Auftragsverarbeitungsvereinbarung (AVV)
Vorlage – Stand 18.05.2026
Diese AVV-Vorlage gilt zwischen dem Verein, der einen Print-Core-Vereins-Shop nutzt, als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO (nachfolgend „Verantwortlicher") und der SVS Textil Germany UG (haftungsbeschränkt), Zur Alten Wiese 12–14, 33415 Verl, als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO (nachfolgend „Print Core").
1. Gegenstand und Dauer der Verarbeitung
Print Core verarbeitet personenbezogene Daten ausschließlich zum Betrieb des Vereins-Shops und zur Abwicklung der Bestellungen der Vereinsmitglieder. Die Dauer der Verarbeitung entspricht der Vertragslaufzeit. Nach Vertragsende werden die Daten innerhalb von 90 Tagen gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
2. Art und Zweck der Verarbeitung
- Bereitstellung des Vereins-Shops auf einer Subdomain oder eigenen Domain.
- Mitglieder-Authentifizierung über Shop-Code oder Magic-Link.
- Bereitstellung von Vereins-Templates für die Mitglieder zur Personalisierung.
- Abwicklung von Bestellungen, Zahlung und Versand durch Print Core.
- Statistiken (aggregiert) für den Vereinsadmin.
3. Art der personenbezogenen Daten
- Mitglieder-E-Mail-Adressen oder Domain-Patterns aus der vom Verein gepflegten Whitelist.
- Optionale Mitglieder-Felder (z. B. Mitgliedsnummer), sofern vom Verein hochgeladen.
- IP-Adressen-Hashes (zwecks Rate-Limiting und Sicherheits-Auditing).
- User-Agent-Strings (Sicherheits-Audit der Login-Sessions).
4. Kategorien betroffener Personen
- Vereinsmitglieder, die im Vereins-Shop bestellen.
- Vereinsadmins (Owner, Editor) zur Pflege des Vereins-Shops.
5. Pflichten von Print Core
5.1 Print Core verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Eine darüber hinausgehende Verarbeitung erfolgt nur, wenn Print Core gesetzlich dazu verpflichtet ist (Art. 28 Abs. 3 lit. a DSGVO).
5.2 Print Core stellt sicher, dass alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, schriftlich zur Vertraulichkeit verpflichtet wurden bzw. einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
5.3 Print Core trifft die in Art. 32 DSGVO genannten technischen und organisatorischen Maßnahmen (TOM), insbesondere:
- Verschlüsselung der Datenbank-Verbindungen (TLS 1.3).
- bcrypt-Hashing der Shop-Codes (mind. 10 Runden).
- SHA-256-Hashing der Magic-Link-Token (single-use, 30 Min. Ablauf).
- Cookie-Signaturen (HMAC-SHA-256) und Cookie-Salt-Rotation bei Code-Wechsel.
- Rate-Limits gegen Brute-Force-Angriffe auf den Login-Endpoint.
- Hosting in der EU (AWS Frankfurt, eu-central-1).
- Logging aller Mitarbeiter-Zugriffe auf personenbezogene Daten.
5.4 Print Core unterstützt den Verantwortlichen bei der Beantwortung von Anfragen Betroffener (Art. 12–22 DSGVO) und bei der Erfüllung der Pflichten aus Art. 32–36 DSGVO in angemessenem Umfang.
5.5 Datenschutzverstöße meldet Print Core unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, an den Verantwortlichen.
6. Pflichten des Verantwortlichen
Der Verantwortliche bleibt im Sinne der DSGVO Verantwortlicher für die Verarbeitung der Daten. Insbesondere stellt er sicher, dass eine Rechtsgrundlage für die Übermittlung der Mitgliederdaten an Print Core besteht (z. B. Art. 6 Abs. 1 lit. b oder lit. f DSGVO) und dass die Mitglieder über die Verarbeitung in geeigneter Form informiert wurden.
7. Unterauftragsverarbeiter
Print Core nutzt folgende Unterauftragsverarbeiter:
- Amazon Web Services EMEA SARL, Luxembourg (Hosting EU – Frankfurt).
- Stripe Payments Europe Ltd., Dublin (Zahlungsabwicklung).
- Resend, Inc., Wilmington (transaktionale E-Mails, EU-Routing).
Vor dem Hinzunehmen eines weiteren Unterauftragsverarbeiters informiert Print Core den Verantwortlichen mit einer Vorankündigung von 30 Tagen per E-Mail. Dem Verantwortlichen steht in dem Fall ein Widerspruchsrecht zu; widerspricht er nicht, gilt der Unterauftragsverarbeiter als genehmigt.
8. Kontrollrechte
Der Verantwortliche kann die Einhaltung dieser AVV durch Print Core jederzeit auf eigene Kosten prüfen. Print Core stellt auf Anfrage Audit-Berichte (z. B. SOC 2 oder ISO 27001 der Unterauftragsverarbeiter) sowie Nachweise über getroffene TOM bereit.
9. Beendigung
Bei Beendigung dieser AVV werden alle vom Verantwortlichen übergebenen personenbezogenen Daten innerhalb von 90 Tagen gelöscht oder anonymisiert. Auf Wunsch werden sie zuvor an den Verantwortlichen herausgegeben (CSV/JSON).
10. Schlussbestimmungen
Es gilt deutsches Recht. Gerichtsstand ist Bielefeld. Bei Widersprüchen zwischen dieser AVV und den allgemeinen AGB von Print Core hat diese AVV in datenschutzrechtlichen Belangen Vorrang.
Diese AVV-Vorlage wird mit dem ersten Upload personenbezogener Daten in den Vereins-Shop wirksam. Der Verein kann jederzeit eine signierte Version anfordern unter datenschutz@print-core.de.