Auftragsverarbeitungsvertrag
gem. Art. 28 DSGVO
Stand: März 2026
1. Vertragsgegenstand
Dieser Auftragsverarbeitungsvertrag (AV-Vertrag) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
- Auftragsverarbeiter: Florian Albrecht, Hinter den Teichen 12, 21527 Kollow (nachfolgend "Treckly")
- Verantwortlicher: Der Veranstalter, der die Plattform Treckly zur Anmeldung von Teilnehmern nutzt (nachfolgend "Veranstalter")
Der AV-Vertrag kommt mit Kauf einer Event-Lizenz und Nutzung der Plattform zustande.
2. Gegenstand und Dauer der Verarbeitung
Treckly stellt dem Veranstalter eine webbasierte Plattform zur Registrierung von Teilnehmern an Trecker-Zugkraft-Veranstaltungen bereit. Die Verarbeitung umfasst:
- Entgegennahme und Speicherung von Anmeldedaten der Teilnehmer
- Versand von Bestätigungs- und Stornierungsmails im Namen des Veranstalters
- Bereitstellung von Verwaltungsfunktionen (Export, Ergebnisse, Zeitpläne)
Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung werden alle personenbezogenen Teilnehmerdaten innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
3. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck der Durchführung der Veranstaltungsanmeldung und der damit verbundenen Kommunikation.
4. Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Kontaktdaten: Vorname, Nachname, E-Mail-Adresse, Telefonnummer
- Adressdaten: Straße, PLZ, Ort
- Fahrzeugdaten: Kennzeichen, Marke, Baujahr
- Technische Daten: IP-Adresse (bei Anmeldung), Browser-Informationen
Sensible Daten (Kontakt- und Adressdaten) werden verschlüsselt gespeichert (AES-256-CBC).
5. Kategorien betroffener Personen
Teilnehmer an Trecker-Zugkraft-Veranstaltungen, die sich über die Plattform anmelden.
6. Pflichten des Auftragsverarbeiters
- Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Veranstalters
- Sicherstellung, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind
- Ergreifung aller erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO
- Unterstützung des Veranstalters bei der Einhaltung der Pflichten aus Art. 32-36 DSGVO
- Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung der Auftragsverarbeitung
- Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten
7. Technische und organisatorische Maßnahmen
- Verschlüsselung: Sensible Teilnehmerdaten werden mit AES-256-CBC verschlüsselt gespeichert
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Super-Admin, Event-Admin, Teilnehmer)
- Transportverschlüsselung: Alle Datenübertragungen über TLS/HTTPS
- Authentifizierung: Token-basierte API-Authentifizierung, optionale Zwei-Faktor-Authentifizierung und Passkeys
- Mandantentrennung: Strikte Datenisolation zwischen verschiedenen Veranstaltungen
- Backup: Regelmäßige, verschlüsselte Datensicherungen
8. Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter werden eingesetzt:
- ALL-INKL.COM: Hosting und E-Mail-Versand (Standort: Deutschland)
- PayPal: Zahlungsabwicklung für Event-Lizenzen (nur Veranstalterdaten, keine Teilnehmerdaten)
Der Veranstalter stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu. Über Änderungen wird der Veranstalter informiert und hat ein Widerspruchsrecht.
9. Rechte der betroffenen Personen
Treckly unterstützt den Veranstalter bei der Erfüllung von Betroffenenrechten:
- Auskunft (Art. 15): Über den Datenexport (XLSX/CSV) im Admin-Bereich
- Löschung (Art. 17): Teilnehmer können ihren Account selbst löschen; Veranstalter können Anmeldungen löschen
- Stornierung: Teilnehmer können ihre Anmeldung über den Storno-Link in der Bestätigungsmail stornieren
10. Kontakt
Bei Fragen zum AV-Vertrag oder zur Datenverarbeitung:
Florian Albrecht
E-Mail: info@treckly.app