Vereinbarung zur Auftragsverarbeitung (AVV)
Stand: 29. Juni 2026
Hinweis: Diese deutsche Fassung wurde unter Berücksichtigung der deutschen und österreichischen Vertragspraxis erstellt. Im Falle von Widersprüchen zwischen den Sprachfassungen ist die englische Fassung maßgeblich.
Diese Vereinbarung zur Auftragsverarbeitung („AVV“) regelt die Verarbeitung personenbezogener Daten durch Pistio im Auftrag von Organisationen, die den Dienst Moimio nutzen.
Sie ergänzt die in den Moimio-Nutzungsbedingungen enthaltenen datenschutzrechtlichen Regelungen und konkretisiert die Rechte und Pflichten der Vertragsparteien im Sinne von Artikel 28 der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) sowie der UK GDPR. Soweit diese AVV Regelungen zur Verarbeitung personenbezogener Daten enthält, gehen diese Regelungen den allgemeinen Bestimmungen der Moimio-Nutzungsbedingungen vor.
Für die überwiegende Zahl der Kunden genügt die bei Vertragsschluss akzeptierte elektronische Fassung dieser AVV. Organisationen, deren interne Compliance-Vorgaben oder regulatorische Anforderungen eine gesondert unterzeichnete Vereinbarung verlangen, können auf Anfrage eine von Pistio gegengezeichnete PDF-Fassung erhalten.
Diese AVV ist Bestandteil der vertraglichen Vereinbarung zwischen
(1) dem Kunden, der Organisation, die einen Moimio-Account führt (nachfolgend „Verantwortlicher“),
und
(2) Pistio, einem im Vereinigten Königreich gegründeten und dort niedergelassenen Einzelunternehmen mit Geschäftssitz in 66 Paul Street, London EC2A 4NA, registriert beim Information Commissioner's Office (ICO) unter der Registrierungsnummer ZC158582 (nachfolgend „Auftragsverarbeiter“),
und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung und dem Betrieb von Moimio Hosted.
1. Begriffsbestimmungen
1.1 Die Begriffe „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ sowie „Verletzung des Schutzes personenbezogener Daten“ haben die Bedeutung, die ihnen nach der DSGVO, der UK GDPR sowie, soweit auf die jeweilige Verarbeitung anwendbar, nach sonstigem Anwendbaren Datenschutzrecht zukommt.
Soweit ein außerhalb des europäischen Rechtsraums geltendes Datenschutzgesetz für die Verarbeitung maßgeblich ist und hierfür abweichende Begrifflichkeiten verwendet, gelten diese Begriffe als funktional entsprechend. Dies betrifft insbesondere Datenschutzgesetze einzelner Bundesstaaten der Vereinigten Staaten von Amerika sowie sonstige außereuropäische Datenschutzgesetze.
1.2 „Anwendbares Datenschutzrecht“ bezeichnet sämtliche Datenschutzgesetze, die auf die jeweilige Verarbeitung personenbezogener Daten Anwendung finden. Hierzu gehören insbesondere
a) die Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“),
b) die UK GDPR einschließlich des Data Protection Act 2018,
c) soweit einschlägig, Datenschutzgesetze einzelner Bundesstaaten der Vereinigten Staaten,
d) der Australian Privacy Act 1988 (Cth) einschließlich der Australian Privacy Principles, sowie
e) alle sonstigen Datenschutzgesetze, die auf die jeweilige Verarbeitung personenbezogener Daten Anwendung finden.
2. Gegenstand, Art, Zweck und Dauer der Verarbeitung
2.1 Gegenstand der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen, soweit dies zur Bereitstellung und zum Betrieb von Moimio Hosted erforderlich ist.
Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen und zu keinem anderen Zweck.
2.2 Art der Verarbeitung
Die Verarbeitung kann insbesondere folgende Verarbeitungsvorgänge umfassen:
- Erheben,
- Erfassen,
- Organisieren,
- Ordnen,
- Speichern,
- Anpassen oder Aktualisieren,
- Auslesen,
- Verwenden,
- Offenlegen durch Übermittlung, Bereitstellung oder sonstige zulässige Übermittlung,
- Abgleichen,
- Einschränken,
- Löschen sowie
- Vernichten personenbezogener Daten,
soweit dies zur Erbringung des Dienstes erforderlich ist.
2.3 Zweck der Verarbeitung
Die Verarbeitung dient ausschließlich der Bereitstellung von Moimio Hosted als Software zur Verwaltung von Veranstaltungen. Hierzu gehören insbesondere
- die Verwaltung von Veranstaltungen,
- die Registrierung von Teilnehmern,
- die Verwaltung von Anmeldungen,
- die Einteilung von Teilnehmern in Zimmer, Gruppen und Teams entsprechend den Vorgaben des Verantwortlichen,
- die Bereitstellung administrativer Funktionen für Organisatoren,
- die Durchführung der hierfür erforderlichen technischen Betriebs-, Sicherungs- und Wartungsmaßnahmen.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für eigene Zwecke.
2.4 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen den Parteien beziehungsweise solange personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen von Moimio Hosted verarbeitet werden.
Die Rückgabe und Löschung personenbezogener Daten nach Beendigung der Verarbeitung richtet sich nach Abschnitt 7 dieser AVV.
3. Weisungen des Verantwortlichen
3.1 Verarbeitung ausschließlich auf Weisung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht aufgrund einer gesetzlichen Verpflichtung zur Verarbeitung verpflichtet ist.
Als dokumentierte Weisungen gelten insbesondere
- diese Vereinbarung zur Auftragsverarbeitung,
- die Moimio-Nutzungsbedingungen,
- die Konfiguration und Nutzung von Moimio Hosted durch den Verantwortlichen,
- sowie weitere vom Verantwortlichen in Textform oder über die hierfür vorgesehenen Funktionen des Dienstes erteilte Weisungen.
Soweit der Auftragsverarbeiter aufgrund einer gesetzlichen Verpflichtung zur Verarbeitung personenbezogener Daten verpflichtet ist, informiert er den Verantwortlichen hierüber vor der Verarbeitung, sofern das betreffende Gesetz eine solche Mitteilung nicht untersagt.
3.2 Hinweis auf rechtswidrige Weisungen
Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen Anwendbares Datenschutzrecht verstößt, weist er den Verantwortlichen hierauf unverzüglich hin.
Bis zur Klärung der Weisung ist der Auftragsverarbeiter berechtigt, deren Ausführung auszusetzen, soweit dies erforderlich ist, um einen Verstoß gegen Anwendbares Datenschutzrecht zu vermeiden.
3.3 Keine Verarbeitung zu eigenen Zwecken
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erfüllung der vertraglich geschuldeten Leistungen.
Er verwendet personenbezogene Daten weder für eigene Zwecke noch gibt er sie für eigene Zwecke an Dritte weiter.
Insbesondere erfolgt keine Nutzung personenbezogener Daten zu Werbezwecken, zur Erstellung eigener Nutzungsprofile oder zur Entwicklung eigener Produkte.
4. Pflichten des Auftragsverarbeiters
4.1 Allgemeine Pflichten
Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich im Rahmen dieser AVV, der Moimio-Nutzungsbedingungen sowie der dokumentierten Weisungen des Verantwortlichen zu verarbeiten und hierbei die Anforderungen des Anwendbaren Datenschutzrechts einzuhalten.
Der Auftragsverarbeiter trifft die nach dem Stand der Technik geeigneten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen.
4.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sämtliche mit der Verarbeitung personenbezogener Daten befassten Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Zugang zu personenbezogenen Daten wird auf diejenigen Personen beschränkt, deren Kenntnis zur Erfüllung der vertraglich geschuldeten Leistungen erforderlich ist.
Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der jeweiligen Tätigkeit fort.
4.3 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung sowie der ihm zur Verfügung stehenden Informationen in angemessenem Umfang bei der Erfüllung seiner datenschutzrechtlichen Pflichten.
Dies umfasst insbesondere die Unterstützung bei
- der Wahrnehmung der Rechte betroffener Personen,
- der Sicherheit der Verarbeitung,
- der Meldung und Behandlung von Verletzungen des Schutzes personenbezogener Daten,
- Datenschutz-Folgenabschätzungen,
- gegebenenfalls erforderlichen Konsultationen mit zuständigen Datenschutzaufsichtsbehörden.
4.4 Sicherheitsmaßnahmen
Der Auftragsverarbeiter setzt die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen um und überprüft diese regelmäßig.
Er ist berechtigt, diese Maßnahmen entsprechend dem technischen Fortschritt oder geänderten Sicherheitsanforderungen weiterzuentwickeln, sofern hierdurch das Schutzniveau für die personenbezogenen Daten nicht verringert wird.
4.5 Nachweis der Einhaltung
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser AVV nachzuweisen.
Soweit erforderlich, ermöglicht der Auftragsverarbeiter Audits nach Maßgabe von Abschnitt 8 dieser AVV.
5. Unterauftragsverarbeiter
5.1 Allgemeine Genehmigung
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die in Anlage 3 aufgeführten Unterauftragsverarbeiter einzusetzen.
Die jeweils aktuelle Liste der Unterauftragsverarbeiter wird Bestandteil dieser AVV und vom Auftragsverarbeiter fortlaufend gepflegt.
5.2 Auswahl und Verpflichtung
Der Auftragsverarbeiter setzt ausschließlich Unterauftragsverarbeiter ein, die hinreichende Garantien dafür bieten, geeignete technische und organisatorische Maßnahmen so umzusetzen, dass die Verarbeitung den Anforderungen des Anwendbaren Datenschutzrechts entspricht und die Rechte betroffener Personen gewahrt bleiben.
Jeder Unterauftragsverarbeiter wird durch einen schriftlichen Vertrag zu Datenschutzpflichten verpflichtet, die den Verpflichtungen aus dieser AVV im Wesentlichen entsprechen.
Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Erfüllung der datenschutzrechtlichen Verpflichtungen des jeweiligen Unterauftragsverarbeiters verantwortlich.
5.3 Änderungen der Unterauftragsverarbeiter
Beabsichtigt der Auftragsverarbeiter, einen neuen Unterauftragsverarbeiter einzusetzen oder einen bestehenden Unterauftragsverarbeiter zu ersetzen, informiert er den Verantwortlichen hierüber spätestens 30 Tage vor dem beabsichtigten Einsatz.
Die Information erfolgt in geeigneter Weise, insbesondere
- per E-Mail,
- über den Kundenbereich,
- oder durch Aktualisierung der in Anlage 3 genannten Liste.
5.4 Widerspruchsrecht
Der Verantwortliche kann einer beabsichtigten Änderung innerhalb von 30 Tagen nach Zugang der Mitteilung widersprechen, sofern hierfür berechtigte datenschutzrechtliche Gründe bestehen.
Die Parteien werden sich bemühen, eine angemessene Lösung zu finden.
Kann der Auftragsverarbeiter den berechtigten Einwänden des Verantwortlichen nicht in angemessener Weise Rechnung tragen, ist der Verantwortliche berechtigt, den von der Änderung betroffenen Teil der Leistungen außerordentlich zu kündigen.
6. Verletzungen des Schutzes personenbezogener Daten
6.1 Benachrichtigung
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die personenbezogene Daten betrifft, welche der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet.
6.2 Inhalt der Mitteilung
Soweit dem Auftragsverarbeiter die entsprechenden Informationen bereits vorliegen, umfasst die Mitteilung insbesondere
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,
- soweit möglich die betroffenen Kategorien personenbezogener Daten sowie die ungefähre Anzahl der betroffenen Personen und Datensätze,
- die voraussichtlichen Folgen der Verletzung,
- die vom Auftragsverarbeiter bereits ergriffenen oder vorgesehenen Maßnahmen zur Eindämmung, Behebung und Minderung möglicher nachteiliger Auswirkungen.
Soweit einzelne Informationen zum Zeitpunkt der Erstmitteilung noch nicht vorliegen, werden diese unverzüglich nachgereicht, sobald sie verfügbar sind.
6.3 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter trifft angemessene Maßnahmen zur Eindämmung der Datenschutzverletzung und unterstützt den Verantwortlichen in angemessenem Umfang bei der Erfüllung seiner gesetzlichen Pflichten nach dem Anwendbaren Datenschutzrecht.
Dies umfasst insbesondere die Bereitstellung der Informationen, die der Verantwortliche benötigt, um seinen Melde- und Benachrichtigungspflichten gegenüber Datenschutzaufsichtsbehörden und betroffenen Personen nachzukommen.
6.4 Kommunikation gegenüber Behörden und betroffenen Personen
Der Auftragsverarbeiter wird ohne vorherige Abstimmung mit dem Verantwortlichen keine Mitteilung über eine Datenschutzverletzung an betroffene Personen oder Datenschutzaufsichtsbehörden abgeben, soweit er hierzu nicht gesetzlich verpflichtet ist.
Besteht eine gesetzliche Verpflichtung zur unmittelbaren Mitteilung, wird der Auftragsverarbeiter den Verantwortlichen hierüber unverzüglich informieren, soweit ihm dies rechtlich gestattet ist.
7. Rückgabe und Löschung personenbezogener Daten
7.1 Datenexport während der Vertragslaufzeit
Der Verantwortliche kann personenbezogene Daten während der Vertragslaufzeit jederzeit unter Verwendung der hierfür vorgesehenen Funktionen von Moimio Hosted exportieren oder löschen.
7.2 Rückgabe nach Vertragsende
Nach Beendigung des Accounts stellt der Auftragsverarbeiter dem Verantwortlichen sämtliche Teilnehmerdaten für einen Zeitraum von 30 Tagen über einen sicheren, zeitlich begrenzten Download-Link zum Export bereit.
Mit der Bereitstellung dieses Exports gilt die Verpflichtung zur Rückgabe personenbezogener Daten im Sinne von Artikel 28 Absatz 3 Buchstabe g DSGVO als erfüllt.
7.3 Endgültige Löschung
Wird der Account innerhalb dieses Zeitraums nicht reaktiviert, löscht der Auftragsverarbeiter den Workspace sowie sämtliche darin enthaltenen personenbezogenen Daten spätestens innerhalb von 44 Tagen nach Beendigung des Accounts dauerhaft.
Die Löschung umfasst insbesondere
- die Produktivdatenbank,
- bereitgestellte Exportdateien,
- sowie sämtliche diesem Workspace zugeordneten Sicherungskopien.
7.4 Routinemäßige Sicherungskopien
Werden lediglich einzelne Veranstaltungen gelöscht, erfolgt die Entfernung der zugehörigen personenbezogenen Daten zunächst aus den Produktivsystemen.
Verbleiben Daten vorübergehend in routinemäßigen Sicherungskopien, werden diese automatisch gelöscht, sobald die jeweilige Sicherung entsprechend den geltenden Aufbewahrungsfristen überschrieben wird.
7.5 Sofortige Löschung bei Rückerstattung
Erfolgt eine vollständige Rückerstattung entsprechend der Erstattungs- und Stornierungsrichtlinie, werden der betreffende Account sowie sämtliche hierzu gehörenden personenbezogenen Daten unverzüglich gelöscht.
7.6 Verbleibende Informationen
Nach Abschluss der Löschung verbleiben ausschließlich diejenigen Informationen, deren Aufbewahrung aus technischen oder gesetzlichen Gründen erforderlich ist.
Hierzu gehören insbesondere
- technische Nachweise über die Löschung des Workspaces,
- interne Systemkennungen ohne Personenbezug,
- sowie steuer- und handelsrechtlich erforderliche Zahlungsunterlagen, soweit diese durch den Merchant of Record verarbeitet und aufbewahrt werden.
Eine darüber hinausgehende Speicherung personenbezogener Daten erfolgt nicht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
8. Nachweis der Einhaltung und Auditrechte
8.1 Nachweis der Einhaltung
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage sämtliche Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser AVV sowie der Anforderungen des Anwendbaren Datenschutzrechts nachzuweisen.
8.2 Audits und Inspektionen
Der Verantwortliche ist berechtigt, die Einhaltung dieser AVV durch Audits oder Inspektionen selbst oder durch einen zur Vertraulichkeit verpflichteten unabhängigen Dritten überprüfen zu lassen.
Der Auftragsverarbeiter unterstützt solche Audits in angemessenem Umfang.
Audits unterliegen folgenden Voraussetzungen:
a) sie werden mindestens 30 Tage vor ihrem geplanten Beginn schriftlich angekündigt;
b) sie finden grundsätzlich während der üblichen Geschäftszeiten statt;
c) sie dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen;
d) sie erfolgen höchstens einmal innerhalb eines Zeitraums von zwölf Monaten, sofern nicht eine Datenschutzverletzung, eine Anordnung einer zuständigen Datenschutzaufsichtsbehörde oder sonstige zwingende gesetzliche Gründe eine weitergehende Prüfung erforderlich machen;
e) der Verantwortliche sowie beauftragte Prüfer sind zur Vertraulichkeit verpflichtet und haben angemessene Maßnahmen zum Schutz der Geschäfts- und Betriebsgeheimnisse des Auftragsverarbeiters zu treffen;
f) Audits sind so durchzuführen, dass weder personenbezogene Daten noch Systeme anderer Kunden offengelegt oder beeinträchtigt werden.
8.3 Nachweis durch vorhandene Prüfunterlagen
Der Auftragsverarbeiter ist berechtigt, ein Audit ganz oder teilweise dadurch zu erfüllen, dass er geeignete Nachweise über seine Datenschutz- und Sicherheitsmaßnahmen zur Verfügung stellt.
Hierzu können insbesondere gehören:
- aktuelle Dokumentationen,
- Zertifizierungen,
- Prüfberichte unabhängiger Dritter,
- Sicherheitsnachweise,
- Nachweise der technischen und organisatorischen Maßnahmen.
Soweit diese Unterlagen den berechtigten Informationsbedarf des Verantwortlichen angemessen erfüllen, kann der Auftragsverarbeiter deren Bereitstellung anstelle einer Vor-Ort-Prüfung verlangen.
8.4 Kosten
Die angemessenen Kosten eines vom Verantwortlichen veranlassten Vor-Ort-Audits trägt der Verantwortliche, soweit die Prüfung keinen erheblichen Verstoß des Auftragsverarbeiters gegen diese AVV oder gegen Anwendbares Datenschutzrecht aufdeckt.
9. Internationale Datenübermittlungen
9.1 Verarbeitung innerhalb Europas
Die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten werden grundsätzlich innerhalb der Europäischen Union, insbesondere in Deutschland, gespeichert und verarbeitet.
Der Auftragsverarbeiter ist im Vereinigten Königreich niedergelassen und greift von dort aus auf personenbezogene Daten zu, soweit dies für den Betrieb, die Wartung, den Support oder die Sicherheit von Moimio Hosted erforderlich ist.
9.2 Datenübermittlungen zwischen dem Vereinigten Königreich und dem Europäischen Wirtschaftsraum
Personenbezogene Daten können im Rahmen der Leistungserbringung zwischen dem Vereinigten Königreich und dem Europäischen Wirtschaftsraum übermittelt werden.
Diese Datenübermittlungen erfolgen derzeit auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission für das Vereinigte Königreich sowie der entsprechenden Anerkennung des Europäischen Wirtschaftsraums durch das Vereinigte Königreich.
Solange diese Angemessenheitsbeschlüsse bestehen, sind für diese Datenübermittlungen keine zusätzlichen Garantien nach Kapitel V DSGVO erforderlich.
Sollte eine dieser Rechtsgrundlagen künftig entfallen oder ihre Gültigkeit verlieren, werden die Parteien unverzüglich geeignete Garantien nach Kapitel V DSGVO vereinbaren, insbesondere die Standardvertragsklauseln der Europäischen Kommission oder sonstige nach dem Anwendbaren Datenschutzrecht zulässige Übermittlungsinstrumente.
9.3 Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums
Soweit einzelne Unterauftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums oder des Vereinigten Königreichs verarbeiten, erfolgt dies ausschließlich unter Einhaltung der Anforderungen des Anwendbaren Datenschutzrechts.
Der Auftragsverarbeiter stellt sicher, dass für sämtliche derartigen Datenübermittlungen geeignete Garantien bestehen. Hierzu gehören insbesondere
- Angemessenheitsbeschlüsse,
- Standardvertragsklauseln,
- das UK International Data Transfer Addendum,
- oder sonstige nach dem Anwendbaren Datenschutzrecht zulässige Übermittlungsmechanismen.
Einzelheiten zu den eingesetzten Unterauftragsverarbeitern ergeben sich aus Anlage 3.
9.4 Cloudflare
Cloudflare wird ausschließlich für DNS-Dienste sowie für die Bereitstellung der öffentlichen Website eingesetzt.
Der Datenverkehr zwischen den Browsern der Nutzer und Moimio Hosted wird nicht über Cloudflare geleitet.
Personenbezogene Daten der Teilnehmer werden daher im Rahmen der Nutzung von Moimio Hosted nicht über Cloudflare verarbeitet oder übertragen.
9.5 Merchant of Record
Paddle verarbeitet Zahlungs- und Abrechnungsdaten als eigenständig Verantwortlicher im Rahmen seiner gesetzlichen und vertraglichen Verpflichtungen als Merchant of Record.
Diese Verarbeitung erfolgt außerhalb des Anwendungsbereichs dieser AVV.
10. Vertreter nach der DSGVO und UK GDPR
10.1 Niederlassung im Vereinigten Königreich
Der Auftragsverarbeiter ist im Vereinigten Königreich niedergelassen.
Eine Benennung eines Vertreters nach Artikel 27 der UK GDPR ist daher nicht erforderlich.
10.2 Vertreter in der Europäischen Union
Soweit der Auftragsverarbeiter nach Artikel 27 DSGVO verpflichtet ist, einen Vertreter innerhalb der Europäischen Union zu benennen, hat er folgenden Vertreter bestellt:
Prighter Group mit ihren lokalen Partnern
Betroffene Personen sowie Datenschutzaufsichtsbehörden innerhalb der Europäischen Union können den Vertreter in allen Angelegenheiten kontaktieren, die die Verarbeitung personenbezogener Daten im Zusammenhang mit Moimio Hosted betreffen.
Die Kontaktaufnahme erfolgt über das Trust Center von Pistio:
https://app.prighter.com/portal/12350102426
10.3 Kontakt zum Auftragsverarbeiter
Unabhängig von der Benennung eines Vertreters können sich Verantwortliche jederzeit unmittelbar an den Auftragsverarbeiter wenden.
Datenschutzrechtliche Anfragen können an folgende E-Mail-Adresse gerichtet werden: [email protected]
11. Haftung
11.1 Haftung
Die Haftung der Parteien im Zusammenhang mit dieser AVV richtet sich nach den Haftungsregelungen der Moimio-Nutzungsbedingungen.
Zwingende Haftungsvorschriften des Anwendbaren Datenschutzrechts sowie sonstiger zwingender gesetzlicher Vorschriften bleiben unberührt.
11.2 Zwingende gesetzliche Haftung
Keine Bestimmung dieser AVV beschränkt oder schließt eine Haftung aus, soweit eine solche Beschränkung oder ein solcher Ausschluss nach dem jeweils anwendbaren Recht unzulässig ist.
Dies gilt insbesondere für gesetzlich nicht abdingbare Haftungstatbestände nach der DSGVO sowie nach sonstigem zwingendem Recht.
12. Freistellung durch den Verantwortlichen
(1) Der Verantwortliche stellt den Auftragsverarbeiter von (i) Ansprüchen Dritter, einschließlich Ansprüchen betroffener Personen, (ii) angemessenen Kosten und Aufwendungen einschließlich angemessener Rechtsverfolgungs- und Verteidigungskosten im Zusammenhang mit der Abwehr solcher Ansprüche oder mit Untersuchungen oder Verfahren einer Datenschutzaufsichtsbehörde sowie (iii) soweit gesetzlich zulässig gegen den Auftragsverarbeiter verhängten Geldbußen oder vergleichbaren behördlichen Sanktionen frei, soweit diese jeweils darauf beruhen, dass
a) für die personenbezogenen Daten oder deren Verarbeitung über Moimio Hosted keine rechtmäßige Rechtsgrundlage oder, soweit erforderlich, keine wirksame Einwilligung oder sonstige gesetzlich erforderliche Voraussetzung bestand, auf die sich der Verantwortliche stützt;
b) personenbezogene Daten durch den Verantwortlichen oder in dessen Auftrag unter Verstoß gegen Anwendbares Datenschutzrecht oder unter Verletzung von Rechten Dritter in Moimio Hosted eingestellt, hochgeladen oder auf sonstige Weise über den Dienst bereitgestellt wurden;
c) der Verantwortliche eine Weisung erteilt hat, deren Ausführung durch den Auftragsverarbeiter gegen Anwendbares Datenschutzrecht verstoßen würde; dies gilt jedoch nicht, soweit der Auftragsverarbeiter erkannt hat oder erkennen musste, dass die Weisung gegen Anwendbares Datenschutzrecht verstößt, und den Verantwortlichen entgegen Abschnitt 3.2 hierauf nicht unverzüglich hingewiesen hat; oder
d) der Verantwortliche gegen eigene gesetzliche Pflichten zum Schutz von Kindern oder Jugendlichen oder gegen arbeitsrechtliche oder ehrenamtsbezogene Pflichten verstoßen hat, soweit dieser Verstoß im Zusammenhang mit den personenbezogenen Daten oder der Nutzung von Moimio Hosted steht.
(2) Die Freistellung nach Absatz (1) gilt nicht, soweit und in dem Umfang der betreffende Schaden auf einer schuldhaften Verletzung dieser AVV oder auf einem sonstigen Verschulden des Auftragsverarbeiters beruht.
(3) Die Freistellung setzt voraus, dass der Auftragsverarbeiter
a) den Verantwortlichen unverzüglich nach Kenntniserlangung über den betreffenden Anspruch informiert,
b) den Anspruch ohne vorherige schriftliche Zustimmung des Verantwortlichen, die nicht unbillig verweigert oder verzögert werden darf, weder anerkennt noch durch Vergleich oder auf sonstige Weise erledigt,
c) dem Verantwortlichen auf dessen Kosten alle angemessenen Informationen und die erforderliche Unterstützung zur Verfügung stellt sowie
d) angemessene Maßnahmen zur Schadensminderung trifft.
Der Verantwortliche ist berechtigt, durch schriftliche Mitteilung die Führung der Rechtsverteidigung sowie Vergleichsverhandlungen zu übernehmen. Er darf einen Anspruch jedoch nicht in einer Weise anerkennen oder beilegen, durch die dem Auftragsverarbeiter eine nicht von der Freistellung erfasste Haftung oder ein Schuldanerkenntnis ohne dessen vorherige schriftliche Zustimmung auferlegt wird.
13. Anwendbares Recht und Schlussbestimmungen
13.1 Anwendbares Recht
Diese AVV unterliegt dem Recht von England und Wales, soweit nicht zwingende Vorschriften des Anwendbaren Datenschutzrechts oder sonstigen zwingenden Rechts entgegenstehen.
13.2 Gerichtsstand
Soweit gesetzlich zulässig und sofern zwischen den Parteien nichts Abweichendes vereinbart wurde, gelten die Gerichtsstandsregelungen der Moimio-Nutzungsbedingungen.
13.3 Sprachfassungen
Diese AVV wird in mehreren Sprachfassungen bereitgestellt.
Im Falle von Widersprüchen oder Auslegungsunterschieden zwischen den Sprachfassungen ist die englische Fassung maßgeblich.
13.4 Fortgeltung bei Teilunwirksamkeit
Sollten einzelne Bestimmungen dieser AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt eine Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen oder undurchführbaren Bestimmung rechtlich möglichst nahekommt, soweit eine solche ergänzende Vertragsauslegung nach dem anwendbaren Recht zulässig ist.
Entsprechendes gilt für etwaige Vertragslücken.
Anlage 1: Beschreibung der Verarbeitung
1. Gegenstand der Verarbeitung
Diese Anlage konkretisiert den Gegenstand, die Art, den Zweck sowie den Umfang der Verarbeitung personenbezogener Daten gemäß Artikel 28 Absatz 3 DSGVO.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung und zum Betrieb von Moimio Hosted als cloudbasierte Software zur Organisation und Verwaltung von Veranstaltungen.
2. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt insbesondere zur
- Verwaltung von Veranstaltungen,
- Verwaltung von Organisatoren und Administratoren,
- Erfassung und Verwaltung von Teilnehmern,
- Durchführung von Anmeldungen,
- Einteilung von Teilnehmern in Zimmer, Gruppen und Teams,
- Bereitstellung administrativer Funktionen,
- Durchführung technischer Betriebs-, Wartungs- und Sicherungsmaßnahmen,
- Bearbeitung von Supportanfragen,
- Sicherstellung der Systemsicherheit.
Eine Verarbeitung zu eigenen Zwecken erfolgt nicht.
3. Kategorien betroffener Personen
Je nach Nutzung des Dienstes können insbesondere folgende Personengruppen betroffen sein:
- Veranstalter
- Administratoren
- Mitarbeiter des Verantwortlichen
- Teilnehmer
- Ehrenamtliche Helfer
- Referenten
- Mitarbeiter externer Dienstleister
- Notfallkontakte
- sonstige vom Verantwortlichen erfasste Personen
4. Kategorien personenbezogener Daten
Je nach Nutzung von Moimio Hosted können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:
Stammdaten
- Vor- und Nachname
- Geschlecht
- Geburtsdatum
- Anschrift
- E-Mail-Adresse
- Telefonnummer
- Sprache
- Staatsangehörigkeit (optional)
- Gemeinde oder Organisation
Veranstaltungsbezogene Daten
- Teilnehmerstatus
- Zimmerwünsche
- Gruppenzugehörigkeiten
- Teamzuweisungen
- Anwesenheitsinformationen
- Anmeldedaten
- interne Organisationsdaten
Besondere Kategorien personenbezogener Daten
Soweit der Verantwortliche diese erhebt, können insbesondere folgende besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 DSGVO verarbeitet werden:
- Angaben zu Ernährung oder Verpflegung
- Allergien
- medizinische Hinweise
- Angaben zu Behinderungen oder Unterstützungsbedarf
- religiöse Angaben, soweit sie sich aus der Teilnahme an kirchlichen oder religiösen Veranstaltungen ergeben oder vom Verantwortlichen ausdrücklich erfasst werden
Die Verarbeitung dieser Daten erfolgt ausschließlich auf Weisung des Verantwortlichen.
Zugangsdaten
- Benutzername
- verschlüsselte Passwörter
- Authentifizierungsinformationen
- Protokolldaten
5. Verarbeitung besonderer Kategorien personenbezogener Daten
Der Verantwortliche entscheidet eigenverantwortlich, ob und in welchem Umfang besondere Kategorien personenbezogener Daten verarbeitet werden.
Der Auftragsverarbeiter verarbeitet diese Daten ausschließlich nach Weisung des Verantwortlichen und trifft hierfür angemessene technische und organisatorische Schutzmaßnahmen.
Anlage 2: Technische und organisatorische Maßnahmen (TOMs)
1. Allgemeines
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten sicherzustellen.
Bei der Auswahl der Maßnahmen berücksichtigt der Auftragsverarbeiter insbesondere
- den Stand der Technik,
- die Implementierungskosten,
- Art, Umfang, Umstände und Zwecke der Verarbeitung,
- sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere möglicher Risiken für die Rechte und Freiheiten natürlicher Personen.
Die nachfolgend beschriebenen Maßnahmen werden regelmäßig überprüft und entsprechend dem technischen Fortschritt fortentwickelt. Änderungen dürfen nicht zu einer Verringerung des vereinbarten Sicherheitsniveaus führen.
2. Zutrittskontrolle
Der physische Zugang zu den Servern und sonstigen Systemen, auf denen personenbezogene Daten verarbeitet werden, erfolgt in professionellen Rechenzentren innerhalb der Europäischen Union und wird durch die jeweiligen Rechenzentrumsbetreiber kontrolliert.
Die eingesetzten Rechenzentren verfügen über geeignete Maßnahmen zum Schutz gegen unbefugten Zutritt, insbesondere:
- kontrollierte Zugangssysteme,
- Videoüberwachung,
- Alarmanlagen,
- Sicherheitszonen,
- Zutrittsprotokollierung.
3. Zugangskontrolle
Der Zugriff auf Systeme mit personenbezogenen Daten erfolgt ausschließlich nach erfolgreicher Authentifizierung. Hierzu gehören insbesondere:
- individuelle Benutzerkonten,
- sichere Passwortverfahren,
- Multi-Faktor-Authentifizierung für Administratoren,
- rollenbasierte Zugriffsrechte,
- regelmäßige Überprüfung von Berechtigungen.
4. Zugriffskontrolle
Personenbezogene Daten dürfen ausschließlich von Personen verarbeitet werden, deren Zugriff zur Erfüllung ihrer jeweiligen Aufgaben erforderlich ist.
Der Zugriff erfolgt nach dem Need-to-know-Prinzip sowie auf Grundlage rollenbasierter Berechtigungskonzepte.
Administrativer Zugriff wird auf einen möglichst kleinen Personenkreis beschränkt.
5. Weitergabekontrolle
Zur Sicherstellung einer geschützten Übertragung personenbezogener Daten werden insbesondere folgende Maßnahmen eingesetzt:
- TLS-verschlüsselte Datenübertragung (HTTPS),
- verschlüsselte Verbindungen zwischen den Systemkomponenten,
- gesicherte Administrationsnetzwerke,
- Übermittlung ausschließlich an autorisierte Empfänger,
- Überprüfung eingesetzter Unterauftragsverarbeiter.
Internationale Datenübermittlungen erfolgen ausschließlich unter den Voraussetzungen des Anwendbaren Datenschutzrechts.
6. Eingabekontrolle
Soweit technisch möglich und angemessen, werden sicherheitsrelevante administrative Vorgänge protokolliert. Hierzu gehören insbesondere Audit-Protokolle administrativer Tätigkeiten sowie die Protokollierung sicherheitsrelevanter Ereignisse.
Protokolle dienen ausschließlich
- der Sicherheit,
- der Fehleranalyse,
- der Missbrauchserkennung,
- sowie der Einhaltung gesetzlicher Verpflichtungen.
7. Verfügbarkeitskontrolle
Zur Sicherstellung der Verfügbarkeit und Belastbarkeit der Systeme werden insbesondere folgende Maßnahmen umgesetzt:
- regelmäßige verschlüsselte Datensicherungen,
- redundante Infrastruktur,
- definierte Wiederherstellungsverfahren,
- Überwachung der Systemverfügbarkeit,
- Schutz vor Schadsoftware,
- Schutz vor Datenverlust.
8. Trennungskontrolle
Personenbezogene Daten verschiedener Verantwortlicher werden logisch voneinander getrennt verarbeitet.
Dies erfolgt insbesondere durch
- separate Workspaces,
- getrennte Datenbanken je Workspace,
- isolierte Container je Kunde,
- getrennte Speicherbereiche.
Jeder Workspace verarbeitet ausschließlich die Daten der jeweiligen Organisation. Ein organisationsübergreifender Zugriff auf personenbezogene Daten ist technisch ausgeschlossen.
9. Verschlüsselung
Personenbezogene Daten werden bei der Übertragung mittels aktueller TLS-Verschlüsselung geschützt.
Soweit personenbezogene Daten gespeichert werden, kommen geeignete Maßnahmen zum Schutz ruhender Daten (Data at Rest) zum Einsatz; Datensicherungen werden verschlüsselt.
Passwörter werden ausschließlich in gehashter Form gespeichert.
10. Belastbarkeit und Wiederherstellbarkeit
Die eingesetzten Systeme werden regelmäßig aktualisiert; Sicherheitsaktualisierungen werden zeitnah eingespielt und bekannte Sicherheitslücken entsprechend ihrer Risikobewertung priorisiert und behoben.
Zur Sicherstellung der Wiederherstellbarkeit personenbezogener Daten bestehen Verfahren zur regelmäßigen Datensicherung sowie zur Wiederherstellung im Falle technischer Störungen.
11. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Bei Entwicklung und Betrieb von Moimio Hosted werden die Grundsätze des Datenschutzes durch Technikgestaltung sowie datenschutzfreundlicher Voreinstellungen berücksichtigt.
Neue Funktionen werden unter Berücksichtigung datenschutzrechtlicher Anforderungen entwickelt.
12. Überprüfung der Maßnahmen
Die technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst. Dies erfolgt insbesondere
- bei technischen Änderungen,
- bei Änderungen der Bedrohungslage,
- nach sicherheitsrelevanten Vorfällen,
- im Rahmen regelmäßiger interner Überprüfungen,
- sowie durch Schwachstellenmanagement und die Überprüfung administrativer Berechtigungen.
Diese technischen und organisatorischen Maßnahmen beschreiben den Stand zum Zeitpunkt der Veröffentlichung. Sie können fortentwickelt werden, sofern das vereinbarte Schutzniveau hierdurch nicht verringert wird.
Anlage 3: Unterauftragsverarbeiter
1. Allgemeines
Der Auftragsverarbeiter setzt zur Erbringung von Moimio Hosted sorgfältig ausgewählte Unterauftragsverarbeiter ein.
Alle Unterauftragsverarbeiter werden vertraglich verpflichtet, personenbezogene Daten ausschließlich nach Weisung des Auftragsverarbeiters zu verarbeiten und angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umzusetzen.
Soweit personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, erfolgen entsprechende Datenübermittlungen ausschließlich unter Einhaltung der Anforderungen des Anwendbaren Datenschutzrechts.
2. Derzeit eingesetzte Unterauftragsverarbeiter
| Dienst | Zweck | Verarbeitungsort |
| Hetzner Online GmbH | Hosting der Produktivsysteme sowie verschlüsselte Datensicherungen (Hetzner Storage Box) | Deutschland |
| Scaleway S.A.S. | Transaktionaler E-Mail-Versand | Frankreich |
| Zoho Corporation Limited (Vereinigtes Königreich) | E-Mail-Postfach für den Kundensupport | Europäische Union |
| Cloudflare, Inc. | DNS und Bereitstellung der öffentlichen Website | Global (keine Verarbeitung von Teilnehmerdaten) |
3. Nicht als Unterauftragsverarbeiter tätige Dienstleister
Die nachfolgend genannten Unternehmen verarbeiten personenbezogene Daten eigenständig als Verantwortliche und handeln daher nicht als Unterauftragsverarbeiter im Sinne dieser AVV.
| Unternehmen | Funktion |
| Paddle.com Market Ltd. | Merchant of Record für Zahlungsabwicklung, Rechnungsstellung, Steuer- und Zahlungscompliance |
Die Verarbeitung personenbezogener Daten durch diese Unternehmen erfolgt auf Grundlage der jeweiligen eigenen Datenschutzbestimmungen und fällt nicht in den Anwendungsbereich dieser AVV.
4. Änderungen der Unterauftragsverarbeiter
Der Auftragsverarbeiter kann Unterauftragsverarbeiter hinzufügen, ersetzen oder entfernen, soweit dies für den Betrieb von Moimio Hosted erforderlich ist.
Änderungen werden dem Verantwortlichen gemäß Abschnitt 5 dieser AVV rechtzeitig mitgeteilt.
Die jeweils aktuelle Liste der Unterauftragsverarbeiter wird unter folgender Adresse veröffentlicht:
https://moimio.app/de/legal/subprocessors/
Mit Veröffentlichung einer aktualisierten Liste gilt diese Anlage entsprechend als aktualisiert.
5. Kategorien der Verarbeitung
Die Unterauftragsverarbeiter können, abhängig von ihrer jeweiligen Funktion, insbesondere folgende Verarbeitungsvorgänge durchführen:
- Hosting der Produktivsysteme,
- Datensicherung,
- Versand transaktionaler E-Mails,
- Infrastruktur- und Netzwerkdienste,
- technische Wartung,
- Sicherheitsüberwachung,
- Fehleranalyse.
Kein Unterauftragsverarbeiter ist berechtigt, personenbezogene Daten zu eigenen Zwecken zu verarbeiten.
Eine gegengezeichnete PDF-Fassung dieser Vereinbarung wird auf Anfrage bereitgestellt. Anfragen können an [email protected] gerichtet werden.