Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO — Stand: Februar 2026

Dieser Auftragsverarbeitungsvertrag (AV-Vertrag) ist Bestandteil der Nutzungsvereinbarung zwischen T&T Services und dem Kunden und wird mit der Registrierung bzw. Nutzung der Plattform akzeptiert.

§ 1 Gegenstand und Dauer

1.1 Gegenstand

Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform „T&T Services Control Panel".

1.2 Vertragsparteien

Auftragnehmer (Verarbeiter):

T&T Services, Tim Gühring, Alois-Gratz-Str. 27, 72160 Horb-Talheim

E-Mail: kontakt@tt-services.org

Auftraggeber (Verantwortlicher):

Der jeweilige registrierte Kunde der Plattform

1.3 Dauer

Dieser Vertrag gilt für die Dauer der Nutzung der Plattform durch den Auftraggeber. Er endet automatisch mit Beendigung des Hauptvertrages (Kündigung, Löschung des Kontos). Die Pflichten zur Rückgabe und Löschung von Daten bestehen über das Vertragsende hinaus.

§ 2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen:

Zweck	Beschreibung
FiveM-Spielerverwaltung	Anzeige und Verwaltung von Spielerdaten aus der Kundendatenbank (Spielernamen, Kontostände, Jobs, Inventar)
Discord-Integration	Verwaltung von Discord-Rollen und -Mitgliedern über den vom Kunden bereitgestellten Bot
Team-Verwaltung	Verwaltung von Panel-Benutzern, Berechtigungen, Verwarnungen, Bewerbungen
Ticket-System	Verarbeitung von Support-Anfragen der Endnutzer des Kunden
Protokollierung	Logging von Aktionen im Panel zur Nachvollziehbarkeit und Sicherheit

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Spielerdaten: Spielernamen, Spieler-Identifier (Steam-ID, License, Discord-ID), Kontostände (Spielwährung), Jobs/Fraktionszugehörigkeit, Inventardaten
Discord-Daten: Discord User-IDs, Benutzernamen, Rollenzuweisungen, Server-Mitgliedschaften
Team-Daten: Benutzernamen, Rollen, Berechtigungen, Login-Zeitpunkte, Aktivitätsprotokolle
Kommunikationsdaten: Ticket-Inhalte, Bewerbungstexte, Meeting-Protokolle
Technische Daten: IP-Adressen, User-Agent, Zeitstempel

§ 4 Kategorien betroffener Personen

Spieler auf dem FiveM-Server des Auftraggebers
Mitglieder des Discord-Servers des Auftraggebers
Team-Mitglieder / Panel-Benutzer des Auftraggebers
Personen, die Tickets oder Bewerbungen einreichen

§ 5 Pflichten des Auftragnehmers

5.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen ergeben sich aus diesem Vertrag, den AGB und den vom Auftraggeber vorgenommenen Konfigurationen im Panel. Mündliche Weisungen sind unverzüglich schriftlich (E-Mail genügt) zu bestätigen.

Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung bis zur Bestätigung oder Änderung auszusetzen.

5.2 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese sind im TOM-Dokument dokumentiert und Bestandteil dieses Vertrages. Der Auftragnehmer gewährleistet, dass diese Maßnahmen dem aktuellen Stand der Technik entsprechen und regelmäßig überprüft werden.

5.4 Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Dienstleister	Zweck	Standort
Hetzner Online GmbH	Server-Hosting, Datenspeicherung	Deutschland
STRATO AG	E-Mail-Versand (transaktional)	Deutschland

Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen widersprechen.

5.5 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung bei:

Der Beantwortung von Anträgen betroffener Personen (Art. 15-22 DSGVO)
Der Einhaltung der Pflichten aus Art. 32-36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldepflichten)

5.6 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, jede Verletzung des Schutzes personenbezogener Daten. Die Meldung erfolgt per E-Mail an die beim Auftraggeber hinterlegte E-Mail-Adresse und enthält mindestens:

Eine Beschreibung der Art der Verletzung
Die Kategorien und die ungefähre Anzahl betroffener Personen
Eine Beschreibung der wahrscheinlichen Folgen
Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

§ 6 Pflichten des Auftraggebers

Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er verpflichtet sich insbesondere:

Die erforderlichen Rechtsgrundlagen für die Verarbeitung sicherzustellen
Betroffene Personen über die Verarbeitung zu informieren (Datenschutzhinweise für den eigenen Server)
Anfragen betroffener Personen zu beantworten (mit Unterstützung des Auftragnehmers)
Keine Daten über die Plattform verarbeiten zu lassen, die besonderer Kategorien nach Art. 9 DSGVO unterliegen

§ 7 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.

Inspektionen vor Ort sind nach vorheriger Abstimmung und unter Einhaltung einer Ankündigungsfrist von 14 Tagen möglich. Die Kosten einer solchen Inspektion trägt der Auftraggeber, sofern kein Verstoß festgestellt wird.

§ 8 Löschung und Rückgabe von Daten

8.1 Bei Vertragsende

Nach Beendigung des Vertragsverhältnisses löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Dem Auftraggeber wird eine Frist von 30 Tagen nach Vertragsende eingeräumt, um seine Daten zu exportieren.

8.2 Auf Weisung

Der Auftraggeber kann jederzeit die Löschung einzelner Datenkategorien anweisen. Der Auftragnehmer bestätigt die Löschung auf Anfrage.

§ 9 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Der Auftragnehmer haftet für den durch die Verarbeitung verursachten Schaden nur, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten nicht nachgekommen ist oder gegen Weisungen des Auftraggebers verstoßen hat.

§ 10 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland.
Änderungen dieses Vertrages bedürfen der Textform (E-Mail genügt).
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Dieser AV-Vertrag hat Vorrang vor abweichenden Regelungen im Hauptvertrag bezüglich des Datenschutzes.