kommerzielle Verwertung, Werbung, Profilbildung oder Weitergabe an Dritte — findet nicht statt.

(2) Art der personenbezogenen Daten:

• Account-Daten: E-Mail-Adresse, Name, bcrypt-Passwort-Hash
• Authentifizierungs-Daten: Session-Tokens (SHA-256-Hash), IP-Adresse zum Login-Zeitpunkt, User-Agent-String
• Audit-Log-Einträge: User-ID, Tenant-ID, Aktion, IP-Adresse, Zeitstempel
• Server-Logfiles: IP-Adresse, Datum/Uhrzeit der Anfrage, aufgerufene URL
• Aircraft-Tracking-Daten: FLARM-/ADS-B-Geräte-IDs, GPS-Positionen, Höhen, Geschwindigkeiten, Steigraten
• Konfigurationsdaten des Vereins: Flotte (Kennzeichen, FLARM-ID, Modell), Sektoren, Außenlandeplätze

Ausdrücklich nicht verarbeitet werden: besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (Gesundheits-, biometrische, genetische Daten), Pilotennamen oder personenbezogene Flugbuch-Notizen. Fly Dash speichert ausschließlich aircraft-bezogene Metadaten — keine personenbezogene Pilot-Zuordnung pro Flug.

(3) Betroffene Personenkreise:

• Mitglieder des Vereins, die einen Account auf der Plattform haben
• Halter von Vereinsfliegern (mittelbar, über das öffentlich einsehbare Kennzeichen identifizierbar)
• Besucher der öffentlichen Dashboard-Seite (über Server-Logfiles und IP-Adressen)

§ 3 Pflichten des Auftragsverarbeiters

Der AV verpflichtet sich,

1. personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 Buchst. a DSGVO),
2. den Verantwortlichen unverzüglich zu informieren, falls eine Weisung nach seiner Auffassung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt (Art. 28 Abs. 3 Satz 3 DSGVO); bis zur Klärung kann die Ausführung der Weisung ausgesetzt werden,
3. die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten oder dafür Sorge zu tragen, dass diese einer gesetzlichen Verschwiegenheitspflicht unterliegen,
4. die in Anlage 1 beschriebenen technisch-organisatorischen Maßnahmen einzuhalten und bei Bedarf an den Stand der Technik anzupassen,
5. weitere Auftragsverarbeiter (Sub-AV) nur unter den Bedingungen des § 6 in Anspruch zu nehmen,
6. den Verantwortlichen bei der Beantwortung von Anträgen Betroffener (Art. 12-22 DSGVO) durch geeignete technische und organisatorische Maßnahmen zu unterstützen,
7. den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32-36 DSGVO zu unterstützen — insbesondere bei der Datensicherheit, der Meldung von Verletzungen, der Datenschutz-Folgenabschätzung und der vorherigen Konsultation,
8. nach Beendigung des Auftrags alle personenbezogenen Daten nach Wahl des Verantwortlichen zurückzugeben oder zu löschen (siehe § 13),
9. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus diesem Vertrag zur Verfügung zu stellen und Überprüfungen gemäß § 10 zu ermöglichen.

§ 4 Pflichten des Verantwortlichen

Der Verantwortliche

1. ist im Außenverhältnis für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte der betroffenen Personen verantwortlich,
2. erteilt Weisungen schriftlich oder in Textform (z. B. E-Mail an hello@kyth.systems); mündliche Weisungen sind unverzüglich schriftlich zu bestätigen,
3. informiert seine Vereinsmitglieder gemäß Art. 13/14 DSGVO über die Datenverarbeitung,
4. informiert den AV unverzüglich, wenn er Verstöße gegen die DSGVO oder gegen diesen Vertrag feststellt,
5. unterrichtet den AV bei Wechsel des Vorstands oder der Vertretungsberechtigung.

§ 5 Meldung von Datenschutzverletzungen

(1) Der AV meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die im Rahmen dieses Vertrags verarbeitet werden, unverzüglich, spätestens 72 Stunden nach Kenntniserlangung (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung erfolgt per E-Mail an die in diesem Vertrag genannte Kontaktadresse des Verantwortlichen und enthält mindestens die Angaben gemäß Art. 33 Abs. 3 DSGVO (Art der Verletzung, betroffene Datenarten, Zahl der Betroffenen, voraus- sichtliche Folgen, ergriffene Maßnahmen).

(3) Der Verantwortliche entscheidet über eine etwaige Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und über Benachrichtigung der Betroffenen (Art. 34 DSGVO). Der AV unterstützt diese Prozesse.

§ 6 Sub-Auftragsverarbeiter

(1) Der Verantwortliche stimmt der Inanspruchnahme der in Anlage 2 aufgeführten Sub-AV zu (allgemeine Genehmigung gemäß Art. 28 Abs. 2 Satz 1 DSGVO).

(2) Beabsichtigt der AV, einen weiteren oder anderen Sub-AV in Anspruch zu nehmen, informiert er den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail über die geplante Änderung. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen nach Erhalt der Mitteilung widersprechen. Im Fall des Widerspruchs hat der AV das Recht, den Vertrag mit Wirkung zum Zeitpunkt des Beginns der Sub-AV-Tätigkeit ordentlich zu kündigen.

(3) Der AV verpflichtet jeden Sub-AV vertraglich zur Einhaltung der Pflichten dieses Vertrags. Die Sub-AV-Verträge müssen mindestens das Datenschutzniveau dieses Vertrags gewährleisten (Art. 28 Abs. 4 DSGVO).

(4) Verarbeitungstätigkeiten ohne Auftragscharakter (z. B. öffentlich verfügbare Wetterdaten, Karten-Tile-Server, OGN- Beacon-Aggregator) sind keine Sub-AV im Sinne dieses Vertrags, da der AV diesen Anbietern keine personenbezogenen Daten des Verantwortlichen zur Verarbeitung übermittelt.

§ 7 Übermittlung in Drittländer

(1) Eine Verarbeitung der personenbezogenen Daten des Verantwortlichen erfolgt ausschließlich auf Servern innerhalb der Europäischen Union (siehe Anlage 2 — IONOS SE, Rechenzentren in Deutschland).

(2) Eine Übermittlung in Drittländer (außerhalb der EU/des EWR) findet im Rahmen dieses Vertrags nicht statt. Sollte sich daran etwas ändern, informiert der AV den Verantwortlichen vorab und holt dessen Zustimmung ein; gesetzlich vorgeschriebene Übermittlungen (z. B. an Strafverfolgungsbehörden) bleiben unberührt.

§ 8 Rechte der betroffenen Personen

Der AV unterstützt den Verantwortlichen bei der Erfüllung der Rechte der betroffenen Personen (Art. 12-22 DSGVO), insbesondere:

• Auskunft über gespeicherte Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung personenbezogener Daten (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit in maschinenlesbarem Format (Art. 20)
• Widerspruch gegen die Verarbeitung (Art. 21)

Anfragen sind primär an den Verantwortlichen zu richten. Wendet sich eine betroffene Person direkt an den AV, leitet dieser die Anfrage innerhalb von 7 Tagen an den Verantwortlichen weiter und benachrichtigt die betroffene Person.

§ 9 Datenschutz-Folgenabschätzung; vorherige Konsultation

Soweit erforderlich, unterstützt der AV den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) sowie bei einer ggf. erforderlichen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO). Der hierfür erforderliche zumutbare Aufwand wird vom AV unentgeltlich erbracht, soweit es sich um die Standard-Plattform-Konfiguration handelt.

§ 10 Kontroll- und Auditrechte

(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der Pflichten des AV aus diesem Vertrag zu überzeugen (Art. 28 Abs. 3 Buchst. h DSGVO).

(2) Die Überprüfung kann erfolgen durch:

• schriftliche Auskunft des AV (Standardweg)
• Einsicht in die Anlagen 1 (TOM) und 2 (Sub-AV) sowie deren Aktualisierungen
• Vorlage geeigneter Zertifikate oder Audit-Berichte (z. B. ISO 27001, falls vorhanden) — derzeit nicht vorhanden
• im Einzelfall Vor-Ort-Kontrolle (mit angemessener Vorankündigung von mindestens 14 Tagen, höchstens einmal pro Kalenderjahr, außer bei begründetem Anlass)

(3) Bei Vor-Ort-Kontrollen entstehende Aufwendungen trägt der Verantwortliche, sofern die Kontrolle ohne wesentliche Beanstandung verläuft.

§ 11 Geheimhaltung

Beide Parteien verpflichten sich, alle im Rahmen dieses Vertrags bekannt werdenden vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse vertraulich zu behandeln und nur für die Zwecke dieses Vertrags zu verwenden. Diese Verpflichtung besteht auch nach Beendigung des Vertrags für 3 Jahre fort.

§ 12 Beendigung des Vertrags

(1) Ordentliche Kündigung: Beide Parteien können den Vertrag mit einer Frist von 30 Tagen zum Monatsende in Textform kündigen.

(2) Außerordentliche Kündigung: Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt. Wichtige Gründe für den Verantwortlichen sind insbesondere:

• schwerwiegende oder wiederholte Verstöße des AV gegen diesen Vertrag oder gegen Datenschutzvorschriften
• Verweigerung der Zusammenarbeit bei Auditrechten (§ 10)
• Insolvenz des AV oder vergleichbare wirtschaftliche Lage, die die ordnungsgemäße Vertragserfüllung gefährdet

§ 13 Datenrückgabe und Löschung

(1) Bei Beendigung dieses Vertrags hat der Verantwortliche die Wahl zwischen

• Rückgabe der personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON-Export), oder
• Löschung der Daten

Die Wahl ist dem AV in Textform mitzuteilen. Trifft der Verantwortliche keine Wahl, erfolgt die Löschung.

(2) Der AV löscht die personenbezogenen Daten spätestens 30 Tage nach Beendigung des Vertrags vollständig und unwiederbringlich (Hard-Delete des Tenants einschließlich aller Subtabellen, FK-Cascade). Die Löschung umfasst auch Backups, sobald diese im normalen Backup-Rotations- Zyklus überschrieben werden (max. 30 Tage zusätzlich).

(3) Audit-Log-Einträge werden gemäß ihrer regulären Aufbewahrungsfrist (90 Tage) gelöscht — auch wenn dies über die 30-Tage-Frist hinausgeht. Dies ist gesetzlich gerechtfertigt (berechtigtes Interesse an Sicherheits-Forensik, Art. 6 Abs. 1 Buchst. f DSGVO).

(4) Der AV bestätigt die Löschung dem Verantwortlichen schriftlich.

§ 14 Haftung; Eigenverantwortung des Verantwortlichen für Datensicherung

(1) Charakter der Leistung. Der AV stellt die Plattform unentgeltlich als Schenkung i. S. d. § 516 BGB zur Verfügung. Auf das Vertragsverhältnis findet § 521 BGB entsprechende Anwendung: Der AV hat nur Vorsatz und grobe Fahrlässigkeit zu vertreten. Dem Verantwortlichen ist bekannt, dass es sich um ein hobbymäßig betriebenes Single-Server-System ohne SLA, ohne garantierte Verfügbarkeit und ohne Wartungsfenster-Kommunikation handelt.

(2) Haftungsbeschränkung. In Erweiterung und Präzisierung von Absatz (1) gilt:

• Bei einfacher Fahrlässigkeit ist die Haftung des AV ausgeschlossen — auch bezüglich Datenverlust, Datenkorruption und Betriebsunterbrechung. Eine Haftung bleibt nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten); sie ist in diesem Fall der Höhe nach auf den vertragstypischen, vorhersehbaren Schaden begrenzt.
• Bei Vorsatz und grober Fahrlässigkeit haftet der AV unbeschränkt — das ist gesetzlich nicht abdingbar (§ 309 Nr. 7 BGB).
• Bei Verletzung von Leben, Körper oder Gesundheit, bei arglistig verschwiegenen Mängeln und bei Ansprüchen nach dem Produkthaftungsgesetz haftet der AV nach den gesetzlichen Vorschriften unbeschränkt — auch dies ist nicht abdingbar.

(3) Höchstbetrag. Soweit eine Haftung nach Absatz (2) nicht zwingend gesetzlich unbeschränkt ist, ist die Haftung des AV der Höhe nach auf 100 EUR pro Schadensereignis und insgesamt auf 500 EUR pro Vertragsjahr begrenzt. Diese Begrenzung trägt dem unentgeltlichen Charakter der Leistung Rechnung.

(4) Datensicherung in der Verantwortung des Vereins. Der Verantwortliche ist verpflichtet, von für ihn wesentlichen Daten regelmäßig eigene Sicherungskopien in einem seinem Risiko angemessenen Turnus anzufertigen. Der AV stellt hierfür einen Datenexport auf Anfrage bereit. Bei Verletzung dieser Mitwirkungspflicht trifft den Verantwortlichen ein überwiegendes Mitverschulden; eine Haftung des AV für Datenverlust ist in solchen Fällen ausgeschlossen, soweit gesetzlich zulässig.

(5) Konkret nicht abgedeckte Risiken. Der AV haftet ausdrücklich nicht für Schäden, die entstehen durch:

• Hardware-Ausfälle des Hosting-Anbieters (IONOS SE) oder seiner Sub-Lieferanten
• Angriffe Dritter auf die Plattform (DDoS, Hacking, Ransomware), soweit sie nicht durch grobe Fahrlässigkeit des AV ermöglicht wurden
• Höhere Gewalt (Naturkatastrophen, Stromausfall im Rechenzentrum, behördliche Anordnungen, Krieg, Pandemie)
• Ausfall externer Datenquellen (OGN, Open-Meteo, aviationweather.gov etc.)
• Ausfälle der Internet-Verbindung des Verantwortlichen oder der Endnutzer
• Software-Bugs, soweit sie nicht durch grobe Fahrlässigkeit in das System eingeführt wurden
• Datenverlust durch versehentliche Löschung durch Vereinsmitglieder mit Admin-Rechten

(6) Verhältnis zur DSGVO-Außenhaftung. Die gesamtschuldnerische Haftung beider Parteien gegenüber betroffenen Personen gemäß Art. 82 DSGVO kann vertraglich nicht ausgeschlossen werden und bleibt von den vorstehenden Regelungen unberührt. Im Innenverhältnis gilt die Haftungsteilung nach Verschulden (Art. 82 Abs. 4 und 5 DSGVO). Der Verantwortliche hat den AV insoweit von Ansprüchen Dritter freizuhalten, als der Schaden in seinem Verantwortungsbereich entstanden ist (z. B. unzureichende Aufklärung der eigenen Mitglieder gemäß Art. 13/14 DSGVO).

(7) Verjährung. Schadensersatzansprüche gegen den AV verjähren mit Ablauf von einem Jahr, soweit keine längere gesetzliche Verjährungsfrist zwingend vorgeschrieben ist. Die Frist beginnt mit Ablauf des Jahres, in dem der Verantwortliche von dem Schaden und der Person des Schädigers Kenntnis erlangt hat.

§ 15 Schlussbestimmungen

1. Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform; Textform (z. B. E-Mail) genügt. Dies gilt auch für eine Änderung dieser Schriftformklausel.
2. Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlich und rechtlich Gewollten am nächsten kommt.
3. Im Falle eines Widerspruchs zwischen diesem Vertrag und anderen vertraglichen Regelungen zwischen den Parteien geht dieser Vertrag in Bezug auf die Auftragsverarbeitung vor.
4. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
5. Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist — soweit gesetzlich zulässig — der Sitz des AV (Berg, Bayern).