Auftragsverarbeitungsvertrag

Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO) zwischen der Institution (nachfolgend Verantwortlicher) und der Innogetik GmbH (nachfolgend Auftragsverarbeiter).

§ 1 Gegenstand und Dauer des Auftrags

Gegenstand des Auftrags ist die Bereitstellung der Software "OSA Cockpit" als Werkzeug zur digitalen Verwaltung, Auswertung und Dokumentation des Deutschen Sportabzeichens. Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages (Nutzungsvertrag).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der Erfassung sportlicher Leistungen, des Abgleichs mit den DOSB-Leistungstabellen sowie der Erstellung von Gruppenprüfkarten. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.

§ 3 Kategorien betroffener Personen und Datenarten

  • Personengruppen: Schüler/Athleten (insb. Minderjährige), Lehrkräfte, Prüfer und Vereinsmitarbeiter.
  • Datenarten: Name, Geburtsdatum, Geschlecht, Klassenzugehörigkeit, sportliche Messergebnisse (Zeiten, Weiten), Disziplinwahl.

§ 4 Technisch-organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter sichert die Umsetzung folgender Maßnahmen nach Art. 32 DSGVO zu:

  • Self-Hosting & Datenhoheit: Der Betrieb der Software erfolgt auf eigenen Serverkapazitäten der Innogetik GmbH an einem Standort in Deutschland. Keine Nutzung von US-Cloud-Providern.
  • Verschlüsselung: Alle Datenübertragungen erfolgen SSL/TLS-verschlüsselt. Passwörter werden gesalzen und gehasht (Argon2id).
  • Mandantentrennung: Strikte logische Trennung der Datenbestände einzelner Institutionen auf Datenbankebene.
  • Zutritt/Zugang: Physische Absicherung der Serverstandorte und restriktive Key-basierte SSH-Zugänge für Administratoren.

§ 5 Unterauftragsverhältnisse

Der Auftragsverarbeiter betreibt die Infrastruktur selbst. Es werden derzeit keine Sub-Unternehmer für die Speicherung oder Verarbeitung der Kerndaten eingesetzt. Etwaige Änderungen werden dem Verantwortlichen rechtzeitig mitgeteilt.

§ 6 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragsverarbeiter nach vorheriger Anmeldung zu kontrollieren oder durch Dritte kontrollieren zu lassen.

§ 7 Beendigung und Löschung

Nach Abschluss der vertraglichen Leistungen oder auf Aufforderung durch den Verantwortlichen löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Für den Auftragsverarbeiter:

Innogetik GmbH

K.-A. Pancratz (Geschäftsführer)

Stand des Vertrages:

11.06.2026

Zurück zur Registrierung