Version 1.3. Juni 2026
Zwischen:
Holdsport.dk ApS(nachfolgend „Holdsport“ genannt)
Und:
Dem Verein, der Gruppierung oder Organisation, die die Plattform der Holdsport ApS nutzt und die geltenden Bedingungen sowie den vorliegenden Auftragsverarbeitungsvertrag digital akzeptiert hat.
(nachfolgend „der Verein“ genannt)
(nachfolgend jeweils einzeln „Partei“ und gemeinsam „die Parteien“ genannt) haben mit dem heutigen Datum einen Auftragsverarbeitungsvertrag zu folgenden Bedingungen abgeschlossen:
1.1 Die Begriffe „personenbezogene Daten“ und „Verarbeitung“ haben die Bedeutung, die sich aus Artikel 4 der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr solcher Daten (nachfolgend „DSGVO“) ergibt.
1.2 Der Verein entscheidet, zu welchem Zweck und mit welchen Mitteln die personenbezogenen Daten im Rahmen dieses Vertrags verarbeitet werden, und ist daher der Verantwortliche gemäß Art. 4 Nr. 7 DSGVO.
1.3 Holdsport verarbeitet Daten im Auftrag des Verantwortlichen und ist daher Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO.
2.1 Der Verein kann den Dienst von Holdsport nutzen, um:
2.2 Informationen zur Nutzung des genannten Systems werden vom Verein sowie von Spielern, Trainern, Eltern u. a. erhoben.
2.3 Es findet keine Verarbeitung personenbezogener Daten zu Gesundheitsdaten, Strafurteilen, CPR-Nummern (es sei denn, der Verein ist gesetzlich dazu verpflichtet) und Gesetzesverstößen statt.
2.4 Es werden Daten der folgenden Kategorien betroffener Personen verarbeitet: Spieler, Trainer, Eltern oder andere zugeordnete Personen, Mitarbeiter und gegebenenfalls Schiedsrichter.
3.1 Holdsport nutzt hauptsächlich Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany zur Speicherung eigener Daten und Software, einschließlich personenbezogener Daten. Siehe auch Punkt 7 und Anhang 1 für ergänzende Informationen sowie Angaben zu Unterauftragnehmern usw.
3.2 Holdsport darf die von diesem Vertrag umfassten personenbezogenen Daten ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht in andere Länder außerhalb der EU übermitteln oder dort verarbeiten.
4.1 Holdsport verpflichtet sich, personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Vereins zu verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation.
4.2 Sofern Holdsport zur Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation verpflichtet ist, hat Holdsport den Verein vor der Verarbeitung über diese Pflicht zu informieren, es sei denn, das Gesetz verbietet solche Informationen aus Gründen des öffentlichen Interesses.
4.3 Holdsport hat geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass alle personenbezogenen Daten, die zur Verfügung stehen oder von Holdsport verarbeitet werden, auf eine Weise verarbeitet werden, die ein angemessenes Schutzniveau für die betreffenden personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung oder jeglicher anderen Verarbeitung personenbezogener Daten im Widerspruch zur DSGVO. Diese technischen und organisatorischen Maßnahmen sind in Anhang 1 aufgeführt.
4.4 Holdsport stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
4.5 Holdsport hat den Verein unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu benachrichtigen. Unter einer Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit zu verstehen, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, vgl. Art. 4 Abs. 12 DSGVO.
4.6 Holdsport hat ein Verfahren für die laufende Überwachung aller Systeme, die Implementierung von Alarmen sowie die Benachrichtigung des DPO des Unternehmens eingeführt, der dafür verantwortlich ist, dass alle relevanten technischen Maßnahmen durchgeführt werden und alle betroffenen Parteien im Falle einer Datenschutzverletzung informiert werden. Nach mehr als 20 Jahren Betrieb hat Holdsport bis heute keine Verletzung des Schutzes personenbezogener Daten erlebt.
4.7 Holdsport hat personenbezogene Daten, die von Holdsport im Auftrag des Vereins verarbeitet werden, vertraulich zu behandeln. Holdsport darf personenbezogene Daten, die Holdsport vom Verein, für den Verein oder in dessen Auftrag zur Verfügung gestellt werden, nicht an Dritte weitergeben, es sei denn, es liegt eine Einwilligung oder eine andere rechtliche Grundlage vor.
4.8 Nichts in diesem Vertrag hindert eine der Parteien daran, einer von Behörden oder Gerichten auferlegten rechtlichen Verpflichtung nachzukommen. Beide Parteien haben jedoch nach Möglichkeit die angemessene Reaktion auf jede Anfrage einer Behörde oder eines Gerichts bei der Weitergabe von Informationen zu erörtern.
5.1 Holdsport stellt dem Verein in elektronischer Form alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem Vertrag festgelegten Verpflichtungen nachzuweisen. Dies erfolgt in Form des vorliegenden Auftragsverarbeitungsvertrags, der dazugehörigen Anhänge, der Vertragsdokumente zwischen Holdsport und dem Verein sowie der Informationen auf unserer Website.
5.2 Holdsport hat den Verein unverzüglich zu informieren, wenn nach Auffassung von Holdsport eine Weisung des Vereins vorliegt, die gegen die DSGVO verstößt.
5.3 Holdsport unterstützt den Verein mit geeigneten technischen und organisatorischen Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Vereins, auf Anträge auf Wahrnehmung der Rechte der betroffenen Person zu antworten.
5.4 Holdsport unterstützt den Verein — unter Berücksichtigung der Art der Verarbeitung und der Holdsport zur Verfügung stehenden Informationen — bei der Sicherstellung der Einhaltung der Pflichten hinsichtlich:
5.4.1 der Sicherheit der Verarbeitung,
5.4.2 der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde,
5.4.3 der Benachrichtigung der betroffenen Person von Verletzungen des Schutzes personenbezogener Daten und
5.4.4 der Datenschutz-Folgenabschätzung.
5.5 Holdsport hat — sofern Art. 30 DSGVO Anwendung findet — ein Verzeichnis der unter ihrer Verantwortung durchgeführten Verarbeitungstätigkeiten zu führen und dem Verein auf Anfrage eine Kopie davon zur Verfügung zu stellen.
6.1 Der Verein hat gemäß der DSGVO eine allgemeine Verpflichtung, die Einhaltung der technischen und organisatorischen Maßnahmen sicherzustellen, wozu auch die von einem Auftragsverarbeiter durchgeführten technischen und organisatorischen Maßnahmen gehören. Holdsport hat die Risiken, die die Verarbeitung personenbezogener Daten durch Holdsport nach diesem Vertrag mit sich bringt, bewertet und geeignete Maßnahmen ergriffen, vgl. Punkt 5.3.
6.2 Der Verein erklärt, dass die personenbezogenen Daten, die Holdsport nach diesem Vertrag verarbeitet, von Holdsport verarbeitet werden dürfen. Das heißt, dass der Verein dafür einsteht, dass es sich um Daten handelt, für deren Verarbeitung der Verein eine Einwilligung eingeholt hat, und dass die Einwilligung die nachfolgende Verarbeitung bei Holdsport umfasst. Der Verein stellt Holdsport in diesem Zusammenhang von jeglicher Haftung frei.
6.3 Der Ordnung halber wird darauf hingewiesen, dass der Verein als Verantwortlicher die Bestimmungen der DSGVO einzuhalten hat, was unter anderem den Abschluss von Auftragsverarbeitungsverträgen mit Lieferanten umfasst.
6.4 Um eine schnelle und präzise Kommunikation und Unterstützung von Ihnen als Nutzer sicherzustellen, können wir bei Holdsport automatisierte Werkzeuge, einschließlich ChatGPT von OpenAI und verwandter Werkzeuge, einsetzen, um Anfragen von Ihnen und anderen Nutzern zu analysieren und zu beantworten. Wir nutzen den Dialog mit allen Nutzern als Grundlage für die Weiterentwicklung dieser Werkzeuge. Der Dialog mit Ihnen wird anonymisiert. Als Nutzer sind Sie mit dieser Nutzung einverstanden.
7.1 Der Verein erteilt Holdsport eine allgemeine Berechtigung zur Inanspruchnahme von Unterauftragsverarbeitern. Holdsport hat den Verein über etwaige geplante Änderungen in Bezug auf Unterauftragsverarbeiter mit einer Frist von mindestens 30 Tagen zu informieren und dem Verein damit die Möglichkeit zu geben, gegen solche Änderungen Widerspruch einzulegen.
7.2 Eine Liste der Unterauftragsverarbeiter ist in Anhang 1 aufgeführt.
7.3 Ergänzend hierzu nutzt Holdsport eine Reihe von Zahlungsdiensten, z. B. MobilePay, Stripe, Altapay u. a. Die relevanten und erforderlichen Informationen zur Durchführung von Zahlungen verbleiben bei den jeweiligen Diensten in Übereinstimmung mit den dafür geltenden Bedingungen und Regeln, und Holdsport speichert keine Kopien dieser Informationen, außer soweit dies erforderlich ist, um die Rechte des Zahlers zu sichern, z. B. den Zugang zu einer Mannschaft oder einer Zahlungsaktivität.
8.1 Dieser Vertrag ist gültig, solange Holdsport personenbezogene Daten im Auftrag des Vereins verarbeitet.
8.2 Nach Beendigung oder Kündigung dieses Vertrags hat Holdsport auf Aufforderung des Vereins alle solchen Daten zu vernichten. Vorstehendes gilt jedoch nicht, sofern die Gesetzgebung ein Recht oder eine Pflicht zur Aufbewahrung vorsieht.
9.1 Dieser Vertrag unterliegt dänischem Recht.
9.2 Alle Streitigkeiten, die sich aus oder im Zusammenhang mit diesem Vertrag ergeben, einschließlich Streitigkeiten über Bestehen, Gültigkeit oder Beendigung, sind vom Gericht in Aarhus zu entscheiden, sofern die Streitigkeit nicht durch Verhandlung beigelegt werden kann.
| Auftragsverarbeiter | HOLDSPORT.DK ApS, CVR-nr. 33765509, Filmbyen 23, 3., 8000 Aarhus C |
| Dienst | Holdsport / SportMember — Vereinsverwaltungsplattform (Web, App und API) |
| Dokumenttyp | Anhang zum Auftragsverarbeitungsvertrag — Dokumentation der Sicherheitsmaßnahmen gemäß Datenschutz-Grundverordnung (DSGVO) Art. 32 |
| Version | 1.3 |
| Datum | 2026-06-30 |
Dieses Dokument beschreibt die technischen und organisatorischen Sicherheitsmaßnahmen (Technical and Organizational Measures, TOM), die Holdsport als Auftragsverarbeiter implementiert hat, um personenbezogene Daten zu schützen, die im Auftrag des Verantwortlichen (des Vereins/Kunden) verarbeitet werden.
Das Dokument stellt die Dokumentation dar, die gemäß dem Auftragsverarbeitungsvertrag und Art. 28 Abs. 3 lit. h DSGVO zur Verfügung gestellt wird, und kann als Grundlage für die Kontrolle/Prüfung durch den Verantwortlichen dienen (siehe Abschnitt 10).
Die Beschreibung spiegelt die Betriebsumgebung zum Datum des Dokuments wider. Die Maßnahmen werden laufend weiterentwickelt; wesentliche Änderungen werden in einer neuen Version dieses Dokuments abgebildet.
Kategorien personenbezogener Daten
Holdsport verarbeitet u. a. Namen, Kontaktdaten (E-Mail, Telefon, Adresse), Alter/Geschlecht sowie Aktivitäts- und Zahlungsdaten der Mitglieder, Trainer, Eltern u. a. des Vereins. Es werden keine besonderen Kategorien personenbezogener Daten zu Gesundheit, Strafsachen oder Gesetzesverstößen verarbeitet und grundsätzlich keine CPR-Nummern (es sei denn, der Verein ist gesetzlich dazu verpflichtet).
Verschlüsselung bei der Übertragung (in transit)
Verschlüsselung im Ruhezustand (at rest)
Benutzerauthentifizierung
Administrativer und betrieblicher Zugriff
Organisatorischer und physischer Zugriff
Datensicherung (Backup)
Redundanz
Holdsport nutzt die folgenden Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Funktion | Verarbeitungsort | Übermittlungsgrundlage |
|---|---|---|---|
| Hetzner Online GmbH | Server- und Infrastruktur-Hosting | Deutschland (EU) | Innerhalb der EU/des EWR |
| Amazon Web Services (AWS) | Speicherung verschlüsselter Datenbank-Sicherungen | Irland (EU) | Innerhalb der EU/des EWR |
| AppSignal B.V. | Leistungs- und Fehlerüberwachung (Backend) | Niederlande (EU) | Innerhalb der EU/des EWR |
| Elastic Email | Versand von System- und Transaktions-E-Mails | Europäische Server des Anbieters (EU — Irland, Frankreich und Polen) | Innerhalb der EU/des EWR |
| Honeybadger | Fehlerüberwachung (Backend) | USA — AWS us-east-1 (Northern Virginia) | SCCs über den Auftragsverarbeitungsvertrag von Honeybadger |
| Sentry | Fehlerüberwachung (Mobile App) | USA — US-Region von Sentry, Iowa (Google Cloud us-central1) | SCCs über den Auftragsverarbeitungsvertrag von Sentry |
| Meta Platforms (Facebook) | Facebook-Login sowie App-Event-Daten aus der Mobile App (Facebook SDK) | USA — Meta Platforms, Inc. (EU-Einheit: Meta Platforms Ireland) | EU-US Data Privacy Framework (Meta selbstzertifiziert) + SCCs |
Hinweis: Die Überwachungsdienste (Fehler/Leistung) verarbeiten primär technische Diagnose- und Betriebsdaten, können jedoch in Fehlersituationen begrenzte personenbezogene Daten enthalten. Für Unterauftragsverarbeiter außerhalb der EU/des EWR wird die Übermittlungsgrundlage (z. B. Standardvertragsklauseln der EU-Kommission, SCCs) über den Auftragsverarbeitungsvertrag des jeweiligen Anbieters sichergestellt (siehe Internationale Übermittlungen unten).
Internationale Übermittlungen (Drittlandübermittlungen)
Personenbezogene Daten werden grundsätzlich innerhalb der EU/des EWR verarbeitet und gespeichert (vgl. Abschnitt 6 und die obige Tabelle). Die folgenden Unterauftragsverarbeiter können begrenzte Daten in den USA verarbeiten: Honeybadger (Fehlerüberwachung) bei AWS us-east-1 (Northern Virginia), Sentry (Fehlerüberwachung) in Iowa (Google Cloud us-central1) sowie Meta/Facebook (Facebook-Login und App-Events aus der Mobile App). Die Übermittlung erfolgt auf folgender Grundlage:
Als ergänzende Maßnahmen arbeitet Holdsport daran, (i) die an diese Dienste gesendeten personenbezogenen Daten zu minimieren — einschließlich der Deaktivierung der IP-/PII-Erfassung in der Mobile App (Sentry) und der Herausfilterung personenbezogener Felder (z. B. Name, E-Mail, Telefon, Adresse, CPR- und Kontoinformationen) aus Fehlerberichten (Honeybadger) — und (ii) beide Dienste in EU-Regionen zu verlagern, wodurch die Übermittlung in Drittländer entfällt.
Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt Holdsport den Verantwortlichen ohne unangemessene Verzögerung in Übereinstimmung mit dem Auftragsverarbeitungsvertrag, damit der Verantwortliche seinen Pflichten nach Art. 33–34 DSGVO nachkommen kann.
Holdsport hat ein Verfahren für die laufende Überwachung aller Systeme mit Alarmierung und interner Benachrichtigung des DPO von Holdsport etabliert, der dafür verantwortlich ist, dass relevante technische Maßnahmen durchgeführt und betroffene Parteien im Falle einer etwaigen Datenschutzverletzung informiert werden.