Auftragsverarbeitungsvertrag

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch Courtly im Auftrag des Verantwortlichen im Rahmen der Nutzung der Courtly-Plattform zur Verwaltung von Sportanlagen, Buchungen, Veranstaltungen und Kursen.

Die Laufzeit des AVV entspricht der Laufzeit des Nutzungsvertrags zwischen dem Verantwortlichen und Courtly. Er endet automatisch mit der dauerhaften Löschung des Club-Kontos.

Courtly verarbeitet personenbezogene Daten ausschließlich zur Erbringung der Plattformdienstleistungen. Die Verarbeitung umfasst insbesondere:

1. Verwaltung von Court-Buchungen (Anlegen, Bestätigen, Stornieren)
2. Verwaltung von Club-Mitgliedschaften und Einladungen
3. Zahlungsabwicklung für Gast-Buchungen über Stripe Connect
4. Versand transaktionaler E-Mails (Buchungsbestätigung, Stornierung, Einladungen) über Resend
5. Verwaltung von Veranstaltungs-Registrierungen und Kurs-Einschreibungen
6. Pseudonymisierung und automatische Löschung nach Ablauf der Aufbewahrungsfrist

Eine Verarbeitung zu anderen Zwecken erfolgt nicht, es sei denn, der Verantwortliche erteilt hierzu ausdrücklich eine schriftliche Weisung oder Courtly ist gesetzlich dazu verpflichtet.

1. Club-Mitglieder des Verantwortlichen (registrierte Nutzer)
2. Gäste, die Courts, Veranstaltungen oder Kurse über die Plattform buchen
3. Mitarbeiter/Administratoren des Verantwortlichen, die die Plattform verwalten

1. Der Verantwortliche ist allein für die Rechtmäßigkeit der Datenverarbeitung gegenüber den betroffenen Personen verantwortlich, insbesondere für das Vorliegen einer Rechtsgrundlage nach Art. 6 DSGVO.
2. Der Verantwortliche informiert die betroffenen Personen über die Verarbeitung ihrer Daten und die Weitergabe an Courtly als Auftragsverarbeiter.
3. Weisungen an Courtly erfolgen in Schriftform (E-Mail genügt). Mündliche Weisungen werden unverzüglich schriftlich bestätigt.
4. Der Verantwortliche stellt sicher, dass nur befugte Personen Zugriff auf die Club-Verwaltungsoberfläche erhalten.

1. Courtly verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern Courtly nicht gesetzlich zur Verarbeitung verpflichtet ist.
2. Courtly gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
3. Courtly ergreift alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO (technische und organisatorische Maßnahmen, siehe § 9).
4. Courtly unterstützt den Verantwortlichen, soweit möglich, bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) sowie bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO.
5. Courtly löscht oder gibt alle personenbezogenen Daten nach Beendigung des Vertrags zurück und löscht bestehende Kopien, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
6. Courtly stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

Der Verantwortliche erteilt hiermit seine allgemeine Einwilligung zur Beauftragung der nachstehenden Unterauftragsverarbeiter. Courtly informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern, sodass der Verantwortliche die Möglichkeit hat, Widerspruch zu erheben.

Für Übermittlungen an Anbieter außerhalb des EWR (Resend) bestehen geeignete Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln).

Courtly unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen. Soweit betroffene Personen Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- oder Portabilitätsanfragen direkt an Courtly richten, leitet Courtly diese unverzüglich an den Verantwortlichen weiter.

Courtly stellt technische Funktionen bereit, die den Verantwortlichen bei der Erfüllung von Betroffenenrechten unterstützen (z.B. Datenlöschung über das Dashboard, automatische Pseudonymisierung nach 90 Tagen).

Courtly ergreift gemäß Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen, darunter insbesondere:

1. Verschlüsselung der Datenübertragung via TLS 1.2+ (HTTPS)
2. Verschlüsselung sensibler Felder und Zugangsdaten in der Datenbank
3. Passwort-Hashing mit scrypt (memory-hard, brute-force-resistent)
4. Rollenbasierte Zugriffskontrolle: Club-Administratoren können nur Daten ihres eigenen Clubs einsehen
5. Strikte Mandantentrennung: Datenbankabfragen sind stets auf die jeweilige Organisation beschränkt
6. Automatische Pseudonymisierung von Gast-PII nach 90 Tagen gemäß Art. 5 Abs. 1 lit. e DSGVO
7. Regelmäßige automatisierte Sicherheitsupdates der Infrastruktur
8. Betrieb auf dediziertem Root-Server bei netcup GmbH im Rechenzentrum Nürnberg, Deutschland
9. Alle Daten verbleiben innerhalb der Europäischen Union (mit Ausnahme des E-Mail-Versands via Resend, abgesichert durch SCCs)

Courtly meldet Verletzungen des Schutzes personenbezogener Daten, die Daten betreffen, die im Auftrag des Verantwortlichen verarbeitet werden, unverzüglich — in der Regel innerhalb von 24 Stunden nach Bekanntwerden — an den Verantwortlichen, damit dieser seinen Meldepflichten gemäß Art. 33 und 34 DSGVO nachkommen kann.

Die Meldung erfolgt per E-Mail an die vom Verantwortlichen hinterlegte Konto-E-Mail-Adresse.

Courtly verarbeitet personenbezogene Daten ausschließlich gemäß den Weisungen des Verantwortlichen. Dies schließt die in diesem AVV und im Nutzungsvertrag getroffenen Festlegungen ein. Weicht Courtly aufgrund einer gesetzlichen Verpflichtung von den Weisungen ab, informiert Courtly den Verantwortlichen hierüber vor Beginn der Verarbeitung, sofern das anwendbare Recht dies erlaubt.

Courtly verpflichtet alle Mitarbeiter und Subunternehmer, die Zugang zu den personenbezogenen Daten des Verantwortlichen haben, zur Vertraulichkeit. Diese Pflicht besteht über die Beendigung des Vertrags hinaus.

Courtly stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Verpflichtungen aus Art. 28 DSGVO erforderlich sind. Audits durch den Verantwortlichen oder von ihm beauftragte Prüfer sind nach vorheriger schriftlicher Ankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten möglich. Die Kosten trägt der Verantwortliche.

Nach Beendigung des Nutzungsvertrags löscht Courtly alle im Auftrag verarbeiteten personenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere HGB § 257, AO § 147 für Buchungs- und Zahlungsdaten). Der Verantwortliche kann vor Vertragsende einen vollständigen Datenexport über das Dashboard anfordern.

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Es gilt deutsches Recht. Gerichtsstand ist der Sitz von Courtly.

Dieser AVV hat Vorrang vor etwaigen abweichenden Regelungen im Nutzungsvertrag hinsichtlich des Datenschutzes.