Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: Juni 2026

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Nutzungsbedingungen zwischen dem Kunden („Verantwortlicher“, „du“) und nGage.band mit Sitz in der Burgtstraat 1, 6701 DA Wageningen, Niederlande, KvK 09213052 („Auftragsverarbeiter“, „wir“, „uns“). Er regelt die Verarbeitung personenbezogener Daten durch uns in deinem Auftrag, wenn du den nGage.band-Dienst (der „Dienst“) nutzt.

Wenn du personenbezogene Daten über andere Personen (wie Bandmitglieder, Kontakte und Beziehungen) in den Dienst eingibst, handelst du als Verantwortlicher und wir als Auftragsverarbeiter. Dieser AVV gilt für diese Verarbeitung. Er gilt nicht für Daten, für die wir der Verantwortliche sind (zum Beispiel deine Konto- und Abrechnungsdaten), welche durch unsere Datenschutzrichtlinie abgedeckt sind.

1. Definitionen

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „betroffene Person“, „Verantwortlicher“, „Auftragsverarbeiter“, „Unterauftragsverarbeiter“ und „Verletzung des Schutzes personenbezogener Daten“ haben die in der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, „DSGVO“) festgelegte Bedeutung.

2. Umfang und Rollen

Du bestimmst die Zwecke und Mittel der Verarbeitung personenbezogener Daten, die du in den Dienst eingibst, und bist der Verantwortliche. Wir verarbeiten diese personenbezogenen Daten nur als dein Auftragsverarbeiter in deinem Auftrag, um den Dienst bereitzustellen. Gegenstand, Art, Zweck und Dauer der Verarbeitung sowie die Kategorien der betroffenen Personen und die Arten der personenbezogenen Daten sind in Anhang I festgelegt.

3. Unsere Pflichten

Wir werden:

a. personenbezogene Daten nur auf deine dokumentierten Weisungen hin verarbeiten, auch in Bezug auf Übermittlungen, sofern wir nicht durch das Recht der EU oder eines Mitgliedstaats dazu verpflichtet sind; in diesem Fall informieren wir dich, sofern das betreffende Recht dies nicht untersagt. Deine Nutzung des Dienstes und dieser AVV stellen deine dokumentierten Weisungen dar;

b. sicherstellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben;

c. geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Anhang II beschrieben;

d. die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern gemäß Ziffer 5 einhalten;

e. dich unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete Maßnahmen dabei unterstützen, Anfragen von betroffenen Personen zur Ausübung ihrer Rechte zu beantworten;

f. dich bei der Einhaltung deiner Pflichten in Bezug auf Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen unterstützen, unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen;

g. nach deiner Wahl alle personenbezogenen Daten nach Abschluss der Erbringung des Dienstes löschen oder zurückgeben und vorhandene Kopien löschen, sofern nicht das Recht der EU oder eines Mitgliedstaats eine Speicherung vorschreibt (wie die 7-jährige Aufbewahrungsfrist für Finanzunterlagen nach niederländischem Steuerrecht);

h. dir die Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung dieser Ziffer und der DSGVO erforderlich sind, und Überprüfungen gemäß Ziffer 6 ermöglichen und dazu beitragen.

4. Verletzungen des Schutzes personenbezogener Daten

Wir werden dich unverzüglich benachrichtigen, nachdem wir Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhalten haben, die in deinem Auftrag verarbeitete Daten betrifft, und die uns vernünftigerweise zur Verfügung stehenden Informationen bereitstellen, um dir bei der Erfüllung deiner Meldepflichten zu helfen.

5. Unterauftragsverarbeiter

Du erteilst uns die allgemeine Genehmigung, Unterauftragsverarbeiter mit der Erbringung des Dienstes zu beauftragen. Eine Liste der aktuellen Unterauftragsverarbeiter führen wir in Anhang III. Wir werden dich über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren und dir die Möglichkeit geben, innerhalb von 14 Tagen aus berechtigten Gründen Widerspruch einzulegen. Wir erlegen jedem Unterauftragsverarbeiter vertraglich Datenschutzpflichten auf, die denen in diesem AVV entsprechen, und bleiben für deren Erfüllung verantwortlich.

6. Überprüfungen

Wir werden Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung dieses AVV erforderlich sind. Sofern du berechtigterweise eine Überprüfung verlangst, kann diese durch die Bereitstellung relevanter Unterlagen, Zertifizierungen oder Prüfberichte Dritter erfüllt werden. Jede Vor-Ort-Prüfung erfolgt auf deine Kosten, wird im Voraus vereinbart und während der Geschäftszeiten so durchgeführt, dass unser Betrieb oder die Daten anderer Kunden nicht gestört werden.

7. Internationale Übermittlungen

Wir speichern personenbezogene Daten innerhalb der EU. Sofern eine Übermittlung personenbezogener Daten in ein Land außerhalb des EWR erforderlich ist (beispielsweise durch eine von dir aktivierte Integration eines Drittanbieters), stellen wir sicher, dass ein angemessener Übermittlungsmechanismus gemäß der DSGVO vorhanden ist, wie etwa die Standardvertragsklauseln der Europäischen Kommission.

8. Haftung und Laufzeit

Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den in den Nutzungsbedingungen festgelegten Haftungsbeschränkungen. Dieser AVV tritt in Kraft, wenn du die Nutzungsbedingungen akzeptierst, und bleibt so lange in Kraft, wie wir personenbezogene Daten in deinem Auftrag verarbeiten.

9. Anwendbares Recht

Dieser AVV unterliegt dem Recht der Niederlande. Im Falle von Widersprüchen zwischen diesem AVV und den Nutzungsbedingungen in Bezug auf die Verarbeitung personenbezogener Daten in deinem Auftrag geht dieser AVV vor.

Anhang I — Einzelheiten der Verarbeitung

Gegenstand: Bereitstellung des nGage.band-Dienstes für das Bandmanagement.

Dauer: für die Laufzeit der Nutzungsbedingungen und so lange, wie wir personenbezogene Daten in deinem Auftrag verarbeiten.

Art und Zweck: Hosting, Speicherung, Organisation, Abruf und Anzeige der von dir eingegebenen Daten, um die Funktionen des Dienstes bereitzustellen (Band, Mitglieder, Songs, Setlisten, Auftritte, Proben, Rider, Newsletter, Kalender, Rechnungsstellung, Beziehungen und Ähnliches).

Kategorien betroffener Personen: die Bandmitglieder, Kontakte, Beziehungen, Kunden und andere Personen, deren Daten du in den Dienst eingibst.

Arten personenbezogener Daten: Namen, Kontaktdaten (wie E-Mail-Adresse, Telefonnummer, Anschrift), Rolle innerhalb der Band, Verfügbarkeits- und Planungsdaten, Kalenderdaten sowie Rechnungs- und Finanzdaten in Bezug auf deine Kontakte.

Besondere Kategorien personenbezogener Daten: Es werden keine benötigt oder angefordert. Du solltest keine Daten besonderer Kategorien eingeben; falls du dies tust, geschieht dies als Verantwortlicher und in deiner eigenen Verantwortung.

Anhang II — Technische und organisatorische Sicherheitsmaßnahmen

 

  • Der Zugriff auf Systeme ist auf autorisiertes Personal beschränkt und durch Authentifizierung geschützt.
  • Daten bei der Übertragung werden durch Verschlüsselung (TLS/HTTPS) geschützt.
  • Logische Trennung von Kundendaten innerhalb der Anwendung.
  • Regelmäßige Backups zur Unterstützung der Datenwiederherstellung.
  • Hosting auf Infrastruktur innerhalb der EU mit physischer Sicherheit durch den Hosting-Anbieter.
  • Protokollierung und Überwachung zur Erkennung von und Reaktion auf Sicherheitsereignisse.
  • Verfahren zur Identifizierung, Bewertung und Meldung von Verletzungen des Schutzes personenbezogener Daten.

Anhang III — Unterauftragsverarbeiter

 

  • Hetzner Online GmbH — Hosting und Infrastruktur — Deutschland (EU).
  • Mollie B.V. — Zahlungsabwicklung — Niederlande (EU).