Auftragsverarbeitungsvertrag (AVV)

(1) Verantwortlicher ist der nutzende Trainer („Auftraggeber“), identifiziert über sein TrainerPlatz-Konto (E-Mail-Adresse, registriert auf app.trainerplatz.de/register/trainer).

(2) Auftragsverarbeiter ist Martin Panhofer, c/o IP-Management #9526, Ludwig-Erhard-Straße 18, 20459 Hamburg („TrainerPlatz“, „wir“). Vollständige Anbieterangaben siehe Impressum.

(3) Dieser Vertrag wird mit Akzeptanz im Onboarding-Wizard (Schritt 3, Pflicht-Checkbox „AVV akzeptieren“) wirksam und in der TrainerPlatz-Datenbank mit Zeitstempel (trainers.avv_accepted_at) und Versionsnummer (trainers.avv_version) revisionsfest dokumentiert.

(1) Gegenstand des Vertrags ist die Verarbeitung personenbezogener Daten der Klienten und Interessenten des Auftraggebers durch TrainerPlatz im Rahmen der Plattform-Funktionen (Klienten-Verwaltung, Terminplanung, Sessions-Tracking, Nachrichten, Rechnungs-Drafts, Marketplace-Anfragen).

(2) Der Vertrag läuft auf unbestimmte Zeit, solange der Auftraggeber ein aktives TrainerPlatz-Konto hat. Er endet automatisch mit der Kontolöschung.

TrainerPlatz verarbeitet die Daten ausschließlich zur Erbringung der Plattform-Funktionen, die der Auftraggeber nutzt:

• Speichern und Anzeigen von Klienten-Stammdaten und Trainings-Notizen
• Terminplanung und Sessions-Verwaltung (inkl. Erinnerungs-E-Mails)
• Magic-Link-basierter Klient-Portal-Zugang
• Vermittlung von Marketplace-Anfragen vom Klient an den Trainer
• Versand transaktionaler E-Mails an Klienten im Auftrag des Trainers
• Erstellung von Rechnungs-Entwürfen (PDF, ohne Versand) — sofern aktiviert

Eine Verarbeitung zu eigenen Zwecken von TrainerPlatz (Marketing, Profilbildung, Verkauf an Dritte) findet nicht statt.

Verarbeitete Datenkategorien (nicht abschließend):

• Stammdaten (Name, Vorname, E-Mail, Telefon, Anschrift, Geburtsdatum)
• Trainings-Daten (Ziel, Notizen, Sessions-Historie, Übungs-Logs)
• Kommunikation (Nachrichten zwischen Trainer und Klient)
• Buchungs- und Paket-Daten
• Technische Metadaten (Login-Zeitstempel, IP-Präfix anonymisiert /24)

Hinweis: Sensitive Gesundheitsdaten i. S. v. Art. 9 DSGVO (z. B. Vorerkrankungen, Medikamente) sollten ausschließlich mit ausdrücklicher Einwilligung des Klienten verarbeitet werden. Der Trainer ist verpflichtet, diese Einwilligung selbst einzuholen.

Betroffene Personen sind die Klienten, Interessenten und Anfragesteller des Auftraggebers, deren Daten der Auftraggeber in TrainerPlatz erfasst oder deren Anfragen über den Marketplace beim Auftraggeber eingehen.

TrainerPlatz verpflichtet sich:

• Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (die Plattform-Nutzung selbst gilt als laufende Weisung)
• geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen (siehe § 10)
• sicherzustellen, dass alle mit der Verarbeitung beauftragten Personen zur Vertraulichkeit verpflichtet sind
• den Auftraggeber unverzüglich zu informieren, wenn er nach Auffassung von TrainerPlatz gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 lit. h DSGVO)
• den Auftraggeber bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und Einschränkungs-Anfragen Betroffener zu unterstützen
• den Auftraggeber bei der Erfüllung von Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen (Datensicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung)
• Datenpannen, von denen TrainerPlatz Kenntnis erlangt, ohne schuldhaftes Zögern (i. d. R. binnen 24 Stunden) per E-Mail an die Konto-Adresse des Auftraggebers zu melden

Der Auftraggeber verpflichtet sich:

• für die Rechtmäßigkeit der Datenverarbeitung verantwortlich zu sein (Einwilligung des Klienten oder andere Rechtsgrundlage nach Art. 6 DSGVO einzuholen)
• Klienten über die Verarbeitung in TrainerPlatz zu informieren (Mustertext steht unter Datenschutzerklärung zur Verfügung)
• keine sensitiven Daten i. S. v. Art. 9 DSGVO ohne ausdrückliche Einwilligung des Klienten in die Plattform einzugeben
• beim Anlegen eines Klienten ohne dessen explizite Akzeptanz die Pflicht-Checkbox „Klient hat zugestimmt“ wahrheitsgemäß zu setzen

(1) Der Auftraggeber willigt mit Akzeptanz dieses Vertrags in den Einsatz folgender Sub-Auftragsverarbeiter ein:

• Supabase Inc. (Datenbank, Auth, Storage) — Server in Frankfurt am Main, EU. Standort wird vertraglich garantiert.
• Vercel Inc. (Hosting, CDN) — globales Edge-Netzwerk mit US-amerikanischem Mutterkonzern. Drittlandtransfer auf Basis Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914.
• Resend Inc. (E-Mail-Versand) — Verarbeitung in EU (Irland). Standort vertraglich garantiert seit Domain-Verifikation April 2026.
• Google Ireland Ltd. (Google Calendar OAuth für Trainer-Kalendersync, Google Maps für Standortdarstellung, Google Fonts auf Landing-Pages) — Sitz Irland, Drittland-Transfer in die USA auf Basis Standardvertragsklauseln und EU-US Data Privacy Framework.
• Meta Platforms Ireland Ltd. (Meta Pixel auf Marketing-Landing nach Consent) — Sitz Irland, Drittland-Transfer in die USA auf Basis Standardvertragsklauseln und EU-US Data Privacy Framework. Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO für Insights-Daten.
• Hetzner Online GmbH (DNS-Verwaltung der Domain trainerplatz.de) — Sitz Gunzenhausen, Deutschland. Verarbeitung ausschließlich in der EU.
• PostHog Inc. (Webanalyse auf Demo-Seiten, optional nach Consent) — Datenverarbeitung in EU-Region (Frankfurt). Standort vertraglich garantiert.
• Brevo (Sendinblue GmbH) (Newsletter-/Pilot- Anmeldungs-Formular auf der Marketing-Landing) — Server innerhalb der EU.
• Unsplash Inc. (CDN-Auslieferung einzelner Stock- Fotos auf Marketing-Landing) — Sitz Kanada, Verarbeitung auf Basis Angemessenheitsbeschluss der EU-Kommission. Ein Wechsel auf eigenes Hosting ist geplant.

(2) TrainerPlatz informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Sub-Auftragsverarbeiter. Der Auftraggeber hat das Recht, der beabsichtigten Änderung binnen 14 Tagen nach Information aus wichtigem Grund zu widersprechen.

(3) TrainerPlatz hat mit allen direkten Sub-Auftragsverarbeitern eigene Auftragsverarbeitungs-Verträge nach Art. 28 Abs. 4 DSGVO geschlossen. Diese verpflichten die Sub-Auftragsverarbeiter auf dieselben technisch-organisatorischen Maßnahmen, EU-Standardvertragsklauseln (Modul 3, Durchführungsbeschluss (EU) 2021/914) und Datenschutz-Standards, zu denen TrainerPlatz gegenüber dem Auftraggeber verpflichtet ist.

(4) Die Sub-Auftragsverarbeiter setzen ihrerseits weitere Sub-Auftragsverarbeiter ein (z. B. Hyperscaler-Infrastruktur). Eine aktuelle Liste dieser Sub-Sub-Auftragsverarbeiter wird halbjährlich überprüft und kann unter datenschutz@trainerplatz.deangefordert werden.

Soweit Daten über die in § 8 genannten Sub-Auftragsverarbeiter in ein Drittland (insbesondere USA) übermittelt werden, geschieht dies auf Basis der EU-Standardvertragsklauseln (Modul 3) inkl. ergänzender Schutzmaßnahmen (Verschlüsselung in Transit und at-rest, Audit-Logs).

TrainerPlatz hat folgende Maßnahmen nach Art. 32 DSGVO umgesetzt:

• Verschlüsselung in Transit: TLS 1.3 für alle Verbindungen
• Verschlüsselung at-rest: AES-256 (Supabase Postgres, Storage Buckets)
• Zugriffskontrolle: Row-Level-Security (RLS) auf allen Tabellen mit personenbezogenen Daten — jeder Trainer sieht ausschließlich seine eigenen Klienten
• Authentifizierung: Passwort + E-Mail-Bestätigung; Magic-Link für Klienten-Portal mit signierten Tokens
• Backup: tägliche automatische Datenbank-Backups mit mindestens 7 Tagen Retention; Point-in-Time-Recovery wird mit dem Wechsel auf den Supabase-Pro-Tarif aktiviert (geplant vor Pilot-Start mit echten Klient-Daten)
• Audit-Logs: Login-Events, Admin-Aktionen, Migrations-Trail
• Trennungskontrolle: getrennte Schemas für Auth-Daten (Supabase managed) und Plattform-Daten
• Pseudonymisierung: IP-Adressen werden auf /24 (IPv4) bzw. /48 (IPv6) gekürzt
• Zwei-Faktor-Authentifizierung (2FA): für alle TrainerPlatz-Team-Accounts mit Zugriff auf Subprozessor-Dashboards (Supabase, Vercel, GitHub) erzwungen
• Service-Role-Trennung: Schreib- und Lesezugriffe auf personenbezogene Daten erfolgen nicht über öffentlich exponierte Anon-Keys; Tabellen mit sensitiven Inhalten sind per RLS oder explizit per Deny-Policy gegen Anon- und Authenticated-Rollen abgesichert

(1) Bei Beendigung dieses Vertrags wird TrainerPlatz nach Wahl des Auftraggebers alle personenbezogenen Daten löschen oder zurückgeben und vorhandene Kopien vernichten, sofern keine gesetzliche Aufbewahrungspflicht besteht (insbesondere § 147 AO bei rechnungsrelevanten Daten).

(2) Auf Verlangen erhält der Auftraggeber einen Datenexport seiner Klienten-Stammdaten und Sessions-Historie im JSON-Format (Self-Service-Funktion in Trainer-Einstellungen).

Es gilt Art. 82 DSGVO. Im Innenverhältnis trägt jede Partei die Verantwortung für Verstöße aus ihrem Verantwortungsbereich. TrainerPlatz haftet insbesondere für die in §§ 6, 8, 10 zugesicherten Pflichten.

(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit gesetzlich zulässig, Hamburg.

(3) Änderungen dieses Vertrags werden dem Auftraggeber mit angemessener Frist (mindestens 30 Tage) per E-Mail an die Konto-Adresse mitgeteilt und in einer neuen Version unter /avv veröffentlicht. Bei materiellen Änderungen (Erweiterung der Sub-Auftragsverarbeiter, Änderung des Verarbeitungszwecks) wird im Onboarding-Wizard eine erneute Akzeptanz mit neuer Version (trainers.avv_version) gefordert.