Auftragsverarbeitungsvertrag (AVV)
Standardvertrag gemäß Art. 28 Abs. 3 DSGVO zwischen der/dem Veranstalter:in (Verantwortliche:r) und GatherMatter (Auftragsverarbeiter)
Entwurf — rechtliche Prüfung ausstehend
Dieses Dokument ist ein Arbeitsentwurf. Es ist noch kein finaler, unterzeichneter Vertrag.
ENTWURF — rechtliche Prüfung ausstehend. Dieser Auftragsverarbeitungsvertrag wird als Entwurf zur Prüfung bereitgestellt und stellt noch keine finale, rechtlich geprüfte Fassung dar. Er ist zu Evaluierungszwecken in der Playground-Umgebung veröffentlicht. Verlassen Sie sich nicht als maßgeblichen Vertrag darauf, solange dieser Hinweis nicht entfernt ist.
Die englische Fassung ist eine unverbindliche Übersetzung. Die deutsche Fassung ist der maßgebliche, rechtlich verbindliche Text (dies ist ein österreichisches Rechtsdokument); bei Abweichungen gilt die deutsche Fassung.
1. Präambel und Geltung
Wer die Vertragsparteien sind und wie dieser Vertrag zustande kommt.
Soweit GatherMatter für eigene Zwecke als eigenständig Verantwortlicher handelt (Plattformkonten, Produktanalyse, Betrugsprävention), ist dies in der Datenschutzerklärung unter gathermatter.org/privacy beschrieben und nicht Gegenstand dieses AVV.
Dieser Auftragsverarbeitungsvertrag („AVV") gilt zwischen der/dem Veranstalter:in, die/der einen Workspace auf der GatherMatter-Plattform nutzt (der/die „Verantwortliche"), und der GatherMatter e.U., Meierhof 222, 8112 Gratwein-Straßengel, Österreich (der „Auftragsverarbeiter").
GatherMatter verarbeitet personenbezogene Daten im Auftrag der/des Verantwortlichen, soweit diese/dieser solche Daten über die Plattform verwaltet — etwa Mitgliederdaten, Teilnehmerdaten sowie Käufer-/Ticketbestelldaten. Für diese Verarbeitungen handelt GatherMatter als Auftragsverarbeiter im Sinne des Art. 28 DSGVO; die/der Veranstalter:in bleibt Verantwortliche:r und bestimmt Zwecke und Mittel der Verarbeitung.
Dieser AVV wird durch die Allgemeinen Geschäftsbedingungen (AGB) sowie durch die Nutzung eines Workspace einbezogen (Einbeziehung im Self-Service). Eine gesonderte Unterschrift ist nicht erforderlich; die Zustimmung zu den AGB und die fortgesetzte Nutzung des Workspace gelten als allgemeine schriftliche Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO.
2. Gegenstand, Dauer, Art, Zweck und Daten
Was verarbeitet wird, wie lange und über wen.
Gegenstand und Zweck: Betrieb der GatherMatter-Eventplattform für die/den Verantwortliche:n — Event- und Mitgliederverwaltung, Ticketing und Einlass, Kommunikation sowie damit verbundene administrative Verarbeitung.
Dauer: für die Laufzeit der zugrunde liegenden Vereinbarung (Workspace-Nutzung), bis zur Löschung oder Rückgabe der Daten gemäß Abschnitt 3.
Art der Verarbeitung: Erhebung, Speicherung, Strukturierung, Abfrage, Nutzung, Übermittlung an autorisierte Unterauftragsverarbeiter sowie Löschung personenbezogener Daten mit automatisierten Mitteln.
- Kategorien personenbezogener Daten: Identifikations- und Kontaktdaten (Name, E-Mail, Telefon), Mitgliederdaten, Teilnehmer- und Gästelistendaten, Käufer- und Bestelldaten, Zahlungsreferenz- und Rechnungsdaten, Kommunikationsinhalte sowie Nutzungs-/Protokolldaten. Besondere Kategorien von Daten (Art. 9 DSGVO) sind nicht zur Verarbeitung vorgesehen; die/der Verantwortliche ist dafür verantwortlich, solche Daten nicht in Freitextfelder einzugeben.
- Kategorien betroffener Personen: Mitglieder der/des Verantwortlichen, Veranstaltungsteilnehmer:innen und Gäste, Ticketkäufer:innen, gebuchte Artists sowie die eigenen Teammitglieder und Mitarbeitenden der/des Verantwortlichen.
3. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)
Die Zusagen, die GatherMatter als Ihr Auftragsverarbeiter macht.
GatherMatter verpflichtet sich zur Einhaltung der Pflichten nach Art. 28 Abs. 3 DSGVO, insbesondere:
- (a) Weisungsbindung: GatherMatter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung der/des Verantwortlichen, auch hinsichtlich Übermittlungen in Drittländer, sofern nicht eine Verpflichtung nach Unionsrecht oder mitgliedstaatlichem Recht besteht.
- (b) Vertraulichkeit: Die zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet.
- (c) Sicherheit der Verarbeitung: GatherMatter setzt die in der TOM-Anlage (Abschnitt 4) beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um.
- (d) Unterauftragsverarbeiter: Die/der Verantwortliche erteilt eine allgemeine Genehmigung für die unter gathermatter.org/subprocessors gelisteten Unterauftragsverarbeiter. GatherMatter kündigt beabsichtigte Änderungen durch Aktualisierung dieser Seite und, soweit erforderlich, durch vorherige Ankündigung an; die/der Verantwortliche kann aus berechtigten datenschutzrechtlichen Gründen widersprechen. Jedem Unterauftragsverarbeiter werden vertraglich gleichwertige Datenschutzpflichten auferlegt.
- (e) Unterstützung bei Betroffenenrechten: GatherMatter unterstützt die/den Verantwortliche:n mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO), u. a. durch Export- und Löschfunktionen im Produkt.
- (f) Unterstützung nach Art. 32–36: GatherMatter unterstützt die/den Verantwortliche:n bei Sicherheit, Meldung von Verletzungen und Datenschutz-Folgenabschätzungen. Bei einer Verletzung des Schutzes personenbezogener Daten, die die Daten der/des Verantwortlichen betrifft, benachrichtigt GatherMatter die/den Verantwortliche:n unverzüglich nach Kenntnis (Ziel: innerhalb von 48 Stunden), damit diese/dieser die eigene 72-Stunden-Meldefrist an die Aufsichtsbehörde einhalten kann.
- (g) Löschung oder Rückgabe: Nach Abschluss der Verarbeitung löscht GatherMatter die personenbezogenen Daten oder gibt sie nach Wahl der/des Verantwortlichen zurück, unter Nutzung der Export- und Löschfunktionen des Produkts, sofern keine gesetzliche Aufbewahrungspflicht besteht (z. B. Buchhaltungsunterlagen nach BAO §132 / UGB §212, in anonymisierter Form aufbewahrt).
- (h) Nachweise und Audits: GatherMatter stellt die zum Nachweis der Einhaltung des Art. 28 erforderlichen Informationen bereit und ermöglicht Überprüfungen durch Auskunft und einen Selbstauditbericht; Vor-Ort-Prüfungen werden nach vorheriger Vereinbarung und angemessen zum Risiko durchgeführt.
4. Technische und organisatorische Maßnahmen (Anlage, Art. 32 DSGVO)
Die konkreten Maßnahmen zum Schutz der Daten — wie in der Plattform tatsächlich umgesetzt.
Die folgenden technischen und organisatorischen Maßnahmen geben den aktuellen Stand der Plattform wieder. Sie können sich mit der Weiterentwicklung der Plattform ändern; das Schutzniveau wird nicht unter das hier beschriebene Niveau abgesenkt.
- Verschlüsselung in der Übertragung: Der gesamte Datenverkehr zur und innerhalb der Plattform erfolgt über TLS.
- Verschlüsselung im Ruhezustand: Anwendungsdaten werden in der EU gespeichert (Convex auf AWS, eu-west-1, Irland); Mediendateien werden bei bunny.net (EU, Slowenien) gespeichert. Die Verschlüsselung im Ruhezustand wird durch diese Unterauftragsverarbeiter gewährleistet.
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) mit funktionsbezogenen Feature-Gates und strikter Workspace-Isolation; der Zugriff auf Workspace-Daten ist auf autorisierte Rollen beschränkt.
- Protokollierung privilegierter Zugriffe: Administrativer Zugriff von Plattform-Personal auf einen Workspace (Ghost-Access) wird in einem Audit-Log mit Akteur, Ziel und Zeitstempel protokolliert.
- Authentifizierung: Anmeldung über OAuth (Google/Apple) und passwortlosen Magic Link; die Anmeldung mit E-Mail/Passwort ist in der Playground- und Produktionsumgebung deaktiviert.
- Protokollierung und Rechenschaft: Sicherheitsrelevante Aktionen werden in einem Audit-Log erfasst; Einwilligungsereignisse (z. B. AGB- und Auftragsverarbeitungs-Zustimmung) werden mit gehashter IP und Zeitstempel erfasst.
- Datentrennung: Alle Verantwortlichen-Daten werden über workspace-bezogene Datenbankindizes je Workspace logisch getrennt.
- Pseudonymisierung / Anonymisierung: Lösch-Workflows (Recht auf Vergessenwerden) überschreiben die personenbezogenen Felder von Mitgliedern mit einer anonymisierten Referenz, während strukturelle Datensätze, die für Zähler- und Buchhaltungsintegrität erforderlich sind, erhalten bleiben; IP-Adressen von Einwilligungsereignissen werden ausschließlich als Hash gespeichert.
- Verfügbarkeit und Backups: Verfügbarkeit und Backups werden durch die Infrastruktur-Unterauftragsverarbeiter gewährleistet (verwaltete Backups durch Convex; Multi-Region-Hosting durch Vercel).
- Incident-Prozess: Anwendungsfehler werden überwacht (Sentry); bestätigte Verletzungen lösen die in Abschnitt 3 lit. f beschriebene Meldekette an die/den Verantwortliche:n aus.
5. Haftung und Schlussbestimmungen
Anwendbares Recht und Verhältnis zu den AGB.
Die Haftung nach diesem AVV richtet sich nach den Bestimmungen der zugrunde liegenden Vereinbarung (AGB) und der zwingenden Haftungsverteilung nach Art. 82 DSGVO.
Dieser AVV unterliegt österreichischem Recht. Zuständiges Gericht ist das Landesgericht für ZRS Graz, vorbehaltlich zwingender Bestimmungen. Diese Wahl entspricht den Schlussbestimmungen der AGB.
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Dieser AVV ergänzt die AGB; bei Widersprüchen in Fragen der Auftragsverarbeitung geht dieser AVV vor.
6. Stand
Version und Kontakt.
Stand: 2026-07-03 (Entwurf). Fragen zu diesem Auftragsverarbeitungsvertrag: GatherMatter e.U., Meierhof 222, 8112 Gratwein-Straßengel, Österreich. E-Mail: support@gathermatter.org.