MOIMio

Vereinbarung zur Auftragsverarbeitung

Stand: 28. Mai 2026

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) regelt die Verarbeitung personenbezogener Daten durch Pistio im Auftrag von Organisationen, die Moimio nutzen. Sie entspricht den im Rahmen der Moimio-Nutzungsbedingungen vereinbarten Regelungen zur Auftragsverarbeitung. Beide Dokumente werden inhaltlich konsistent gehalten. Für die meisten Kunden sind die bei Vertragsschluss akzeptierten Regelungen ausreichend. Organisationen, deren Compliance-Anforderungen eine gesondert unterzeichnete Vereinbarung erfordern, können auf Anfrage eine gegengezeichnete PDF-Fassung erhalten.

Diese AVV ist Bestandteil der Vereinbarung zwischen

(1) dem Kunden – der Organisation, die einen Moimio-Account führt („Verantwortlicher“), und

(2) Pistio, einem im Vereinigten Königreich registrierten Einzelunternehmen mit Sitz in 66 Paul Street, London EC2A 4NA („Auftragsverarbeiter“),

und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung des Moimio-Dienstes.

1. Begriffsbestimmungen

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ sowie „Verletzung des Schutzes personenbezogener Daten“ haben die Bedeutung, die ihnen nach der UK GDPR, der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) beziehungsweise den jeweils anwendbaren Datenschutzgesetzen zukommt.

„Anwendbares Datenschutzrecht“ bezeichnet die UK GDPR, die DSGVO sowie sämtliche weiteren auf die Verarbeitung anwendbaren Datenschutzgesetze.

2. Gegenstand, Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung des Moimio-Dienstes. Dies umfasst insbesondere die Anmeldung von Veranstaltungsteilnehmern sowie deren Einteilung in Zimmer, Gruppen und Teams entsprechend den Vorgaben und Einstellungen des Verantwortlichen.

Die Verarbeitung erfolgt für die Dauer des Bestehens des Moimio-Accounts des Verantwortlichen.

3. Kategorien personenbezogener Daten und betroffene Personen

Die Kategorien personenbezogener Daten sowie die betroffenen Personengruppen ergeben sich aus Anlage 1.

4. Weisungen des Verantwortlichen

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Dies umfasst insbesondere die in dieser AVV, den Moimio-Nutzungsbedingungen sowie die durch die Konfiguration und Nutzung der Software erteilten Weisungen.

4.2 Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für rechtswidrig oder für einen Verstoß gegen das Anwendbare Datenschutzrecht, wird er den Verantwortlichen hierüber unverzüglich informieren.

4.3 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für eigene Zwecke.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

  1. sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen einer angemessenen Vertraulichkeitsverpflichtung unterliegen;
  2. die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen umzusetzen und aufrechtzuerhalten;
  3. die Voraussetzungen für den Einsatz von Unterauftragsverarbeitern gemäß Abschnitt 6 einzuhalten;
  4. den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen dabei zu unterstützen, Anfragen betroffener Personen zur Ausübung ihrer Rechte zu erfüllen;
  5. den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter verfügbaren Informationen bei der Erfüllung seiner Pflichten hinsichtlich Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und gegebenenfalls vorheriger Konsultationen zu unterstützen;
  6. nach Wahl des Verantwortlichen personenbezogene Daten nach Beendigung der Leistungserbringung zurückzugeben oder zu löschen sowie vorhandene Kopien gemäß Abschnitt 8 zu entfernen;
  7. dem Verantwortlichen die zur Prüfung der Einhaltung dieser AVV erforderlichen Informationen bereitzustellen und Audits gemäß Abschnitt 9 zu ermöglichen.

6. Unterauftragsverarbeiter

6.1 Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die in Anlage 3 aufgeführten Unterauftragsverarbeiter einzusetzen.

6.2 Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die den in dieser AVV festgelegten Pflichten mindestens gleichwertig sind. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die ordnungsgemäße Erfüllung der Datenschutzpflichten durch den jeweiligen Unterauftragsverarbeiter verantwortlich.

6.3 Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich des Einsatzes von Unterauftragsverarbeitern, insbesondere über deren Hinzufügung oder Austausch, und räumt dem Verantwortlichen eine angemessene Frist zur Erhebung von Einwänden ein.

7. Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die personenbezogene Daten des Verantwortlichen betrifft.

Der Auftragsverarbeiter stellt dem Verantwortlichen die Informationen zur Verfügung, die dieser vernünftigerweise benötigt, um seinen gesetzlichen Melde- und Benachrichtigungspflichten nachzukommen.

8. Löschung und Rückgabe personenbezogener Daten

Nach Schließung des Accounts des Verantwortlichen werden die personenbezogenen Daten der Teilnehmer für einen Zeitraum von 30 Tagen zum Export bereitgestellt. Anschließend werden die Daten entsprechend dem Moimio-Lösch- und Aufbewahrungskonzept gelöscht.

Der Workspace und die darin enthaltenen Daten, einschließlich regulärer Sicherungskopien, werden innerhalb von 44 Tagen nach Schließung des Accounts dauerhaft gelöscht.

Soweit sich Daten in routinemäßigen Sicherungskopien befinden, werden diese im Rahmen der jeweiligen Sicherungs- und Aufbewahrungsfristen entfernt. Bei einzeln gelöschten Veranstaltungen erfolgt die Entfernung spätestens innerhalb von sechs Monaten.

9. Auditrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser AVV nachzuweisen.

Der Verantwortliche ist berechtigt, nach angemessener Vorankündigung und unter Wahrung angemessener Vertraulichkeitsanforderungen Audits oder Inspektionen selbst oder durch einen von ihm beauftragten Prüfer durchführen zu lassen. Der Auftragsverarbeiter wird solche Prüfungen in angemessenem Umfang unterstützen.

10. Internationale Datenübermittlungen

Personenbezogene Daten werden innerhalb der Europäischen Union, insbesondere in Deutschland, gehostet und verarbeitet.

Der Auftragsverarbeiter, Pistio, hat seinen Sitz im Vereinigten Königreich und greift von dort aus auf personenbezogene Daten zu, soweit dies für den Betrieb und die Unterstützung des Dienstes erforderlich ist.

Daher können personenbezogene Daten zwischen dem Vereinigten Königreich und dem Europäischen Wirtschaftsraum übertragen werden. Diese Übermittlungen beruhen auf dem Angemessenheitsbeschluss der Europäischen Kommission für das Vereinigte Königreich sowie auf der Anerkennung des Europäischen Wirtschaftsraums durch das Vereinigte Königreich. Zusätzliche Garantien für diese Datenübermittlungen sind daher nicht erforderlich.

Eine Übermittlung personenbezogener Daten in andere Staaten außerhalb des Vereinigten Königreichs oder des Europäischen Wirtschaftsraums erfolgt nur, soweit dies nach dem Anwendbaren Datenschutzrecht zulässig ist und geeignete Garantien bestehen.

11. EU- und UK-Vertreter

Für sämtliche datenschutzrechtlichen Fragen im Zusammenhang mit dieser AVV, einschließlich der Benennung oder Tätigkeit eines Vertreters nach Artikel 27 DSGVO, soweit ein solcher erforderlich ist, kann Kontakt über [email protected] aufgenommen werden.

12. Haftung und anwendbares Recht

12.1 Die Haftung der Parteien im Rahmen dieser AVV richtet sich nach den Haftungsregelungen der Moimio-Nutzungsbedingungen.

12.2 Diese AVV unterliegt dem Recht von England und Wales.

12.3 Im Falle von Abweichungen zwischen verschiedenen Sprachfassungen dieser AVV ist die englische Fassung maßgeblich.

Anlage 1 – Kategorien personenbezogener Daten und betroffene Personen

Betroffene Personen:

Teilnehmer von Veranstaltungen, die vom Verantwortlichen organisiert werden, insbesondere Teilnehmer von Freizeiten, Konferenzen, Camps oder vergleichbaren Veranstaltungen.

Kategorien personenbezogener Daten:

Der Auftragsverarbeiter kann im Auftrag des Verantwortlichen folgende Kategorien personenbezogener Daten verarbeiten:

Angaben zu Ernährung, Allergien oder Barrierefreiheitsanforderungen können besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO darstellen. Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass für die Verarbeitung solcher Daten eine geeignete Rechtsgrundlage besteht.

Anlage 2 – Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt insbesondere folgende technische und organisatorische Maßnahmen um:

Die Maßnahmen werden regelmäßig überprüft und können weiterentwickelt werden, sofern das Sicherheitsniveau nicht verringert wird.

Anlage 3 – Unterauftragsverarbeiter

Unterauftragsverarbeiter Zweck Standort
Hetzner Hosting und Infrastruktur Deutschland (EU)
Paddle Zahlungsabwicklung (Merchant of Record) EU / weltweit
Mailjet Versand transaktionaler E-Mails EU
Cloudflare DNS, Content Delivery und Website-Hosting weltweit

Der Auftragsverarbeiter kann weitere Unterauftragsverarbeiter gemäß Abschnitt 6 dieser Vereinbarung einsetzen.

Eine gegengezeichnete PDF-Fassung dieser Vereinbarung wird auf Anfrage bereitgestellt. Anfragen können an [email protected] gerichtet werden.

Impressum

Pistio
Einzelunternehmen (Sole Trader nach UK-Recht)
Inhaber: Johannes Kim
66 Paul Street
London EC2A 4NA
Vereinigtes Königreich
Kontakt: [email protected]

Erstattungsrichtlinie

Stand: 4. Juni 2026

Diese Erstattungsrichtlinie erläutert, unter welchen Voraussetzungen Zahlungen für Moimio erstattet werden können und wie eine Erstattung beantragt wird. Moimio wird von Pistio, einem im Vereinigten Königreich registrierten Einzelunternehmen mit Sitz in 66 Paul Street, London EC2A 4NA, betrieben. Zahlungen werden von Paddle als Merchant of Record abgewickelt. Paddle ist Vertragspartner für den Kauf und bearbeitet Erstattungsanfragen.

1. Zahlungsmodell von Moimio

Moimio Hosted kostet 150 € pro Veranstaltung mit bis zu 300 Teilnehmern zuzüglich gegebenenfalls anfallender Steuern.

Jede Zahlung über 150 € entspricht einem Event-Credit. Ein Event-Credit berechtigt zur Durchführung einer Veranstaltung. Die erste Zahlung erstellt den Account und beinhaltet einen Event-Credit. Jede weitere Zahlung fügt einen zusätzlichen Event-Credit hinzu. Es können mehrere Event-Credits im Voraus erworben und vorgehalten werden.

Für die Erstellung einer Veranstaltung wird ein Event-Credit verwendet.

2. Erstattungsrecht für die erste Zahlung

Für die erste Zahlung, mit der der Account erstellt wird, besteht ein vertragliches Erstattungsrecht von 30 Tagen.

Innerhalb von 30 Tagen nach dieser Zahlung kann eine vollständige Erstattung beantragt werden, auch wenn bereits eine Veranstaltung erstellt oder durchgeführt wurde.

Da diese Zahlung die Grundlage für die Bereitstellung des Accounts bildet, führt eine Erstattung zur sofortigen Schließung des Accounts sowie zur unverzüglichen Löschung der zugehörigen Daten. In diesem Fall bestehen weder ein Exportzeitraum noch eine Möglichkeit zur Wiederherstellung des Accounts.

Mit der Erstattung erlischt der Anspruch auf die weitere Speicherung oder Bereitstellung der betreffenden Daten.

3. Erstattung später erworbener Event-Credits

Event-Credits, die nach der ersten Zahlung erworben werden, können innerhalb von 30 Tagen ab Kaufdatum vollständig erstattet werden, solange sie ungenutzt sind.

Sobald ein Event-Credit für die Erstellung einer Veranstaltung verwendet wurde, gilt er als verbraucht und ist nicht mehr erstattungsfähig.

Die Nutzung eines Event-Credits setzt stets eine ausdrückliche Bestätigung voraus.

Unverbrauchte Event-Credits verfallen nicht.

4. Zahlungen nach Ablauf von 30 Tagen

Nach Ablauf von 30 Tagen ab dem jeweiligen Zahlungsdatum besteht kein Anspruch mehr auf Erstattung, sofern nicht zwingende gesetzliche Vorschriften etwas anderes vorsehen.

5. Beantragung einer Erstattung

Erstattungen werden von Paddle als Merchant of Record bearbeitet.

Eine Erstattung kann über den Link in der Paddle-Quittung oder über paddle.net beantragt werden.

Die Löschung eines Accounts innerhalb von Moimio stellt keinen Erstattungsantrag dar. Die Schließung eines Accounts unterliegt einem eigenständigen Datenaufbewahrungs- und Löschprozess, der in Abschnitt 7 beschrieben wird.

6. Gesetzliche Rechte und Bedingungen von Paddle

Diese Erstattungsrichtlinie gilt ergänzend zu den jeweils anwendbaren gesetzlichen Verbraucherrechten sowie zu den Buyer Terms and Conditions und der Refund Policy von Paddle.

Soweit gesetzliche Bestimmungen oder die Bedingungen von Paddle weitergehende Rechte gewähren, bleiben diese unberührt.

Diese Richtlinie schränkt insbesondere keine Rechte hinsichtlich mangelhafter, nicht vertragsgemäßer oder für den vorgesehenen Zweck ungeeigneter Leistungen ein.

7. Erstattung und Schließung des Accounts

Die Erstattung der ersten Zahlung führt zur sofortigen Schließung des Accounts und zur Löschung der zugehörigen Daten gemäß Abschnitt 2.

Die Schließung eines Accounts ohne Erstattung erfolgt nach einem anderen Verfahren.

Der Account wird zunächst pausiert. Für einen Zeitraum von 30 Tagen kann über einen privaten Link eine vollständige Kopie der Daten heruntergeladen werden, ohne dass eine Anmeldung erforderlich ist. Für einen Zeitraum von 44 Tagen kann der Account mit einem Klick und ohne weitere Zahlung wiederhergestellt werden.

Erst nach Ablauf dieses Zeitraums werden die Daten einschließlich vorhandener Sicherungskopien dauerhaft gelöscht.

Dieser Lebenszyklus wird außerdem auf der Preisseite sowie in der Vereinbarung zur Auftragsverarbeitung beschrieben.

8. Missbrauch von Erstattungen

Erstattungen können abgelehnt werden, wenn Anhaltspunkte für Betrug, missbräuchliche Erstattungsanträge oder sonstiges manipulatives Verhalten vorliegen.

Gesetzliche Ansprüche hinsichtlich mangelhafter, nicht vertragsgemäßer oder für den vorgesehenen Zweck ungeeigneter Leistungen bleiben hiervon unberührt.

Fragen zu dieser Erstattungsrichtlinie können an [email protected] gerichtet werden.

Vereinbarung zur Auftragsverarbeitung

Stand: 28. Mai 2026

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) regelt die Verarbeitung personenbezogener Daten durch Pistio im Auftrag von Organisationen, die Moimio nutzen. Sie entspricht den im Rahmen der Moimio-Nutzungsbedingungen vereinbarten Regelungen zur Auftragsverarbeitung. Beide Dokumente werden inhaltlich konsistent gehalten. Für die meisten Kunden sind die bei Vertragsschluss akzeptierten Regelungen ausreichend. Organisationen, deren Compliance-Anforderungen eine gesondert unterzeichnete Vereinbarung erfordern, können auf Anfrage eine gegengezeichnete PDF-Fassung erhalten.

Diese AVV ist Bestandteil der Vereinbarung zwischen

(1) dem Kunden – der Organisation, die einen Moimio-Account führt („Verantwortlicher“), und

(2) Pistio, einem im Vereinigten Königreich registrierten Einzelunternehmen mit Sitz in 66 Paul Street, London EC2A 4NA („Auftragsverarbeiter“),

und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung des Moimio-Dienstes.

1. Begriffsbestimmungen

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ sowie „Verletzung des Schutzes personenbezogener Daten“ haben die Bedeutung, die ihnen nach der UK GDPR, der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) beziehungsweise den jeweils anwendbaren Datenschutzgesetzen zukommt.

„Anwendbares Datenschutzrecht“ bezeichnet die UK GDPR, die DSGVO sowie sämtliche weiteren auf die Verarbeitung anwendbaren Datenschutzgesetze.

2. Gegenstand, Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung des Moimio-Dienstes. Dies umfasst insbesondere die Anmeldung von Veranstaltungsteilnehmern sowie deren Einteilung in Zimmer, Gruppen und Teams entsprechend den Vorgaben und Einstellungen des Verantwortlichen.

Die Verarbeitung erfolgt für die Dauer des Bestehens des Moimio-Accounts des Verantwortlichen.

3. Kategorien personenbezogener Daten und betroffene Personen

Die Kategorien personenbezogener Daten sowie die betroffenen Personengruppen ergeben sich aus Anlage 1.

4. Weisungen des Verantwortlichen

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Dies umfasst insbesondere die in dieser AVV, den Moimio-Nutzungsbedingungen sowie die durch die Konfiguration und Nutzung der Software erteilten Weisungen.

4.2 Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für rechtswidrig oder für einen Verstoß gegen das Anwendbare Datenschutzrecht, wird er den Verantwortlichen hierüber unverzüglich informieren.

4.3 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für eigene Zwecke.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

  1. sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen einer angemessenen Vertraulichkeitsverpflichtung unterliegen;
  2. die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen umzusetzen und aufrechtzuerhalten;
  3. die Voraussetzungen für den Einsatz von Unterauftragsverarbeitern gemäß Abschnitt 6 einzuhalten;
  4. den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen dabei zu unterstützen, Anfragen betroffener Personen zur Ausübung ihrer Rechte zu erfüllen;
  5. den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter verfügbaren Informationen bei der Erfüllung seiner Pflichten hinsichtlich Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und gegebenenfalls vorheriger Konsultationen zu unterstützen;
  6. nach Wahl des Verantwortlichen personenbezogene Daten nach Beendigung der Leistungserbringung zurückzugeben oder zu löschen sowie vorhandene Kopien gemäß Abschnitt 8 zu entfernen;
  7. dem Verantwortlichen die zur Prüfung der Einhaltung dieser AVV erforderlichen Informationen bereitzustellen und Audits gemäß Abschnitt 9 zu ermöglichen.

6. Unterauftragsverarbeiter

6.1 Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die in Anlage 3 aufgeführten Unterauftragsverarbeiter einzusetzen.

6.2 Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die den in dieser AVV festgelegten Pflichten mindestens gleichwertig sind. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die ordnungsgemäße Erfüllung der Datenschutzpflichten durch den jeweiligen Unterauftragsverarbeiter verantwortlich.

6.3 Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich des Einsatzes von Unterauftragsverarbeitern, insbesondere über deren Hinzufügung oder Austausch, und räumt dem Verantwortlichen eine angemessene Frist zur Erhebung von Einwänden ein.

7. Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die personenbezogene Daten des Verantwortlichen betrifft.

Der Auftragsverarbeiter stellt dem Verantwortlichen die Informationen zur Verfügung, die dieser vernünftigerweise benötigt, um seinen gesetzlichen Melde- und Benachrichtigungspflichten nachzukommen.

8. Löschung und Rückgabe personenbezogener Daten

Nach Schließung des Accounts des Verantwortlichen werden die personenbezogenen Daten der Teilnehmer für einen Zeitraum von 30 Tagen zum Export bereitgestellt. Anschließend werden die Daten entsprechend dem Moimio-Lösch- und Aufbewahrungskonzept gelöscht.

Der Workspace und die darin enthaltenen Daten, einschließlich regulärer Sicherungskopien, werden innerhalb von 44 Tagen nach Schließung des Accounts dauerhaft gelöscht.

Soweit sich Daten in routinemäßigen Sicherungskopien befinden, werden diese im Rahmen der jeweiligen Sicherungs- und Aufbewahrungsfristen entfernt. Bei einzeln gelöschten Veranstaltungen erfolgt die Entfernung spätestens innerhalb von sechs Monaten.

9. Auditrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser AVV nachzuweisen.

Der Verantwortliche ist berechtigt, nach angemessener Vorankündigung und unter Wahrung angemessener Vertraulichkeitsanforderungen Audits oder Inspektionen selbst oder durch einen von ihm beauftragten Prüfer durchführen zu lassen. Der Auftragsverarbeiter wird solche Prüfungen in angemessenem Umfang unterstützen.

10. Internationale Datenübermittlungen

Personenbezogene Daten werden innerhalb der Europäischen Union, insbesondere in Deutschland, gehostet und verarbeitet.

Der Auftragsverarbeiter, Pistio, hat seinen Sitz im Vereinigten Königreich und greift von dort aus auf personenbezogene Daten zu, soweit dies für den Betrieb und die Unterstützung des Dienstes erforderlich ist.

Daher können personenbezogene Daten zwischen dem Vereinigten Königreich und dem Europäischen Wirtschaftsraum übertragen werden. Diese Übermittlungen beruhen auf dem Angemessenheitsbeschluss der Europäischen Kommission für das Vereinigte Königreich sowie auf der Anerkennung des Europäischen Wirtschaftsraums durch das Vereinigte Königreich. Zusätzliche Garantien für diese Datenübermittlungen sind daher nicht erforderlich.

Eine Übermittlung personenbezogener Daten in andere Staaten außerhalb des Vereinigten Königreichs oder des Europäischen Wirtschaftsraums erfolgt nur, soweit dies nach dem Anwendbaren Datenschutzrecht zulässig ist und geeignete Garantien bestehen.

11. EU- und UK-Vertreter

Für sämtliche datenschutzrechtlichen Fragen im Zusammenhang mit dieser AVV, einschließlich der Benennung oder Tätigkeit eines Vertreters nach Artikel 27 DSGVO, soweit ein solcher erforderlich ist, kann Kontakt über [email protected] aufgenommen werden.

12. Haftung und anwendbares Recht

12.1 Die Haftung der Parteien im Rahmen dieser AVV richtet sich nach den Haftungsregelungen der Moimio-Nutzungsbedingungen.

12.2 Diese AVV unterliegt dem Recht von England und Wales.

12.3 Im Falle von Abweichungen zwischen verschiedenen Sprachfassungen dieser AVV ist die englische Fassung maßgeblich.

Anlage 1 – Kategorien personenbezogener Daten und betroffene Personen

Betroffene Personen:

Teilnehmer von Veranstaltungen, die vom Verantwortlichen organisiert werden, insbesondere Teilnehmer von Freizeiten, Konferenzen, Camps oder vergleichbaren Veranstaltungen.

Kategorien personenbezogener Daten:

Der Auftragsverarbeiter kann im Auftrag des Verantwortlichen folgende Kategorien personenbezogener Daten verarbeiten:

  • Name und sonstige Identifikationsdaten
  • Kontaktdaten, insbesondere E-Mail-Adressen
  • Angaben zu Zimmer-, Gruppen- und Teameinteilungen
  • Ernährungsangaben, Allergien oder Barrierefreiheitsanforderungen, soweit diese vom Verantwortlichen erfasst werden
  • Sonstige Informationen, die der Verantwortliche über Teilnehmer in Moimio speichert

Angaben zu Ernährung, Allergien oder Barrierefreiheitsanforderungen können besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO darstellen. Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass für die Verarbeitung solcher Daten eine geeignete Rechtsgrundlage besteht.

Anlage 2 – Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt insbesondere folgende technische und organisatorische Maßnahmen um:

  • Hosting innerhalb der Europäischen Union (Deutschland)
  • Mandantentrennung durch isolierte Container und getrennte Datenbanken je Verantwortlichem
  • Zugriffsbeschränkungen für autorisierte Personen
  • Verschlüsselung der Datenübertragung mittels HTTPS/TLS
  • Regelmäßige verschlüsselte Sicherungskopien mit definierten Aufbewahrungs- und Löschfristen
  • Logische Trennung der Daten jedes Verantwortlichen von den Daten anderer Verantwortlicher

Die Maßnahmen werden regelmäßig überprüft und können weiterentwickelt werden, sofern das Sicherheitsniveau nicht verringert wird.

Anlage 3 – Unterauftragsverarbeiter

Unterauftragsverarbeiter Zweck Standort
Hetzner Hosting und Infrastruktur Deutschland (EU)
Paddle Zahlungsabwicklung (Merchant of Record) EU / weltweit
Mailjet Versand transaktionaler E-Mails EU
Cloudflare DNS, Content Delivery und Website-Hosting weltweit

Der Auftragsverarbeiter kann weitere Unterauftragsverarbeiter gemäß Abschnitt 6 dieser Vereinbarung einsetzen.

Eine gegengezeichnete PDF-Fassung dieser Vereinbarung wird auf Anfrage bereitgestellt. Anfragen können an [email protected] gerichtet werden.