Warenkorb

Es befinden sich keine Produkte im Warenkorb.

Coachonaut.de

Warenkorb

Es befinden sich keine Produkte im Warenkorb.

Coachonaut.de

Auftragsverarbeitungsvereinbarung

Auftragsverarbeitungsvereinbarung (AVV)

zwischen

[Name/Firma des Coaches/Kunden]
[Adresse]
– nachfolgend „Verantwortlicher“ –

und

coachonaut.de / Jan Darius
Elchweg 3
50259 Pulheim
Deutschland
– nachfolgend „Auftragsverarbeiter“ –

1. Gegenstand und Geltungsbereich

Diese Auftragsverarbeitungsvereinbarung („AVV“) ist Bestandteil des zwischen den Parteien geschlossenen Vertrags über die Nutzung der Plattform Coachonaut einschließlich der dazugehörigen Leistungen („Hauptvertrag“).

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Sinne von Art. 28 DSGVO, soweit und solange der Verantwortliche über Zwecke und Mittel der Verarbeitung entscheidet und der Auftragsverarbeiter personenbezogene Daten ausschließlich zur Erbringung der vertraglich geschuldeten Plattformleistungen verarbeitet.

Diese AVV gilt für alle Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und Nutzung der Plattform Coachonaut durchführt.

Nicht Gegenstand dieser AVV sind Verarbeitungen, bei denen der Auftragsverarbeiter selbst Verantwortlicher ist. Dies betrifft insbesondere Verarbeitungen zu eigenen Zwecken des Auftragsverarbeiters, etwa zur Vertragsanbahnung und Vertragsverwaltung, zur Abrechnung eigener Leistungen, zur Erfüllung gesetzlicher Pflichten, zur Gewährleistung der IT- und Systemsicherheit, zur Missbrauchs- und Betrugsprävention sowie zur Durchsetzung eigener Ansprüche.

2. Art, Gegenstand und Zweck der Verarbeitung

Der Auftragsverarbeiter stellt dem Verantwortlichen eine cloudbasierte Plattform zur Verfügung, mit der der Verantwortliche Coaching-, Kommunikations-, Lern- und Organisationsleistungen digital verwalten, durchführen und vermarkten kann.

Die Verarbeitung umfasst insbesondere die technische Bereitstellung und Nutzung von Funktionen für:

  • Benutzerkonten und Rollenverwaltung
  • Klientenakten und Dokumentationen
  • Terminbuchung, Terminverwaltung und kalenderbezogene Funktionen
  • Programme, Module, Aufgaben und Fortschrittsverfolgung
  • Nachrichten, Benachrichtigungen und Kommunikationsfunktionen
  • Gruppen, Communities, Foren und Interaktionen
  • Onlinekurse, Kurszuweisungen und Lernfortschritte
  • Datei- und Medienuploads
  • optional aktivierte Integrationen, soweit diese durch den Auftragsverarbeiter als Teil der Plattformleistung im Auftrag des Verantwortlichen eingebunden werden

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Plattformleistungen und nur nach Maßgabe dieser AVV sowie der dokumentierten Weisungen des Verantwortlichen.

3. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Hauptvertrags.

Nach Beendigung des Hauptvertrags verarbeitet der Auftragsverarbeiter personenbezogene Daten nur noch, soweit dies zur Erfüllung gesetzlicher Pflichten, im Rahmen üblicher Backup-, Aufbewahrungs- und Löschzyklen oder auf dokumentierte Weisung des Verantwortlichen erforderlich ist.

4. Kategorien betroffener Personen

Von der Verarbeitung können insbesondere folgende Personen betroffen sein:

  • Mitarbeitende, freie Mitarbeitende und Teammitglieder des Verantwortlichen
  • Coaches, Berater und sonstige vom Verantwortlichen eingesetzte Personen
  • Interessenten, Leads und Anfragende
  • Klienten, Coachees, Teilnehmer und Endkunden
  • Nutzer mit Benutzerkonto
  • Mitglieder von Gruppen, Communities und Foren
  • Kommunikationspartner und Terminteilnehmer

5. Kategorien personenbezogener Daten

Von der Verarbeitung können insbesondere folgende Daten umfasst sein:

  • Stammdaten und Profildaten
  • Kontaktdaten
  • Account-, Rollen- und Zugriffsdaten
  • Termin-, Kalender-, Buchungs- und Sitzungsdaten
  • Kommunikationsdaten und Kommunikationsinhalte
  • Coaching-, Klienten-, Aufgaben- und Fortschrittsdaten
  • Kurs-, Lern- und Communitydaten
  • Vertrags-, Rechnungs-, Zahlungs- und Abrechnungsdaten
  • technische Nutzungs-, Protokoll- und Sicherheitsdaten
  • Einwilligungs-, Nachweis- und Präferenzdaten
  • Inhaltsdaten wie Texte, Dateien, Bilder, Audioinhalte und Dokumente

6. Besondere Kategorien personenbezogener Daten

Soweit der Verantwortliche über die Plattform besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet oder durch den Auftragsverarbeiter verarbeiten lässt, erfolgt dies ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Dies betrifft insbesondere Inhalte, die in Klientenakten, Dokumentationen, Notizen, Nachrichten, Formularen, Uploads oder sonstigen Inhalten gespeichert werden und Rückschlüsse auf Gesundheitsdaten, psychische Belastungen, religiöse oder weltanschauliche Überzeugungen, Daten zum Sexualleben oder zur sexuellen Orientierung oder vergleichbar schutzbedürftige Informationen zulassen.

Der Verantwortliche ist allein dafür verantwortlich, dass für die Verarbeitung solcher Daten eine wirksame Rechtsgrundlage besteht und sämtliche Informations-, Schutz- und Vertraulichkeitspflichten erfüllt werden.

Der Auftragsverarbeiter verarbeitet solche Daten ausschließlich technisch im Auftrag des Verantwortlichen und nicht zu eigenen Zwecken.

7. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung verantwortlich. Dies gilt insbesondere für:

  • das Vorliegen einer gültigen Rechtsgrundlage
  • die Erfüllung von Informationspflichten
  • die Wahrung der Rechte betroffener Personen
  • die datenschutzrechtliche Zulässigkeit der vom Verantwortlichen veranlassten Inhalte und Eingaben
  • die Prüfung, ob und in welchem Umfang besondere Kategorien personenbezogener Daten verarbeitet werden dürfen

Der Verantwortliche ist zudem dafür verantwortlich, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich und zulässig sind.

8. Weisungen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit keine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht.

Weisungen sind mindestens in Textform zu erteilen.

Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für datenschutzrechtlich unzulässig, wird er den Verantwortlichen hierauf unverzüglich hinweisen. Bis zur Bestätigung oder Änderung der Weisung ist der Auftragsverarbeiter berechtigt, die Ausführung der betreffenden Weisung auszusetzen.

Verlangt eine Weisung wesentliche zusätzliche Leistungen oder Änderungen außerhalb des vereinbarten Leistungsumfangs, kann der Auftragsverarbeiter hierfür eine angemessene zusätzliche Vergütung verlangen.

9. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

  • personenbezogene Daten nur im Rahmen dieser AVV und der Weisungen des Verantwortlichen zu verarbeiten,
  • nur solchen Personen Zugang zu personenbezogenen Daten zu gewähren, die zur Vertraulichkeit verpflichtet sind und die Daten zur Erfüllung ihrer Aufgaben benötigen,
  • geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen,
  • den Verantwortlichen bei der Erfüllung von Betroffenenrechten im angemessenen Umfang zu unterstützen,
  • den Verantwortlichen bei Datenschutzverletzungen unverzüglich zu informieren, soweit Daten des Verantwortlichen betroffen sind,
  • Anfragen betroffener Personen, soweit sie erkennbar den Verantwortlichen betreffen, unverzüglich an diesen weiterzuleiten,
  • nach Beendigung des Hauptvertrags personenbezogene Daten nach Maßgabe dieser AVV zu löschen oder zurückzugeben.

10. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft unter Berücksichtigung des Stands der Technik, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Risiken für die Rechte und Freiheiten betroffener Personen angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten.

Hierzu gehören insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen.

Soweit besondere Kategorien personenbezogener Daten in Klientenakten oder vergleichbaren Bereichen verarbeitet werden, berücksichtigt der Auftragsverarbeiter ein dem erhöhten Schutzbedarf angemessenes Sicherheitsniveau.

Die konkret umgesetzten technischen und organisatorischen Maßnahmen ergeben sich aus Anlage 2.

11. Unterstützung bei Betroffenenrechten und Datenschutzvorfällen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung seiner datenschutzrechtlichen Pflichten.

Dies umfasst insbesondere die Unterstützung bei:

  • Auskunfts-, Berichtigungs-, Löschungs- und Einschränkungsanträgen
  • Datenübertragbarkeit, soweit anwendbar
  • der Bewertung und Meldung von Datenschutzverletzungen
  • datenschutzrechtlichen Prüfungen und Anfragen von Aufsichtsbehörden, soweit die Verarbeitung im Auftrag betroffen ist

12. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen.

Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter ergeben sich aus Anlage 1.

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei eingesetzten Unterauftragsverarbeitern in Textform mit angemessener Vorankündigung. Der Verantwortliche kann einer solchen Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen nach Zugang der Information widersprechen.

Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die den in dieser AVV geregelten Pflichten im Wesentlichen entsprechen.

Soweit optionale Integrationen vom Verantwortlichen ausdrücklich aktiviert werden und der Auftragsverarbeiter diese als Teil der Plattformleistung im Auftrag des Verantwortlichen einsetzt, gilt die Aktivierung zugleich als dokumentierte Weisung zur Nutzung der jeweiligen Integration im Rahmen des vertraglich vereinbarten Funktionsumfangs.

Anbieter, die personenbezogene Daten in eigener datenschutzrechtlicher Verantwortlichkeit verarbeiten oder die der Auftragsverarbeiter ausschließlich zu eigenen Zwecken einsetzt, sind keine Unterauftragsverarbeiter im Sinne dieser AVV.

13. Drittlandübermittlungen

Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, soweit die gesetzlichen Voraussetzungen hierfür erfüllt sind.

Soweit eine Drittlandübermittlung stattfindet, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien bestehen und die Anforderungen der DSGVO eingehalten werden. Hierzu können insbesondere Angemessenheitsbeschlüsse nach Art. 45 DSGVO, Standardvertragsklauseln nach Art. 46 DSGVO oder sonstige gesetzlich anerkannte Übermittlungsinstrumente eingesetzt werden.

14. Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anforderung alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser AVV nachzuweisen.

Der Verantwortliche ist berechtigt, nach angemessener Vorankündigung und während der üblichen Geschäftszeiten Audits oder Kontrollen durchzuführen oder durch einen zur Verschwiegenheit verpflichteten unabhängigen Prüfer durchführen zu lassen, soweit dies erforderlich und verhältnismäßig ist.

Vorrangig sollen Nachweise durch geeignete Unterlagen, Auskünfte, Zertifikate, Berichte oder dokumentierte Prüfungen erbracht werden. Vor-Ort-Kontrollen sollen nur erfolgen, wenn berechtigte Zweifel an der Einhaltung dieser AVV nicht auf andere zumutbare Weise ausgeräumt werden können.

Dabei sind die berechtigten Geheimhaltungs-, Sicherheits- und Datenschutzinteressen des Auftragsverarbeiters sowie anderer Kunden angemessen zu berücksichtigen.

15. Rückgabe und Löschung

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen oder gibt sie dem Verantwortlichen auf dessen Wunsch zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Backups und Sicherungskopien werden im Rahmen der üblichen Lösch- und Überschreibungszyklen entfernt, soweit keine gesetzlichen Pflichten entgegenstehen.

16. Laufzeit und Beendigung

Diese AVV tritt mit Abschluss des Hauptvertrags in Kraft und endet mit dessen Beendigung.

Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn eine Partei schwerwiegend gegen ihre datenschutzrechtlichen Pflichten aus dieser AVV verstößt.

17. Schlussbestimmungen

Sollte eine Bestimmung dieser AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Änderungen und Ergänzungen dieser AVV bedürfen mindestens der Textform.

Soweit diese AVV keine abweichende Regelung enthält, gelten ergänzend die Bestimmungen des Hauptvertrags.

Bei Widersprüchen zwischen dieser AVV und anderen Vereinbarungen der Parteien gehen die Regelungen dieser AVV vor, soweit es um die Verarbeitung personenbezogener Daten im Auftrag geht.

Anlage 1 – Unterauftragsverarbeiter

Anbieter Leistung Verarbeitungsort Drittlandtransfer Rechtsgrundlage / Absicherung
IONOS SE, Elgendorfer Str. 57, 56410 Montabaur Hosting / Serverbetrieb / Infrastruktur Deutschland / EU nein Art. 28 DSGVO; AVV mit IONOS
Zoom Communications, Inc. (nur soweit die Zoom-Integration vom Verantwortlichen aktiviert wird und Coachonaut Zoom zur Erstellung/Verwaltung von Online-Meetings im Auftrag des Verantwortlichen einsetzt) Erstellung und Verwaltung von Online-Meeting-Daten im Rahmen gebuchter Termine/Sitzungen je nach Dienstkonfiguration, ggf. EU / USA ggf. ja Art. 28 DSGVO; Zoom DPA; ggf. Art. 45 DSGVO / EU-US Data Privacy Framework oder sonstige geeignete Garantien
Anke Scheel – CVR Nummer: 44664054 Plattform-Support, Bearbeitung von Supportanfragen über Chatwoot, E-Mail-Support & WebChat Dänemark, EU Nein, Verarbeitung innerhalb der EU Art. 28 DSGVO; AVV mit Person

Anlage 2 – Technische und organisatorische Maßnahmen

1. Vertraulichkeit

Zugriff auf personenbezogene Daten nur nach Berechtigungskonzept; rollenbasierte Benutzerrechte; Passwortschutz; Transportverschlüsselung; Vertraulichkeitsverpflichtung befugter Personen.

2. Integrität

Protokollierung relevanter administrativer Zugriffe und Änderungen; Schutz vor unbefugter Veränderung; geregelte Update- und Änderungsprozesse.

3. Verfügbarkeit und Belastbarkeit

Regelmäßige Backups; Verfahren zur Wiederherstellung; Schutzmaßnahmen gegen Schadsoftware und technische Ausfälle; Monitoring der Systemverfügbarkeit.

4. Trennbarkeit und Zweckbindung

Logische Trennung von Kundendaten; mandantenbezogene Zugriffsbeschränkungen; Verarbeitung nur nach dokumentierter Weisung.

5. Datenschutzvorfälle

Interne Prozesse zur Erkennung, Bewertung und Meldung von Sicherheitsvorfällen; dokumentierte Reaktions- und Eskalationswege.

6. Besonderer Schutz sensibler Daten

Erhöhte Zugriffsbeschränkungen für Klientenakten und vergleichbare Bereiche; Berücksichtigung eines erhöhten Schutzniveaus bei Speicherung und Zugriff.

 

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Add this member as a connection

Please note: This action will also remove this member from your connections and send a report to the site admin. Please allow a few minutes for this process to complete.

Report

You have already reported this .