Worum geht es? Als DJ gibst du Kontaktdaten von Venues, Promotern und Agenturen in NoxReach ein. Das sind personenbezogene Daten Dritter. Du bist als Nutzer der datenschutzrechtlich Verantwortliche – NoxReach verarbeitet diese Daten nur in deinem Auftrag. Dieser Vertrag regelt genau das, wie von der DSGVO (Art. 28) vorgeschrieben.
Gregorgus (GEEZ) — NoxReach
c/o Online-Impressum #8015, Europaring 90, 53757 St. Augustin, Deutschland
E-Mail: hello@noxreach.io
(nachfolgend „Auftragsverarbeiter" oder „NoxReach")
Die natürliche oder juristische Person, die ein NoxReach-Nutzerkonto anlegt und betreibt.
(nachfolgend „Auftraggeber" oder „Verantwortlicher")
Dieser AVV wird durch die Registrierung und Nutzung von NoxReach automatisch geschlossen und ist Bestandteil der AGB.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung der NoxReach-Plattform (DJ-Buchungsmanagement). Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags gemäß den AGB.
Art der Verarbeitung: Speicherung, Strukturierung, Abruf, Anzeige, Weiterleitung (E-Mail-Benachrichtigungen) und Löschung personenbezogener Daten im Rahmen der Plattformfunktionen.
Zweck: Verwaltung von Buchungskontakten und -anfragen durch den Auftraggeber; Versand von Follow-up-Erinnerungen und Benachrichtigungen an den Auftraggeber.
Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, sofern der Auftraggeber solche nicht eigenständig eingibt. Die Eingabe besonderer Kategorien ist nicht vorgesehen und liegt allein in der Verantwortung des Auftraggebers.
Der Auftragsverarbeiter verpflichtet sich:
Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung der durch ihn eingegebenen personenbezogenen Daten selbst verantwortlich. Er stellt insbesondere sicher, dass:
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen er vergleichbare Datenschutzpflichten auferlegt hat:
| Dienstleister | Zweck | Sitz / Server | Garantie |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Datenspeicherung | USA (Sitz) / EU-West-1 Frankfurt (Daten) | AWS eu-central-1, SOC 2 Type II, AVV abgeschlossen |
| Resend Inc. | Transaktionaler E-Mail-Versand (Benachrichtigungen, Digest) | USA (Sitz) / EU-Infrastruktur | EU SCCs, AVV verfügbar |
| Stripe Inc. | Zahlungsabwicklung (nur Rechnungsdaten, keine Lead-Daten) | USA (Sitz) / EU-Rechenzentren | EU SCCs, PCI DSS Level 1, AVV abgeschlossen |
Änderungen bei Unterauftragsverarbeitern werden dem Verantwortlichen mindestens 14 Tage im Voraus per E-Mail oder über die Plattform mitgeteilt. Der Verantwortliche kann gegen die Hinzunahme eines neuen Unterauftragsverarbeiters innerhalb von 14 Tagen Widerspruch einlegen; in diesem Fall steht beiden Parteien ein außerordentliches Kündigungsrecht zu.
NoxReach hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:
Verschlüsselung aller Daten in Transit (TLS 1.2+) und at Rest (AES-256). Zugriff auf Produktionsdaten nur für autorisiertes Personal.
Row-Level Security (RLS) in Supabase: jeder Nutzer sieht ausschließlich eigene Daten. Datenbankzugriffe werden geloggt.
Automatisierte Backups täglich. Hosting in AWS eu-central-1 (Frankfurt) mit Multi-AZ-Redundanz über Supabase.
Infrastruktur ist auf horizontale Skalierung ausgelegt. Regelmäßige Überprüfung der Systemgesundheit und automatisierte Alerts.
Authentifizierung via Supabase Auth (JWT). Passwörter werden gehasht gespeichert (bcrypt). Keine Klartextpasswörter.
Nur die für den Betrieb notwendigen Daten werden erhoben. Keine Weitergabe an Werbetreibende oder Dritte außerhalb der genannten Unterauftragsverarbeiter.
Soweit betroffene Personen ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch) gegenüber NoxReach direkt geltend machen, leitet NoxReach diese Anfragen unverzüglich an den Verantwortlichen weiter. Der Verantwortliche ist für die inhaltliche Bearbeitung zuständig.
Technische Löschungen von Datensätzen auf Anfrage des Verantwortlichen werden von NoxReach innerhalb von 30 Tagen umgesetzt. Der Auftraggeber kann Daten jederzeit selbst über die App löschen.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich — spätestens jedoch innerhalb von 48 Stunden — nach Bekanntwerden einer Datenschutzverletzung im Sinne von Art. 33 DSGVO. Die Benachrichtigung enthält mindestens:
Meldungen an: hello@noxreach.io
Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
Der Auftraggeber kann seine Daten jederzeit vor Vertragsende selbst exportieren (CSV-Export in der App) oder eine vollständige Datenlöschung über Einstellungen → Konto löschen veranlassen.
Auf ausdrücklichen schriftlichen Wunsch bestätigt der Auftragsverarbeiter die Löschung.
Die Primärdatenbank und Authentifizierung laufen auf Supabase-Infrastruktur in der EU (Frankfurt, AWS eu-central-1). Eine Übermittlung von Lead-Daten in Drittländer findet nicht statt.
Für Unterauftragsverarbeiter mit Sitz außerhalb des EWR (Supabase Inc., Resend Inc., Stripe Inc.) bestehen geeignete Garantien in Form von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ggf. ergänzender technischer Maßnahmen.
Jede Partei haftet gegenüber betroffenen Personen für den durch sie verursachten Schaden gemäß Art. 82 DSGVO. Im Innenverhältnis zwischen den Parteien gilt: Soweit der Auftragsverarbeiter nachweist, dass er für den schadensauslösenden Umstand nicht verantwortlich ist, wird er von der Haftung freigestellt.
Dieser AVV kann vom Auftragsverarbeiter bei wesentlichen Änderungen des Leistungsumfangs oder der eingesetzten Unterauftragsverarbeiter angepasst werden. Änderungen werden mindestens 14 Tage vor Inkrafttreten mitgeteilt.
Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Köln.
Bei Fragen zu diesem AVV oder zum Datenschutz: hello@noxreach.io
Vollständige Kontaktdaten: Impressum · Datenschutzerklärung