joinin
Website kostenlos prüfen

Vertragsdokument · Version 2026-07-17

Vereinbarung zur Auftragsverarbeitung (AVV)

Vereinbarung gemäß Art. 28 DSGVO zwischen dem im Pilot-Antrag bezeichneten Verein als Verantwortlichem und Jakob Klingels, joinin (Einzelunternehmen), Ohlsdorfer Straße 90, 22297 Hamburg, E-Mail: Jakobelias.klingels@web.de, als Auftragsverarbeiter.

§ 1 Gegenstand, Dauer und Verhältnis zum Hauptvertrag

  • Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten aus der Pilot- und Beta-Nutzungsvereinbarung über den joinin Vereinsassistenten.
  • Gegenstand sind der technische Betrieb des Assistenten und Dashboards, Chat- und Anfrageinformationen, E-Mail-Benachrichtigungen sowie erforderliche Protokollierung und Missbrauchsprävention.
  • Die Dauer entspricht dem Hauptvertrag einschließlich der erforderlichen Rückgabe- und Löschphase.

§ 2 Art und Zweck der Verarbeitung

Erfassen, Übermitteln, Speichern, Ordnen, Abgleichen, Anzeigen, Aktualisieren, Protokollieren und Löschen von Daten, soweit dies für Besucherantworten, bestätigte Anfragen, Dashboard, Fehleranalyse, Sicherheit und Support erforderlich ist. Eine Nutzung für Werbung, Datenverkauf oder vereinsfremdes Profiling findet nicht statt.

§ 3 Betroffene Personen

  • Besucher und Interessenten des Vereins beziehungsweise des Vereinsassistenten.
  • Vereinsmitglieder, Erziehungsberechtigte und sonstige anfragende Personen.
  • Vorstandsmitglieder, Beschäftigte, Trainer und berechtigte Dashboard-Nutzer.
  • Ansprechpartner, deren Kontaktdaten in freigegebenen Vereinsquellen enthalten sind.

§ 4 Datenarten

  • Name, E-Mail-Adresse und optionale Telefonnummer.
  • Thema, Nachricht, gewünschter nächster Schritt, Altersgruppe oder vereinbarte Anfragefelder.
  • Fragen, Antworten, Zeitstempel und Konversationskennung.
  • Bei einer vom Besucher bestätigten Anfrage: der zugehörige Gesprächsverlauf mit den gestellten Fragen, den Antworten des Assistenten, den dafür verwendeten Vereinsquellen und den Zeitpunkten. Er wird gemeinsam mit der Anfrage gespeichert, exportiert und gelöscht.
  • Gekürzte oder pseudonymisierte IP-Kennung, Browser-/Geräteinformationen, Login- und Fehlerprotokolle, soweit tatsächlich verarbeitet.
  • Dashboard-Kontodaten, Rollen und Zugriffsstatus.
  • Besondere Kategorien nach Art. 9 DSGVO sind nicht Gegenstand des Auftrags und sollen nicht eingegeben werden.

§ 5 Weisungen

  • joinin verarbeitet Daten nur auf dokumentierte Weisung des Vereins, soweit keine gesetzliche Verpflichtung entgegensteht.
  • Die initiale Weisung ergibt sich aus Hauptvertrag, Pilot-Antrag, Bot-Konfiguration und dieser Vereinbarung. Weitere Weisungen können in Textform erteilt werden.
  • Hält joinin eine Weisung für datenschutzrechtswidrig, wird der Verein unverzüglich informiert; die Umsetzung darf bis zur Klärung ausgesetzt werden.

§ 6 Vertraulichkeit und Berechtigungen

Zur Verarbeitung befugte Personen werden auf Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht. Zugriffe erfolgen nach dem Need-to-know- und Least-Privilege-Prinzip und werden bei Wegfall entzogen.

§ 7 Technische und organisatorische Maßnahmen

joinin setzt die unter /toms dokumentierten technischen und organisatorischen Maßnahmen um und hält sie unter Berücksichtigung von Stand der Technik, Risiko, Implementierungskosten und Art der Verarbeitung angemessen aufrecht. Wesentliche Änderungen werden dokumentiert; das Schutzniveau darf nicht unterschritten werden.

§ 8 Weitere Auftragsverarbeiter

  • Der Verein erteilt die allgemeine Genehmigung für die unter /unterauftragnehmer dokumentierten Anbieter.
  • joinin informiert den Verein vor einer beabsichtigten Hinzuziehung oder Ersetzung in Textform. Der Verein kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen.
  • Unterauftragnehmer werden zu im Wesentlichen gleichwertigen Datenschutzpflichten verpflichtet. joinin bleibt gegenüber dem Verein verantwortlich.
  • Drittlandübermittlungen erfolgen nur nach Kapitel V DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder von Standardvertragsklauseln mit erforderlichen ergänzenden Maßnahmen.

§ 9 Unterstützung des Vereins

joinin unterstützt den Verein unter Berücksichtigung der Art der Verarbeitung bei Betroffenenrechten, Sicherheitsmaßnahmen, Datenschutz-Folgenabschätzungen und Behördenanfragen. Direkt eingehende Betroffenenanfragen werden grundsätzlich an den Verein weitergeleitet, sofern keine Weisung oder gesetzliche Pflicht eine eigene Bearbeitung erfordert.

§ 10 Datenschutzverletzungen

joinin informiert den im Pilot hinterlegten Datenschutzkontakt unverzüglich nach gesicherter Kenntnis einer den Auftrag betreffenden Verletzung und stellt verfügbare Informationen zu Art, Umfang, möglichen Folgen und Maßnahmen bereit. Zielwert für die Erstinformation ist ohne schuldhaftes Zögern, möglichst innerhalb von 24 Stunden.

§ 11 Nachweise und Kontrollen

joinin stellt die nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht angemessene, grundsätzlich rechtzeitig angekündigte Prüfungen durch den Verein oder einen zur Verschwiegenheit verpflichteten Prüfer. Bei einem konkreten Vorfall oder begründeten Verdacht bleibt eine kurzfristige Prüfung möglich. Betriebs-, Geheimhaltungs- und Sicherheitsinteressen anderer Kunden sind zu wahren.

§ 12 Rückgabe und Löschung

  • Nach Ende des Auftrags löscht oder übergibt joinin personenbezogene Daten nach Wahl des Vereins, soweit keine gesetzliche Pflicht entgegensteht.
  • Produktive Chat-, Anfrage- und Missbrauchsschutzdaten können über das Dashboard exportiert und gelöscht werden. Spätestens greifen die unter /datenschutz und /toms genannten Produktfristen.
  • Zeitversetzte Sicherungs- und E-Mail-Kopien werden im dokumentierten regulären Anbieterzyklus überschrieben beziehungsweise gelöscht.
  • joinin bestätigt die Löschung auf Anfrage in Textform.

§ 13 Verantwortlichkeit und Schlussregelungen

  • Der Verein bleibt für Rechtmäßigkeit, Zwecke, Datenminimierung und Betroffenenrechte verantwortlich. Die gesetzliche Eigenverantwortung von joinin als Auftragsverarbeiter bleibt unberührt.
  • Bei Widersprüchen zum Hauptvertrag gehen die Datenschutzregelungen dieser AVV vor.
  • Änderungen bedürfen mindestens der Textform. Die elektronische Annahme wird mit Version, Prüfsumme, Zeitpunkt, vertretungsberechtigter Person und Kontaktadresse nachgewiesen.

Anlagen und Einbeziehung

Bestandteile dieser AVV sind die bei Annahme abrufbaren technischen und organisatorischen Maßnahmen unter /toms sowie die Unterauftragnehmer- und Datenflussliste unter /unterauftragnehmer. Die Dokument-Prüfsumme umfasst diese AVV und die dort versionierten Anlagen.