SPONSORY

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO

zwischen

dem Kunden — im Folgenden „Verantwortlicher" —

(Name, Anschrift und rechtliche Identifikation ergeben sich aus dem bei der Registrierung angelegten Kundenkonto)

und

SLC Management GmbH Laufamholzstraße 116 90482 Nürnberg Deutschland vertreten durch die Geschäftsführer Prof. Dr. Alfons Madeja und Maximilian Madeja Amtsgericht Nürnberg, HRB 29702 — im Folgenden „Auftragsverarbeiter" oder „SLC" —

— nachfolgend gemeinsam „Parteien" —

Stand: 01.03.2026 Version: 1.0

Präambel

Der Verantwortliche nutzt die von SLC betriebene Software-as-a-Service-Plattform SPONSORY auf Grundlage eines separaten Nutzungsvertrags (nachfolgend „Hauptvertrag"), der insbesondere aus der Registrierung, den AGB und der gewählten Tarifbuchung besteht. Im Rahmen dieser Nutzung verarbeitet SLC personenbezogene Daten im Auftrag des Verantwortlichen. Die Parteien schließen diesen Vertrag zur Auftragsverarbeitung, um den Anforderungen des Art. 28 DSGVO zu genügen.

Dieser Vertrag wird mit der Registrierung des Kunden und seiner ausdrücklichen Bestätigung per Pflicht-Checkbox wirksam und ist untrennbarer Bestandteil des Hauptvertrags. Er ist jederzeit unter https://www.sponsoring-management.com/av-vertrag abrufbar und kann dort auch als PDF heruntergeladen werden.

§ 1 Gegenstand, Dauer und Konkretisierung des Auftrags

1.1 Gegenstand des Auftrags

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch SLC im Auftrag des Verantwortlichen zum Zweck der Bereitstellung und Durchführung der Plattform SPONSORY gemäß Hauptvertrag. Dies umfasst insbesondere:

  • das Speichern und Abrufen personenbezogener Daten durch den Verantwortlichen und seine Nutzer innerhalb der Plattform,
  • die technische Verarbeitung und Anzeige dieser Daten im Rahmen der Plattform-Funktionen,
  • die Übermittlung dieser Daten zwischen den vom Verantwortlichen autorisierten Nutzern innerhalb seines Mandanten,
  • die automatische Erstellung von Benachrichtigungen, Checklisten-Einträgen und Reporting-Daten auf Basis der vom Verantwortlichen eingegebenen Daten,
  • die sichere Speicherung hochgeladener Dokumente und Mediendateien auf Infrastruktur eines Sub-Auftragsverarbeiters (siehe § 8).

1.2 Dauer des Auftrags

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags. Sie endet automatisch mit dessen Beendigung, zuzüglich der in § 11 geregelten Fristen zur Rückgabe und Löschung der Daten.

1.3 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten der vom Verantwortlichen oder seinen autorisierten Nutzern eingegebenen personenbezogenen Daten im Rahmen der Funktionalität der Plattform.

1.4 Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich dem Zweck, den Verantwortlichen bei der Verwaltung, Bewertung und Vermarktung seiner Sponsoring-Rechte und -Assets sowie bei der Verwaltung seiner Sponsoren- und Lead-Beziehungen technisch zu unterstützen. Die Daten werden nicht zu anderen Zwecken von SLC genutzt, insbesondere nicht zu Werbe- oder Marketingzwecken oder zu Trainingszwecken von KI-Modellen.

1.5 Art der personenbezogenen Daten

Von der Verarbeitung können folgende Kategorien personenbezogener Daten betroffen sein:

  • Stammdaten natürlicher Personen (z. B. Vor- und Nachname, Anrede, Titel, Funktion/Position)
  • Kontaktdaten (z. B. geschäftliche und mobile Telefonnummer, E-Mail-Adresse)
  • Adressdaten (Anschriften, Geokoordinaten)
  • Unternehmens-/Branchenzuordnungen bei Sponsoren und Leads
  • Vertragsdaten (Laufzeiten, Werte, Zahlungsstatus)
  • Kommunikations- und Interaktionsdaten (Notizen, Aktivitäten, Checklistenkommentare)
  • Dokumentenanhänge, die personenbezogene Informationen enthalten können (z. B. Vertragsentwürfe, Angebote)
  • Reichweiten-/KPI-Daten aus Social-Media- und Analytics-Anbindungen im Modul Insights Central, soweit diese personenbezogen sind (in der Regel pseudonym/aggregiert)

1.6 Kreise betroffener Personen

Betroffen sind insbesondere:

  • Ansprechpartner und Kontaktpersonen bei Sponsoren und potenziellen Sponsoren (Leads) des Verantwortlichen
  • Weitere natürliche Personen, die der Verantwortliche im Rahmen der Plattform erfasst (z. B. interne Ansprechpartner, Dienstleister, Agenturen)

Mitarbeiter des Verantwortlichen, die als Nutzer der Plattform eingerichtet werden, sind keine betroffenen Personen im Sinne dieses AVV, sondern Nutzer – ihre Datenverarbeitung ist in der Datenschutzerklärung von SLC geregelt (Verantwortlichenrolle).

§ 2 Pflichten und Rechte des Verantwortlichen

2.1 Verantwortlichkeit für die Rechtmäßigkeit

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten allein verantwortlich. Er stellt insbesondere sicher, dass für die Erfassung, Verarbeitung und Nutzung der Daten eine ausreichende Rechtsgrundlage nach Art. 6 DSGVO besteht und dass er den Betroffenen die nach Art. 13, 14 DSGVO erforderlichen Informationen zur Verfügung gestellt hat.

2.2 Weisungsrecht und Weisungsform

Der Verantwortliche ist alleiniger Herr der Daten im Sinne der DSGVO. Er erteilt SLC Weisungen zur Verarbeitung der Daten. Weisungen werden grundsätzlich durch die im Rahmen der Plattform-Bedienung vorgenommenen Konfigurationen und Aktionen erteilt; über diese Standardweisungen hinausgehende individuelle Weisungen bedürfen der Textform (§ 126b BGB) an die Adresse data-privacy@sponsoring-management.com.

2.3 Weisungsbefugte Personen

Weisungsbefugt für den Verantwortlichen sind die im Kundenkonto mit der Rolle Superuser (Administrator des Kundenkontos) angelegten natürlichen Personen.

2.4 Mitteilung bei Fehlern oder Unregelmäßigkeiten

Der Verantwortliche hat SLC unverzüglich zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Bestimmungen feststellt.

2.5 Zuständigkeit für Betroffenenanfragen

Bei Anfragen oder Geltendmachungen von Rechten durch betroffene Personen (z. B. Auskunfts-, Berichtigungs-, Löschbegehren) ist der Verantwortliche zuständig. SLC unterstützt den Verantwortlichen gemäß § 4 Abs. 3.

§ 3 Allgemeine Pflichten von SLC

SLC verpflichtet sich, personenbezogene Daten nur im Rahmen dieses Vertrags und nach den Weisungen des Verantwortlichen zu verarbeiten. Weitere Verpflichtungen umfassen insbesondere:

3.1 Verarbeitung ausschließlich im Auftrag

SLC verarbeitet die Daten ausschließlich im dokumentierten Auftrag des Verantwortlichen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern eine solche Übermittlung nicht aufgrund einer Rechtsvorschrift der EU oder des Mitgliedstaats, dem SLC unterliegt, erforderlich ist. In diesem Fall teilt SLC dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

3.2 Verbot der zweckfremden Nutzung

SLC ist es untersagt, die Daten für andere als die im Hauptvertrag und diesem AVV festgelegten Zwecke zu verarbeiten. Insbesondere ist eine Nutzung der Daten zu eigenen Werbezwecken oder zu Zwecken des Trainings von KI-Modellen ausgeschlossen.

3.3 Anonymisierte, aggregierte Auswertungen (zulässig)

SLC ist berechtigt, aus den verarbeiteten Daten vollständig anonymisierte statistische Auswertungen zu erstellen, die keinen Rückschluss auf einzelne Betroffene, Kunden oder sonstige identifizierbare natürliche oder juristische Personen zulassen (Benchmark-Daten, Marktstatistiken). Solche anonymisierten Daten fallen nicht mehr unter den Anwendungsbereich der DSGVO.

3.4 Vertraulichkeit der Mitarbeiter

SLC gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten eingesetzten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der Tätigkeit fort.

3.5 Sicherheit der Verarbeitung

SLC ergreift die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs). Eine Beschreibung der aktuellen TOMs ist in Anlage 1 dieses Vertrags enthalten.

3.6 Einhaltung von Art. 28, 29 und 32 DSGVO

SLC verpflichtet sich zur Einhaltung aller Pflichten nach Art. 28, 29 und 32 DSGVO.

3.7 Datenschutzbeauftragter

SLC hat einen Datenschutzbeauftragten bestellt: Herrn Jens Jaschinski, erreichbar unter der oben genannten Anschrift von SLC, E-Mail: data-privacy@sponsoring-management.com.

3.8 Kontaktperson

Kontaktperson für alle datenschutzrechtlichen Angelegenheiten im Rahmen dieses Vertrags ist der Datenschutzbeauftragte gemäß § 3.7.

3.9 Meldung bei rechtswidrigen Weisungen

SLC informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach Auffassung von SLC gegen datenschutzrechtliche Vorschriften verstößt. SLC ist berechtigt, die Ausführung einer solchen Weisung bis zu ihrer Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

§ 4 Unterstützungsleistungen

4.1 Unterstützung bei Betroffenenanfragen

SLC unterstützt den Verantwortlichen – soweit möglich – mit geeigneten technischen und organisatorischen Maßnahmen bei dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person. Wenden sich betroffene Personen direkt an SLC, so wird SLC diese Anfragen unverzüglich an den Verantwortlichen weiterleiten.

4.2 Unterstützung bei Datenschutz-Folgenabschätzungen

SLC unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus den Art. 32 bis 36 DSGVO (insbesondere Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der SLC zur Verfügung stehenden Informationen.

4.3 Vergütung der Unterstützungsleistungen

Die genannten Unterstützungsleistungen werden für Standardanfragen (d. h. einfache Auskunfts- oder Löschersuchen in zumutbarem Umfang) nicht separat vergütet. Erfordert eine Unterstützungsleistung einen außergewöhnlichen Aufwand (z. B. umfangreiche manuelle Datenrecherchen, Erstellung individueller Exports, rechtliche Stellungnahmen), ist SLC berechtigt, diesen nach ihren jeweils gültigen Stundensätzen in Rechnung zu stellen, sofern der Aufwand nicht durch ein Verschulden von SLC verursacht wurde.

4.4 Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten

SLC unterrichtet den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten, die den Verarbeitungsgegenstand dieses Vertrags betrifft. Die Mitteilung enthält mindestens:

a) eine Beschreibung der Art der Verletzung sowie, soweit bekannt, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze;

b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Kontaktperson;

c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung;

d) eine Beschreibung der von SLC ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. zur Abmilderung der möglichen nachteiligen Auswirkungen.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Die von SLC ergriffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind in Anlage 1 zu diesem Vertrag beschrieben. SLC ist berechtigt, die TOMs fortzuentwickeln, um sie an die technologische Entwicklung und neue Risiken anzupassen. Wesentliche Reduzierungen des Sicherheitsniveaus sind ausgeschlossen.

§ 6 Kontroll- und Auditrechte

6.1 Kontrollrechte

Der Verantwortliche hat das Recht, sich selbst oder durch einen beauftragten Dritten (der nicht Wettbewerber von SLC sein darf) von der Einhaltung dieses Vertrags und der TOMs zu überzeugen. SLC stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind.

6.2 Durchführung von Audits

Kontrollen durch den Verantwortlichen werden in der Regel durch Einsicht in die schriftlichen Nachweise von SLC (z. B. TOMs, Zertifikate, Prüfberichte) und durch Beantwortung von schriftlichen Fragelisten erfolgen. Vor-Ort-Kontrollen sind nur ausnahmsweise und nach vorheriger schriftlicher Anmeldung unter Wahrung einer Vorlaufzeit von mindestens vier (4) Wochen und in Abstimmung mit SLC zulässig. Sie dürfen den Betriebsablauf von SLC nicht unangemessen beeinträchtigen.

6.3 Vergütung von Audits

Kontrollen, die über die Bereitstellung schriftlicher Unterlagen hinausgehen, werden vom Verantwortlichen auf eigene Kosten durchgeführt. Stellt eine Kontrolle eine von SLC zu vertretende wesentliche Verletzung dieses Vertrags fest, trägt SLC die angemessenen Kosten der Kontrolle.

§ 7 Kontrollrechte der Aufsichtsbehörde

SLC unterstützt den Verantwortlichen bei Kontrollen durch die zuständige Aufsichtsbehörde im Rahmen ihrer gesetzlichen Pflichten aus Art. 28 Abs. 3 lit. h DSGVO. SLC informiert den Verantwortlichen unverzüglich über Kontrollhandlungen der Aufsichtsbehörde, soweit diese die im Rahmen dieses Vertrags verarbeiteten Daten betreffen.

§ 8 Unterauftragsverhältnisse (Sub-Auftragsverarbeiter)

8.1 Genehmigte Sub-Auftragsverarbeiter

Der Verantwortliche erteilt mit Abschluss dieses Vertrags seine allgemeine Genehmigung zur Einschaltung der folgenden Sub-Auftragsverarbeiter:

Name und Anschrift Leistung Standort
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland Server-Hosting, Datenbank-Hosting, Object Storage (Medien/Dokumente), Backup-Infrastruktur Deutschland
Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande Zahlungsabwicklung (nur soweit der Verantwortliche automatische Zahlung gewählt hat; keine Verarbeitung der im AVV gegenständlichen Daten) Niederlande
Mailjet SAS, 4 rue Jules Lefebvre, 75009 Paris, Frankreich Versand transaktionaler E-Mails an vom Verantwortlichen angelegte Nutzer sowie ggf. an Empfänger aus dem Kontext der Plattform (z. B. Einladungen) Frankreich
Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA KI-gestützte Funktionen innerhalb der Plattform, insbesondere optionaler Chatbot (nur soweit vom Verantwortlichen aktiviert); keine Nutzung der Eingaben zum Training von Modellen USA (Drittlandtransfer; Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln)

Hinweis: Die Sub-Auftragsverarbeiter Mollie und Mailjet werden nur eingesetzt, soweit konkrete Funktionen (Online-Zahlung bzw. E-Mail-Versand) durch den Verantwortlichen genutzt werden. Anthropic wird nur eingesetzt, soweit der Verantwortliche KI-Funktionen (z. B. den Chatbot) aktiv nutzt.

8.2 Änderung der Sub-Auftragsverarbeiter

SLC wird den Verantwortlichen über beabsichtigte Änderungen im Kreis der Sub-Auftragsverarbeiter in Textform (z. B. per E-Mail oder durch Hinweis innerhalb der Plattform) mindestens vier (4) Wochen im Voraus informieren. Der Verantwortliche kann einer solchen Änderung innerhalb von vier (4) Wochen nach Zugang der Mitteilung aus wichtigem datenschutzrechtlichem Grund widersprechen.

8.3 Wirkung des Widerspruchs

Widerspricht der Verantwortliche fristgerecht, wird SLC versuchen, den Widerspruch durch Bereitstellung einer Alternative zu berücksichtigen. Ist dies nicht möglich oder nicht wirtschaftlich zumutbar, sind beide Parteien berechtigt, den Hauptvertrag mit einer Frist von einem Monat zum Monatsende zu kündigen.

8.4 Pflichten bei der Beauftragung

SLC wählt die Sub-Auftragsverarbeiter sorgfältig aus und schließt mit ihnen einen Vertrag, der ein mit diesem AVV vergleichbares Datenschutzniveau gewährleistet. Insbesondere werden die Sub-Auftragsverarbeiter auf die Einhaltung der in Art. 28 Abs. 3 DSGVO genannten Pflichten verpflichtet.

8.5 Sub-Auftragsverarbeiter in Drittländern

Bei Sub-Auftragsverarbeitern außerhalb der EU/des EWR stellt SLC sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist, insbesondere durch:

  • Angemessenheitsbeschluss der EU-Kommission (z. B. EU-US Data Privacy Framework),
  • EU-Standardvertragsklauseln,
  • sonstige geeignete Garantien nach Art. 46 DSGVO.

8.6 Keine Sub-Auftragsverarbeitung sind

Keine Sub-Auftragsverarbeitung im Sinne dieses Vertrags stellen Leistungen dar, die SLC zur Erfüllung ihrer eigenen Nebenpflichten (z. B. Telekommunikationsleistungen, Post- und Zustelldienste, Transport, Wartungs- und Benutzerservice, Reinigungskräfte, Prüfer oder Entsorgung von Datenträgern) von Dritten bezieht.

§ 9 Haftung

Für die Haftung der Parteien aus diesem Vertrag gelten die Regelungen der AGB / des Hauptvertrags, ergänzt um die gesetzliche Haftung nach Art. 82 DSGVO.

§ 10 Informations- und Dokumentationspflichten

10.1 Verzeichnis von Verarbeitungstätigkeiten

SLC führt ein Verzeichnis der im Rahmen dieses Vertrags im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.

10.2 Informationspflichten gegenüber dem Verantwortlichen

SLC stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind.

§ 11 Rückgabe und Löschung von Daten bei Beendigung

11.1 Datenexport bei Vertragsende

Bei Beendigung des Hauptvertrags kann der Verantwortliche vor Ablauf der in § 11.3 genannten Grace Period einen vollständigen Export seiner Daten über die in der Plattform bereitgestellten Export-Funktionen oder auf manuelle Anfrage per E-Mail an data-privacy@sponsoring-management.com verlangen.

11.2 Format des Exports

Der Export erfolgt in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, XLSX, PDF). Dokumenten-Anhänge werden in ihrem ursprünglichen Dateiformat bereitgestellt. Ein umfassender ZIP-Export kann bei entsprechender Anforderung innerhalb von 14 Kalendertagen bereitgestellt werden.

11.3 Grace Period und Löschung

Nach Beendigung des Hauptvertrags werden die vom Verantwortlichen in die Plattform eingegebenen personenbezogenen Daten (Kundendaten) für eine Grace Period von dreißig (30) Tagen weiter vorgehalten, um dem Verantwortlichen Gelegenheit zu geben, einen Export vorzunehmen oder das Abonnement zu reaktivieren. Nach Ablauf der Grace Period werden die Kundendaten automatisch und unwiderruflich gelöscht. Eine Löschbestätigung erfolgt auf Anfrage in Textform.

11.4 Gesetzliche Aufbewahrungspflichten

Soweit SLC aufgrund gesetzlicher Aufbewahrungspflichten (z. B. § 147 AO, § 257 HGB) verpflichtet ist, bestimmte Daten über die Löschung hinaus aufzubewahren, bezieht sich diese Pflicht ausschließlich auf Daten im Verantwortlichenbereich von SLC (z. B. Rechnungsdaten) und nicht auf die im Auftrag verarbeiteten Kundendaten.

11.5 Löschung aus Backups

Die Löschung aus Disaster-Recovery-Backups erfolgt nach Ablauf des regulären Backup-Zyklus (spätestens innerhalb von 90 Tagen nach der Primärlöschung). Bis dahin werden die Daten aus den Backups nicht mehr aktiv verarbeitet oder wiederhergestellt.

§ 12 Schlussbestimmungen

12.1 Vorrang

Bei Widersprüchen zwischen den Regelungen dieses AVV und den Regelungen des Hauptvertrags (insbesondere den AGB) gehen die Regelungen dieses AVV im Bereich des Datenschutzes vor.

12.2 Anwendbares Recht, Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist Nürnberg.

12.3 Textform

Änderungen und Ergänzungen dieses Vertrags bedürfen zu ihrer Wirksamkeit der Textform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.

12.4 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht. Anstelle der unwirksamen Bestimmung tritt diejenige wirksame Bestimmung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Anlage 1 — Technische und organisatorische Maßnahmen (TOMs)

Diese Anlage beschreibt die zum Zeitpunkt des Vertragsschlusses getroffenen TOMs von SLC. Die Maßnahmen werden kontinuierlich dem Stand der Technik angepasst.

A. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

A.1 Zutrittskontrolle. Die physische Infrastruktur wird beim Auftragsverarbeiter Hetzner Online GmbH in zertifizierten Rechenzentren in Deutschland betrieben. Die Zutrittssicherheit wird durch Hetzner gewährleistet (ISO/IEC 27001-zertifiziert). SLC hat keine eigenen Serverräume mit personenbezogenen Daten.

A.2 Zugangskontrolle. Der Zugang zum Applikationsserver ist auf autorisierte Administratoren beschränkt (SSH-Key-basierte Authentifizierung, kein Passwort-Login). Zugriffe auf den Produktivbetrieb werden protokolliert.

A.3 Zugriffskontrolle innerhalb der Anwendung.

  • Rollenbasierte Zugriffskontrolle (RBAC) mit dynamischem Rollen-System
  • Mandantentrennung durch Club-ID; ein Mandant kann Daten anderer Mandanten niemals lesen
  • Passwort-Speicherung ausschließlich als bcrypt-Hash
  • Optional aktivierbare Zwei-Faktor-Authentifizierung per TOTP
  • TOTP-Secrets werden AES-256-GCM-verschlüsselt gespeichert

A.4 Trennungskontrolle. Personenbezogene Daten verschiedener Kunden werden in derselben Datenbank gehalten, jedoch strikt logisch getrennt. Produktivdaten und Entwicklungs-/Testdaten werden in getrennten Umgebungen gehalten.

A.5 Pseudonymisierung. Chatbot-Konversationen nicht angemeldeter Website-Besucher werden ausschließlich unter einer pseudonymen Besucher-ID geführt. Personenbezogene Daten in aggregierten Reporting-Funktionen werden anonymisiert.

B. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

B.1 Weitergabekontrolle / Transportverschlüsselung. Alle Verbindungen zur Plattform erfolgen ausschließlich verschlüsselt über TLS 1.3. HTTP-Zugriffe werden serverseitig auf HTTPS umgeleitet. HSTS ist aktiv.

B.2 Eingabekontrolle. Administrative Änderungen (z. B. Rollen- und Konfigurationsänderungen, Löschungen) werden in einem Audit-Log protokolliert. Das Audit-Log enthält Zeitstempel, ausführende Benutzer-ID und betroffene Entität.

C. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

C.1 Verfügbarkeitskontrolle. Die Plattform wird auf einer redundanten Infrastruktur bei Hetzner betrieben. Anwendungsserver werden durch Prozess-Supervisor überwacht und automatisch neu gestartet. Unterbrechungsfreie Stromversorgung und Kühlung werden durch Hetzner gewährleistet.

C.2 Disaster-Recovery-Backup. Die Datenbank wird in regelmäßigen Abständen gesichert. Die Backups werden auf Hetzner-Infrastruktur in Deutschland aufbewahrt.

C.3 Rasche Wiederherstellbarkeit. SLC hat einen dokumentierten Wiederanlauf-Prozess für den Fall eines Infrastrukturausfalls.

D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

D.1 Datenschutz-Management. Regelmäßige Überprüfung der eingesetzten TOMs durch die Geschäftsführung und den Datenschutzbeauftragten.

D.2 Incident-Response. Bei sicherheitsrelevanten Vorfällen greift ein Incident-Response-Prozess. Verletzungen des Schutzes personenbezogener Daten werden innerhalb von 72 Stunden an den Verantwortlichen gemeldet.

D.3 Privacy by Design / by Default. Neue Features werden vor Veröffentlichung auf datenschutzrechtliche Risiken geprüft; Voreinstellungen sind datenschutzfreundlich (z. B. restriktive Standard-Rechte, minimale Datenerhebung).

D.4 Auftragsverwaltung. Mit allen eingesetzten Sub-Auftragsverarbeitern bestehen Verträge, die ein mindestens gleichwertiges Schutzniveau gewährleisten.

D.5 Software-Updates. Eingesetzte Frameworks, Bibliotheken und Systemkomponenten werden regelmäßig auf Sicherheitsaktualisierungen überprüft und zeitnah gepatcht.

SLC Management GmbH Laufamholzstraße 116, 90482 Nürnberg, Deutschland Amtsgericht Nürnberg, HRB 29702 USt-IdNr. DE 289668995

Kontakt Datenschutz: data-privacy@sponsoring-management.com

Stand: 12.04.2026

← Zurück zur Startseite

© 2026 SPONSORY — Die Smart Sponsoring Plattform |SLC Management GmbH

ImpressumDatenschutzAGBAV-Vertrag