z-dev Logoz-devv4.2
Rechtliches · AVV

Auftrags­verarbeitungs­vertrag

Dieser AVV nach Art. 28 DSGVO regelt die Datenverarbeitung zwischen dir als Tenant (Verantwortlicher) und z-dev (Auftragsverarbeiter).

Stand: 2026-04-23 · Wesentliche Aenderungen werden Tenants mit 30 Tagen Vorlauf per E-Mail angekuendigt

§1 Vertragsparteien

Dieser Auftragsverarbeitungsvertrag („AVV") wird geschlossen zwischen:

Verantwortlicher (Controller)
Der Tenant / Kunde, der ein Projekt auf z-dev.app betreibt. Details (Name, Anschrift) ergeben sich aus der Registrierung bzw. dem Billing-Profil.
Auftragsverarbeiter (Processor)
Georg Faber Am Neuberg 6 97737 Gemuenden am Main Deutschland E-Mail: velosupport@proton.me

§2 Gegenstand, Art und Zweck der Verarbeitung

Gegenstand: Bereitstellung der z-dev Plattform als SaaS — Admin-Panel, Datenbank-Bridge, Discord-Bot, oeffentliche Tenant-Seite, Billing.

Art der Verarbeitung: Speicherung, Anzeige, Aenderung, Loeschung von Datensaetzen, Synchronisation zwischen FiveM-Server (Controller-Infrastruktur) und z-dev (Processor-Infrastruktur), Versand von Benachrichtigungen, Erstellung von Audit-Logs.

Zweck: Ermoeglichung von Spielerverwaltung, Moderation, Whitelisting, Economy-Auswertung, Community-Management und Kommunikation fuer den vom Tenant betriebenen FiveM-Server.

Dauer: Der AVV beginnt mit Nutzung der Plattform (Projekt-Erstellung) und endet mit Kuendigung bzw. Loeschung des Projekts.

§3 Datenkategorien und Betroffene

Folgende Kategorien personenbezogener Daten werden im Auftrag verarbeitet:

  • FiveM-Identifier: license:, steam:, discord:, ip: Identifier der Spieler
  • Spieler-Profildaten: Charaktername, Discord-Name, Rollen, Beruf, Fraktion
  • Verhaltensdaten: Login-Zeitstempel, letzte Aktivitaet, Online-Minuten
  • Moderations-Daten: Bans, Warnings, Strikes, Reports, Moderator-Notizen
  • Economy-Daten: Bargeld, Bank, Black-Money, Wertgegenstaende, Inventar, Fahrzeuge
  • Kommunikations-Daten: Ticket-Inhalte, Support-Nachrichten
  • Staff-Daten: Mitglieds-Profile, Rollen, Aktivitaets-Tracking

Kategorien betroffener Personen:

  • Spieler auf dem FiveM-Server des Tenants
  • Staff-Mitglieder des Tenants (Admins, Moderatoren, Supporter)
  • Bewerber (Whitelist-Antraege, Bewerbungen)
  • Besucher oeffentlicher Tenant-Seiten

Keine besonderen Kategorien im Sinne von Art. 9 DSGVO (Gesundheit, Religion, biometrische Daten etc.) werden planmaessig verarbeitet. Freiwillige Eingaben durch Spieler in Ticket-Feldern koennen sensible Daten enthalten — der Controller ist dafuer verantwortlich, seine Spieler entsprechend zu informieren.

§4 Pflichten des Auftragsverarbeiters

z-dev verpflichtet sich:

  1. Personenbezogene Daten ausschliesslich auf Weisung des Verantwortlichen zu verarbeiten, auch bei Uebermittlung in Drittlaender (Art. 28(3)(a) DSGVO).
  2. Alle eingesetzten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits einer gesetzlichen Verschwiegenheit unterliegen (Art. 28(3)(b)).
  3. Die in §6 beschriebenen technischen und organisatorischen Massnahmen (TOMs) einzuhalten (Art. 32 DSGVO).
  4. Unterauftragnehmer nur gemaess §7 einzusetzen.
  5. Den Verantwortlichen bei Anfragen Betroffener (Auskunft, Loeschung, Berichtigung, Datenportabilitaet) durch geeignete technische Massnahmen im Panel zu unterstuetzen (Art. 28(3)(e)).
  6. Den Verantwortlichen bei Datenschutzverletzungen innerhalb von 24 Stunden zu informieren und Nachweise zu liefern, damit er seiner Meldepflicht nach Art. 33/34 DSGVO nachkommen kann.
  7. Daten nach Vertragsende gemaess §8 zurueckzugeben bzw. zu loeschen.
  8. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Pflichten aus Art. 28 bereitzustellen und Pruefungen gemaess §9 zu ermoeglichen.

§5 Weisungsbefugnis des Verantwortlichen

Der Verantwortliche ist jederzeit berechtigt, ergaenzende Weisungen bezueglich Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen werden regelmaessig im Panel (Einstellungen, Feature-Toggles) und ausserordentlich per E-Mail an velosupport@proton.me mit Betreff „AVV Weisung" dokumentiert.

Ist z-dev der Ansicht, dass eine Weisung gegen DSGVO oder andere Datenschutzvorschriften verstoesst, wird der Verantwortliche unverzueglich informiert (Art. 28(3) Satz 3 DSGVO). z-dev ist in diesem Fall berechtigt, die Ausfuehrung der Weisung bis zur Bestaetigung oder Aenderung durch den Verantwortlichen auszusetzen.

§6 Technische und Organisatorische Massnahmen (TOMs)

z-dev gewaehrleistet durch TOMs ein dem Risiko angemessenes Schutzniveau (Art. 32 DSGVO):

Vertraulichkeit

  • Zutrittskontrolle: Rechenzentren der eingesetzten Anbieter (Vercel, Appwrite, Coolify-Hoster) mit ISO 27001 / SOC 2
  • Zugangskontrolle: Clerk-Authentication mit 2FA-Option, Session-Timeouts, HTTPS/TLS 1.3
  • Zugriffskontrolle: RBAC-System mit granulaeren Rollen und Permissions pro Tenant, Audit-Log aller Aktionen
  • Trennungskontrolle: Multi-Tenant-Isolation auf Datenbank-Ebene (Tenant-ID in jeder Row), separate Auth-Namespaces
  • Pseudonymisierung: Identifier auf oeffentlichen Ban-Listen auf 8 Zeichen gekuerzt

Integritaet

  • Weitergabekontrolle: TLS-Verschluesselung fuer alle Verbindungen, Webhook-Signierung zur Bridge
  • Eingabekontrolle: Audit-Log nicht loeschbar, jeder Schreibvorgang mit Actor-ID dokumentiert

Verfuegbarkeit

  • Automatisierte Datenbank-Backups mit Tier-abhaengiger Retention (woechentlich bis stuendlich, 7–30 Tage)
  • Disaster-Recovery: Backups in separater Region, dokumentierte Wiederherstellungs-Prozesse
  • Public-Status-Page unter /status mit Live-Monitoring der Kern-Dienste

Belastbarkeit und Verfahren zur Ueberpruefung

  • Trennung Produktiv- und Entwicklungsumgebung
  • Code-Review und Dependency-Updates regelmaessig
  • Sentry-Monitoring fuer Errors und anormales Verhalten
  • Dokumentierter Incident-Response-Prozess (Breach innerhalb 24h an Controller)
Die TOMs werden regelmaessig ueberprueft und bei wesentlicher Aenderung aktualisiert. Die aktuelle Fassung ist stets unter dieser URL abrufbar.

§7 Unterauftragnehmer

Der Verantwortliche genehmigt hiermit den Einsatz folgender Unterauftragnehmer (Subprocessors). Diese sind erforderlich, um die Plattform zu betreiben:

AnbieterZweckStandortGrundlage
Clerk Inc.Authentifizierung, Account-ManagementUSADPF-zertifiziert
Stripe Inc.ZahlungsabwicklungUSA / EUDPF-zertifiziert
Appwrite GmbHCMS-Daten, Ticket-InhalteEU (Frankfurt)EU-Anbieter
Vercel Inc.Hosting FrontendEU + global edgeDPF-zertifiziert
Coolify / VPSHosting API + Datenbank + Discord-BotEU (Deutschland)EU-Anbieter
SentryError-MonitoringEU (Frankfurt)EU-Anbieter
Discord Inc.Bot-Integration (nur bei Aktivierung)USADPF-zertifiziert

Wechsel oder Neuaufnahme eines Unterauftragnehmers wird dem Verantwortlichen mit Vorlauf von 30 Tagen per E-Mail und durch Update dieser Seite angekuendigt. Der Verantwortliche kann dem Wechsel innerhalb von 14 Tagen widersprechen. Im Widerspruchsfall ist z-dev berechtigt, den Vertrag ausserordentlich zu kuendigen.

§8 Rueckgabe und Loeschung

Nach Beendigung des Hauptvertrags (Kuendigung oder Ablauf) gilt:

  • 30-Tage-Grace-Period: Projekt ist gesperrt aber nicht geloescht. Verantwortlicher kann alle Daten ueber den Export im Panel herunterladen.
  • Nach 30 Tagen: Automatische, unwiderrufliche Loeschung aller personenbezogenen Daten. Backups werden gemaess Backup-Zyklus ueberschrieben (max. 30 Tage).
  • Gesetzliche Aufbewahrungsfristen: Rechnungen und steuerlich relevante Daten werden gemaess §§ 147 AO, 257 HGB bis zu 10 Jahre aufbewahrt, sind aber nicht mehr aktiv abrufbar.

§9 Nachweis- und Pruefrechte

Der Verantwortliche hat das Recht, die Einhaltung der Pflichten aus diesem AVV zu pruefen. Die Pruefung erfolgt in der Regel durch:

  • Einsicht in diesen AVV und die TOMs (oeffentlich einsehbar unter dieser URL)
  • Anforderung von schriftlichen Selbstauskuenften bei velosupport@proton.me
  • Nachweise der Subprocessor-Zertifizierungen (ISO 27001, DPF etc.)

Vor-Ort-Pruefungen sind grundsaetzlich nicht erforderlich, da z-dev kein eigenes Rechenzentrum betreibt. Sollte eine Vor-Ort-Pruefung der eingesetzten Infrastruktur vom Verantwortlichen verlangt werden, erfolgt diese nach mindestens 4 Wochen Vorankuendigung zu den gesetzlichen Geschaeftszeiten des jeweiligen Unterauftragnehmers. Die Kosten traegt der Verantwortliche, sofern keine Verstoesse festgestellt werden.

§10 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Im Innenverhaeltnis der Parteien haftet jede Partei fuer Schaeden, die aus einer Verletzung ihrer jeweiligen Pflichten aus diesem AVV resultieren. Weitergehende Haftungsregelungen ergeben sich aus dem Hauptvertrag (AGB).

§11 Schlussbestimmungen

Vorrang: Bei Widerspruechen zwischen diesem AVV und dem Hauptvertrag (AGB) gehen die Regelungen dieses AVV vor, soweit es Datenverarbeitung betrifft.

Abschluss: Dieser AVV gilt mit Registrierung eines Tenant-Projekts auf z-dev.app als abgeschlossen. Bei der Projekt-Erstellung wird der Controller auf diesen AVV hingewiesen und bestaetigt durch Klick die Kenntnisnahme. Eine unterzeichnete Papier-Version kann auf Anforderung per E-Mail uebermittelt werden.

Aenderungen: Wesentliche Aenderungen werden dem Verantwortlichen mit Vorlauf von 30 Tagen per E-Mail angekuendigt. Der Verantwortliche kann im Falle einer wesentlichen Aenderung widersprechen; in diesem Fall kann der Hauptvertrag ausserordentlich gekuendigt werden.

Schriftform: Aenderungen und Ergaenzungen beduerfen der Textform (E-Mail genuegt). Das Erfordernis der Textform kann nur schriftlich abbedungen werden.

Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der uebrigen Bestimmungen unberuehrt.

Eine unterzeichnete PDF-Version dieses AVV ist auf Anfrage an velosupport@proton.me erhaeltlich.

← Zur Startseite