Auftragsverarbeitungsvertrag

AVV gemäß Art. 28 DSGVO · Stand: 16. Mai 2026 · Version 1.0

Worum geht es? Als DJ gibst du Kontaktdaten von Venues, Promotern und Agenturen in NoxReach ein. Das sind personenbezogene Daten Dritter. Du bist als Nutzer der datenschutzrechtlich Verantwortliche – NoxReach verarbeitet diese Daten nur in deinem Auftrag. Dieser Vertrag regelt genau das, wie von der DSGVO (Art. 28) vorgeschrieben.

Parteien

Auftragsverarbeiter

Gregorgus (GEEZ) — NoxReach

c/o Online-Impressum #8015, Europaring 90, 53757 St. Augustin, Deutschland

E-Mail: hello@noxreach.io

(nachfolgend „Auftragsverarbeiter" oder „NoxReach")

Auftraggeber / Verantwortlicher

Die natürliche oder juristische Person, die ein NoxReach-Nutzerkonto anlegt und betreibt.

(nachfolgend „Auftraggeber" oder „Verantwortlicher")

Dieser AVV wird durch die Registrierung und Nutzung von NoxReach automatisch geschlossen und ist Bestandteil der AGB.

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung der NoxReach-Plattform (DJ-Buchungsmanagement). Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags gemäß den AGB.

§ 2 Art und Zweck der Verarbeitung

Art der Verarbeitung: Speicherung, Strukturierung, Abruf, Anzeige, Weiterleitung (E-Mail-Benachrichtigungen) und Löschung personenbezogener Daten im Rahmen der Plattformfunktionen.

Zweck: Verwaltung von Buchungskontakten und -anfragen durch den Auftraggeber; Versand von Follow-up-Erinnerungen und Benachrichtigungen an den Auftraggeber.

§ 3 Kategorien betroffener Personen und Daten

Betroffene Personen

Kategorien personenbezogener Daten

Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, sofern der Auftraggeber solche nicht eigenständig eingibt. Die Eingabe besonderer Kategorien ist nicht vorgesehen und liegt allein in der Verantwortung des Auftraggebers.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten — die Nutzung der Plattform durch den Auftraggeber gilt als solche Weisung.
  2. Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
  3. Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zu ergreifen (siehe § 7).
  4. Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach seiner Auffassung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
  5. Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.
  6. Aufsichtsbehördliche Prüfungen und Audits zu ermöglichen und zu unterstützen — nach vorheriger Ankündigung mit angemessener Frist.

§ 5 Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung der durch ihn eingegebenen personenbezogenen Daten selbst verantwortlich. Er stellt insbesondere sicher, dass:

§ 6 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen er vergleichbare Datenschutzpflichten auferlegt hat:

Dienstleister Zweck Sitz / Server Garantie
Supabase Inc. Datenbank, Authentifizierung, Datenspeicherung USA (Sitz) / EU-West-1 Frankfurt (Daten) AWS eu-central-1, SOC 2 Type II, AVV abgeschlossen
Resend Inc. Transaktionaler E-Mail-Versand (Benachrichtigungen, Digest) USA (Sitz) / EU-Infrastruktur EU SCCs, AVV verfügbar
Stripe Inc. Zahlungsabwicklung (nur Rechnungsdaten, keine Lead-Daten) USA (Sitz) / EU-Rechenzentren EU SCCs, PCI DSS Level 1, AVV abgeschlossen

Änderungen bei Unterauftragsverarbeitern werden dem Verantwortlichen mindestens 14 Tage im Voraus per E-Mail oder über die Plattform mitgeteilt. Der Verantwortliche kann gegen die Hinzunahme eines neuen Unterauftragsverarbeiters innerhalb von 14 Tagen Widerspruch einlegen; in diesem Fall steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

NoxReach hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit

Verschlüsselung aller Daten in Transit (TLS 1.2+) und at Rest (AES-256). Zugriff auf Produktionsdaten nur für autorisiertes Personal.

Integrität

Row-Level Security (RLS) in Supabase: jeder Nutzer sieht ausschließlich eigene Daten. Datenbankzugriffe werden geloggt.

Verfügbarkeit

Automatisierte Backups täglich. Hosting in AWS eu-central-1 (Frankfurt) mit Multi-AZ-Redundanz über Supabase.

Belastbarkeit

Infrastruktur ist auf horizontale Skalierung ausgelegt. Regelmäßige Überprüfung der Systemgesundheit und automatisierte Alerts.

Zugriffskontrolle

Authentifizierung via Supabase Auth (JWT). Passwörter werden gehasht gespeichert (bcrypt). Keine Klartextpasswörter.

Datensparsamkeit

Nur die für den Betrieb notwendigen Daten werden erhoben. Keine Weitergabe an Werbetreibende oder Dritte außerhalb der genannten Unterauftragsverarbeiter.

§ 8 Rechte betroffener Personen

Soweit betroffene Personen ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch) gegenüber NoxReach direkt geltend machen, leitet NoxReach diese Anfragen unverzüglich an den Verantwortlichen weiter. Der Verantwortliche ist für die inhaltliche Bearbeitung zuständig.

Technische Löschungen von Datensätzen auf Anfrage des Verantwortlichen werden von NoxReach innerhalb von 30 Tagen umgesetzt. Der Auftraggeber kann Daten jederzeit selbst über die App löschen.

§ 9 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich — spätestens jedoch innerhalb von 48 Stunden — nach Bekanntwerden einer Datenschutzverletzung im Sinne von Art. 33 DSGVO. Die Benachrichtigung enthält mindestens:

Meldungen an: hello@noxreach.io

§ 10 Rückgabe und Löschung nach Vertragsende

Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Der Auftraggeber kann seine Daten jederzeit vor Vertragsende selbst exportieren (CSV-Export in der App) oder eine vollständige Datenlöschung über Einstellungen → Konto löschen veranlassen.

Auf ausdrücklichen schriftlichen Wunsch bestätigt der Auftragsverarbeiter die Löschung.

§ 11 Drittlandübermittlungen

Die Primärdatenbank und Authentifizierung laufen auf Supabase-Infrastruktur in der EU (Frankfurt, AWS eu-central-1). Eine Übermittlung von Lead-Daten in Drittländer findet nicht statt.

Für Unterauftragsverarbeiter mit Sitz außerhalb des EWR (Supabase Inc., Resend Inc., Stripe Inc.) bestehen geeignete Garantien in Form von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ggf. ergänzender technischer Maßnahmen.

§ 12 Haftung

Jede Partei haftet gegenüber betroffenen Personen für den durch sie verursachten Schaden gemäß Art. 82 DSGVO. Im Innenverhältnis zwischen den Parteien gilt: Soweit der Auftragsverarbeiter nachweist, dass er für den schadensauslösenden Umstand nicht verantwortlich ist, wird er von der Haftung freigestellt.

§ 13 Änderungen dieses AVV

Dieser AVV kann vom Auftragsverarbeiter bei wesentlichen Änderungen des Leistungsumfangs oder der eingesetzten Unterauftragsverarbeiter angepasst werden. Änderungen werden mindestens 14 Tage vor Inkrafttreten mitgeteilt.

§ 14 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Köln.

Kontakt Datenschutz

Bei Fragen zu diesem AVV oder zum Datenschutz: hello@noxreach.io

Vollständige Kontaktdaten: Impressum · Datenschutzerklärung