Skip to content

Letzte Aktualisierung: 9. Mai 2026

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag wird zwischen dem Trainer (Verantwortlicher) und dem Betreiber (Auftragsverarbeiter) für die im CoachReview-Dienst eingegebenen Schützling-Daten geschlossen. Er ist Anhang zu den AGB und kommt mit deren Annahme zustande.

1. Rollen

Für die vom Trainer eingegebenen Schützling-Daten ist der Trainer Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO und der Betreiber Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO.

Für die Kontodaten des Trainers ist der Betreiber Verantwortlicher; diese Verarbeitung ist nicht Gegenstand dieses AVV, sondern der Datenschutzerklärung.

2. Gegenstand, Dauer, Art und Zweck

Gegenstand der Verarbeitung ist die Verarbeitung von Schützling-Daten zur Erbringung des CoachReview-Dienstes gemäß AGB.

Art der Verarbeitung umfasst Erhebung, Speicherung, Organisation, Veränderung, Anzeige, Offenlegung gegenüber dem Trainer, Einschränkung und Löschung in der IT-Umgebung des Betreibers.

Die Verarbeitung erfolgt für die Laufzeit des Nutzungsvertrags und endet mit dessen Beendigung, vorbehaltlich der Regelungen zu Löschung oder Rückgabe.

3. Kategorien der Daten und Betroffenen

Kategorien der Daten: Identifikations- und Kontaktdaten der Schützlinge, Trainingsnotizen, Materialien, Aufgaben, Videoaufzeichnungen, Verfügbarkeitskalender und zugehörige technische Metadaten.

Kategorien der Betroffenen: Schützlinge des Trainers, ggf. deren gesetzliche Vertreter sowie weitere Personen, deren Daten der Trainer im Rahmen seiner Tätigkeit eingibt.

4. Pflichten des Auftragsverarbeiters

Der Betreiber verarbeitet Daten ausschließlich auf dokumentierte Weisung des Trainers; als Weisungen gelten der Vertrag, die AGB und die Konfiguration des Trainerkontos. Sofern Unionsrecht oder nationales Recht zur Verarbeitung verpflichtet, informiert der Betreiber den Trainer, sofern dies nicht verboten ist.

Mit der Verarbeitung befasste Personen sind zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht.

5. Sicherheit (Art. 32 DSGVO)

Der Betreiber setzt geeignete technische und organisatorische Maßnahmen ein, darunter Transportverschlüsselung, rollenbasierte Zugriffskontrolle, Need-to-know-Prinzip, Sicherheitsmonitoring, Backups, Passwortrichtlinien und Sicherheitstests.

Eine Beschreibung der Maßnahmen wird auf Anfrage zur Verfügung gestellt, soweit erforderlich, um die Einhaltung der DSGVO nachzuweisen.

6. Unterauftragsverarbeiter

Der Trainer erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, einschließlich Hosting, Object Storage, transaktionaler E-Mail und Zahlungsdienstleister. Eine aktuelle Liste der Unterauftragsverarbeiter wird auf Anfrage unter mindmotion.tech@gmail.com bereitgestellt.

Der Betreiber informiert über Änderungen mindestens 30 Tage im Voraus. Der Trainer kann widersprechen; lässt sich keine Lösung finden, kann der Vertrag gemäß AGB gekündigt werden.

Der Betreiber schließt mit jedem Unterauftragsverarbeiter Verträge mit gleichwertigem Schutzniveau ab und haftet gegenüber dem Trainer für deren Handeln und Unterlassen.

7. Unterstützung und Meldung von Datenpannen

Der Betreiber unterstützt den Trainer in zumutbarem Umfang bei der Erfüllung der Betroffenenrechte sowie der Pflichten aus Art. 32–36 DSGVO.

Datenpannen werden dem Trainer unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme, mit den für die Meldung an die Aufsichtsbehörde erforderlichen Informationen mitgeteilt.

8. Audits

Der Betreiber stellt dem Trainer alle erforderlichen Informationen zur Verfügung und ermöglicht – nach vorheriger Abstimmung – Audits durch den Trainer oder einen von ihm beauftragten Prüfer; Geschäftsgeheimnisse und Daten anderer Kunden bleiben gewahrt.

Der Nachweis der Einhaltung kann durch aktuelle Audit-Berichte (z. B. SOC 2, ISO 27001) oder gleichwertige Bescheinigungen geführt werden.

9. Drittlandtransfer

Der Betreiber überträgt Daten in Drittländer nur mit geeigneten Garantien gemäß Kapitel V DSGVO, insbesondere mit den Standardvertragsklauseln. Die Liste der Unterauftragsverarbeiter weist die Standorte aus.

10. Rückgabe oder Löschung

Nach Beendigung des Vertrags wird der Betreiber die Daten – nach Wahl des Trainers – löschen oder zurückgeben und vorhandene Kopien löschen, sofern keine gesetzliche Pflicht zur weiteren Aufbewahrung besteht.

Der Trainer kann jederzeit über die Exportfunktion des Dienstes Schützling-Daten exportieren.

11. Haftung

Die Haftung der Parteien richtet sich nach den AGB, vorbehaltlich Art. 82 DSGVO und sonstiger zwingender Vorschriften.