Auftragsverarbeitungsvertrag (AVV)
Art. 28 DSGVO · Stand: Mai 2026 · Version 2026-05-31
Dieser AVV gilt zwischen dem jeweiligen Coach als Auftraggeber und Philipp Steinmetz, Hoheluftchaussee 132, 20253 Hamburg, als Auftragsverarbeiter, soweit der Coach Ownit zur Verarbeitung personenbezogener Daten seiner Klienten nutzt.
§ 1 Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Ownit-Plattform. Die Verarbeitung beginnt mit Aktivierung des Coach- Kontos bzw. der Annahme dieses AVV und endet mit Vertragsende, soweit gesetzliche Aufbewahrungspflichten oder dokumentierte Weisungen nichts anderes erfordern.
§ 2 Art und Zweck der Verarbeitung
- Bereitstellung von Coach-Dashboard, mobiler App, Datenbank, Storage und Synchronisierung.
- Trainings-, Ernährungs-, Check-in-, Fortschritts- und Kommunikationsfunktionen.
- KI-gestützte Plan-, Chat-, Foto- und Analysefunktionen auf Weisung des Coaches bzw. nach Nutzeraktion.
- Support, Sicherheit, Fehleranalyse, Abrechnung und Datenexport/-löschung.
§ 3 Datenarten und betroffene Personen
Betroffen sind Klienten, Coaches und ggf. Teammitglieder. Verarbeitet werden Stamm- und Kontaktdaten, Login- und Nutzungsdaten, Trainings- und Ernährungsdaten, Gesundheitsdaten nach Art. 9 DSGVO, Check-ins, Fortschrittsfotos, Form-Check-Videos, Chatdaten, Medien-Metadaten, Einwilligungsdaten und Abrechnungs-/Entitlementdaten.
§ 4 Weisungen
Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht entgegensteht. Die Nutzung der Plattformfunktionen, Einstellungen, Exporte, Löschungen und Supportanfragen gelten als dokumentierte Weisungen.
§ 5 Pflichten des Auftraggebers
- Rechtsgrundlagen und Informationspflichten gegenüber Klienten sicherstellen.
- Insbesondere ausdrückliche Einwilligungen für Gesundheitsdaten nach Art. 9 DSGVO einholen oder prüfen.
- Nur erforderliche Daten in Ownit eingeben und Zugriffsrechte aktuell halten.
- Betroffenenanfragen unverzüglich bearbeiten und bei Bedarf an Ownit weiterleiten.
§ 6 Pflichten des Auftragsverarbeiters
- Verarbeitung nur nach Weisung und Vertraulichkeitsbindung der befugten Personen.
- Umsetzung angemessener technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO.
- Unterstützung bei Betroffenenrechten, Löschung, Export, DPIA/DSFA und Aufsichtsbehördenanfragen, soweit zumutbar.
- Information über Datenschutzverletzungen ohne unangemessene Verzögerung nach Bekanntwerden.
- Führen eines Subprozessor- und Sicherheitskonzepts.
§ 7 Subprozessoren
Der Auftraggeber genehmigt die folgenden Unterauftragsverarbeiter und Empfänger, soweit sie für die jeweilige Funktion eingesetzt werden. Änderungen werden durch Aktualisierung dieser Seite oder auf anderem geeigneten Weg mitgeteilt.
- Supabase: Datenbank, Auth, Storage, Realtime, Edge Functions.
- PowerSync: Offline-Synchronisierung und lokale Datenbank.
- Vercel: Hosting von Website und Dashboard.
- Sentry: Fehleranalyse, Performance und Session Replay.
- Stripe: Zahlungsabwicklung für Coach-Abos.
- RevenueCat, Apple App Store, Google Play: mobile Abos und Entitlements.
- Google Gemini API: KI-Funktionen.
- Google Sign-In: optionale Authentifizierung.
- Expo: App-Builds, Updates und Push-Infrastruktur.
- Resend/SMTP: transaktionale E-Mail.
- FatSecret, Open Food Facts: Lebensmitteldaten.
- Cloudflare Worker Proxy, soweit deployed: technische Proxy-Schicht.
- YouTube/externe Videoanbieter: externe Medien- oder Übungslinks, wenn genutzt.
§ 8 Drittlandtransfers
Bei Drittlandverarbeitungen werden geeignete Garantien nach Art. 44 ff. DSGVO genutzt, insbesondere EU-Standardvertragsklauseln, Anbieter-Zertifizierungen unter dem EU-US Data Privacy Framework und Datenminimierung. Der Auftraggeber nimmt zur Kenntnis, dass einige Dienste international betrieben werden.
§ 9 Technische und organisatorische Maßnahmen (Anlage 1)
- TLS-Verschlüsselung für Übertragung und providerseitige Verschlüsselung ruhender Daten.
- Row Level Security und rollenbasierte Zugriffskontrollen in Supabase.
- Getrennte Coach-/Klienten-Zugriffe und serverseitige Autorisierungsprüfungen.
- Verschlüsselte lokale PowerSync-Datenbank in aktuellen mobilen Builds.
- Secrets in Umgebungsvariablen, keine hardcodierten produktiven Schlüssel.
- Audit-Logs für Consent, Billing-Events und sicherheitsrelevante Vorgänge.
- Backups, Monitoring und Fehleranalyse mit Zugriffsbeschränkungen.
§ 10 Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Auftraggeber nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten unverzüglich und stellt verfügbare Informationen bereit, die der Auftraggeber für eigene Melde- und Benachrichtigungspflichten benötigt.
§ 11 Betroffenenrechte
Ownit unterstützt den Auftraggeber im Rahmen der Plattformfunktionen und angemessener Supportprozesse bei Auskunft, Export, Berichtigung, Löschung, Einschränkung, Widerspruch und Widerruf. Der Auftraggeber bleibt für die rechtliche Bewertung der Anfrage verantwortlich.
§ 12 Löschung, Rückgabe und Backups
Nach Vertragsende oder dokumentierter Weisung werden personenbezogene Daten gelöscht oder exportiert, soweit keine gesetzlichen Pflichten entgegenstehen. Aktive Daten werden grundsätzlich aus Datenbank und Storage entfernt. Backups werden im regulären Backup-Zyklus überschrieben oder gelöscht. Einwilligungsnachweise können minimiert pseudonymisiert für bis zu 3 Jahre erhalten bleiben.
§ 13 Kontrollen und Audit
Der Auftraggeber kann Nachweise zu TOMs, Subprozessoren und Datenschutzprozessen anfordern. Vor-Ort- oder Individualaudits sind mit angemessener Frist, Vertraulichkeit und Kostenregelung möglich, soweit gesetzlich erforderlich und keine Rechte Dritter verletzt werden.
§ 14 Schlussbestimmungen
Änderungen dieses AVV können eine erneute Zustimmung im Dashboard erfordern. Im Übrigen gelten die AGB und die gesetzlichen Regelungen der DSGVO.