Vereinbarung zur Auftragsverarbeitung (AVV)

1.1 Der Auftragsverarbeiter erbringt gegenüber dem Verantwortlichen Leistungen im Zusammenhang mit der Nutzung der Plattform „Herz-Kilometer" (Web-Admin, Website und mobile Apps) als Software-as-a-Service („Leistungen").

1.2 Gegenstand dieser AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Leistungen.

1.3 Die Dauer dieser AVV entspricht der Laufzeit des Hauptvertrags (z. B. Abo) zzgl. ggf. vertraglich vereinbarter Übergangs-/Exportfristen gemäß Ziffer 10.

2.1 Art der Verarbeitung (je nach Nutzung): Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen/Verändern, Auslesen, Abfragen, Verwenden, Übermitteln (an Unterauftragsverarbeiter), Abgleichen, Einschränken, Löschen/Vernichten.

2.2 Zwecke der Verarbeitung:

• Bereitstellung und Betrieb der Herz-Kilometer-Plattform
• Verwaltung von Unternehmen, Rollen, Mitgliedschaften und Zugängen (Join-Codes/Einladungen)
• Erfassung/Anzeige/Aggregation von Aktivitäts- und Kilometerständen der Teilnehmenden (z. B. via App/Integrationen)
• Berechnung und Anzeige von Paketfortschritt/Kennzahlen (Reporting/Exports)
• Kommunikation/Sicherheit (Systemmails, Support, Missbrauchs-/Sicherheitsprävention)
• Protokollierung/Fehleranalyse und technische Wartung (Logs)

2.3 Keine Zweckänderung: Der Auftragsverarbeiter verarbeitet die Daten nicht für eigene Zwecke, sondern ausschließlich zur Erbringung der Leistungen, außer soweit gesetzlich erlaubt (z. B. IT-Sicherheit, Missbrauchsabwehr) oder ausdrücklich vereinbart.

3.1 Betroffene Personen:

• Mitarbeitende/Teilnehmende des Verantwortlichen (inkl. eingeladene Nutzer)
• Administratoren/Ansprechpartner des Verantwortlichen
• ggf. weitere vom Verantwortlichen hinzugefügte Nutzergruppen (z. B. Team-Leads)

3.2 Kategorien personenbezogener Daten (je nach Nutzung/Integration):

• Stammdaten: Name/Anzeige-Name, E-Mail, Nutzer-ID, Unternehmenszuordnung, Rolle
• Auth-/Accountdaten: Login-/Token-Informationen (technisch), Verifizierungsstatus
• Aktivitäts-/Bewegungsdaten: Kilometer, Aktivitätszeitpunkt, Dauer, ggf. Aktivitätsmetadaten (z. B. Aktivitätstyp) aus verbundenen Diensten
• Nutzungsdaten: App-/Web-Nutzung, Interaktionen, technische Ereignisse
• Geräte-/Technikdaten: IP-Adresse, Device-Infos, Log-Daten, Crash-/Fehlerdaten
• Kommunikationsdaten: Supportanfragen, Systembenachrichtigungen

3.3 Besondere Kategorien (Art. 9 DSGVO): Soweit im Einzelfall Aktivitätsdaten als Gesundheitsdaten zu qualifizieren sind, erfolgt die Verarbeitung ausschließlich auf Weisung des Verantwortlichen und unter Anwendung erhöhter Schutzmaßnahmen gemäß Anlage 1. Der Verantwortliche stellt die erforderliche Rechtsgrundlage sicher.

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern keine gesetzliche Verpflichtung zur Verarbeitung besteht. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen, sofern rechtlich zulässig.

4.2 Weisungen können in Textform (z. B. E-Mail) erteilt werden. Der Auftragsverarbeiter kann Weisungen zurückweisen, wenn sie nach seiner Auffassung gegen Datenschutzrecht verstoßen; er informiert den Verantwortlichen unverzüglich.

5.1 Der Auftragsverarbeiter verpflichtet sich, alle Personen, die personenbezogene Daten verarbeiten, zur Vertraulichkeit zu verpflichten.

5.2 Der Auftragsverarbeiter implementiert und unterhält geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO gemäß Anlage 1.

5.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei:

• Wahrung der Betroffenenrechte (Ziffer 7)
• Datensicherheit, Datenschutz-Folgenabschätzung (DSFA) und vorheriger Konsultation (Ziffer 8)
• Meldung von Datenschutzverletzungen (Ziffer 9)

5.4 Der Auftragsverarbeiter führt ein Verzeichnis von Verarbeitungstätigkeiten, soweit gesetzlich erforderlich.

6.1 Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen, soweit diese in Anlage 2 aufgeführt sind oder gemäß Ziffer 6.2 hinzugefügt werden.

6.2 Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügen/Ersetzen) von Unterauftragsverarbeitern mindestens 14 Tage vor Wirksamwerden (z. B. per E-Mail oder im Admin-Dashboard). Der Verantwortliche kann aus wichtigem Grund widersprechen. Kann der Auftragsverarbeiter die Leistung ohne den neuen Unterauftragsverarbeiter nicht erbringen, kann der Verantwortliche den betroffenen Leistungsteil oder den Hauptvertrag außerordentlich kündigen.

6.3 Der Auftragsverarbeiter schließt mit Unterauftragsverarbeitern Verträge nach Art. 28 DSGVO, die mindestens die in dieser AVV geregelten Pflichten enthalten.

6.4 Drittanbieter-Datenquellen (z. B. Strava/Garmin/Apple Health): Sofern Teilnehmende Daten aus externen Diensten verbinden, handelt es sich typischerweise um eigenständige Verantwortliche des Drittanbieters. Diese sind nicht automatisch Unterauftragsverarbeiter des Auftragsverarbeiters. Der Auftragsverarbeiter verarbeitet die empfangenen Daten im Auftrag des Verantwortlichen.

7.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessenem Umfang bei Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), soweit sich diese auf im Auftrag verarbeitete Daten beziehen.

7.2 Der Auftragsverarbeiter beantwortet Anfragen betroffener Personen nicht selbst, außer:

• auf Weisung des Verantwortlichen, oder
• soweit gesetzlich zulässig/erforderlich.

7.3 Der Verantwortliche bleibt für die rechtliche Bewertung und fristgerechte Erfüllung verantwortlich.

9.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (ohne schuldhaftes Zögern), wenn ihm eine Verletzung des Schutzes personenbezogener Daten im Auftrag bekannt wird.

9.2 Die Meldung enthält soweit möglich:

• Beschreibung der Art der Verletzung
• betroffene Datenkategorien und Personengruppen
• voraussichtliche Folgen
• ergriffene/empfohlene Maßnahmen

9.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Melde- und Benachrichtigungspflichten.

10.1 Nach Beendigung des Hauptvertrags verarbeitet der Auftragsverarbeiter die Daten nur noch zur Abwicklung, Datenrückgabe/Export und Löschung gemäß dieser Ziffer.

10.2 Datenexport: Der Verantwortliche kann bis 30 Tage nach Vertragsende einen Export in einem strukturierten, gängigen, maschinenlesbaren Format anfordern bzw. bereitgestellte Exportfunktionen nutzen, soweit vertraglich enthalten.

10.3 Löschung: Nach Ablauf der Exportfrist löscht der Auftragsverarbeiter die Daten, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigte Sicherheits-/Nachweiserfordernisse entgegenstehen (z. B. Abrechnungsbelege, Sicherheitslogs in angemessenem Umfang). Backups werden im Rahmen des regulären Backup-Zyklus überschrieben.

10.4 Der Auftragsverarbeiter dokumentiert die Löschung auf Anfrage in angemessenem Umfang.

11.1 Der Verantwortliche ist berechtigt, die Einhaltung dieser AVV zu überprüfen. Der Auftragsverarbeiter stellt hierfür geeignete Nachweise bereit (z. B. TOM-Beschreibung, Subprozessorenliste, Sicherheitskonzepte, ggf. Zertifikate/Reports, soweit vorhanden).

11.2 Vor-Ort-Audits sind nur bei berechtigtem Anlass, mit angemessener Vorankündigung und unter Berücksichtigung von Betriebs-/Geschäftsgeheimnissen sowie Sicherheitsanforderungen zulässig. Der Auftragsverarbeiter kann Audits auf Drittanbieter-Reports verweisen, soweit angemessen.

11.3 Der Verantwortliche trägt die Kosten eines Audits, soweit es nicht aufgrund nachgewiesener wesentlicher Pflichtverletzungen des Auftragsverarbeiters erforderlich wurde.

13.1 Sofern Unterauftragsverarbeiter oder deren Unterauftragnehmer Daten außerhalb des EWR verarbeiten, stellt der Auftragsverarbeiter geeignete Garantien sicher (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss) und dokumentiert diese auf Anfrage.

13.2 Der Verantwortliche erkennt an, dass bei Nutzung bestimmter Tools/Anbieter eine Drittlandverarbeitung stattfinden kann; Details ergeben sich aus Anlage 2 und den jeweiligen Anbieterinformationen.

14.1 Es gilt die Haftungsregelung des Hauptvertrags/der AGB. Im Verhältnis zum Verantwortlichen haftet der Auftragsverarbeiter für Verstöße gegen diese AVV nach Maßgabe der gesetzlichen Regelungen sowie der Vereinbarungen im Hauptvertrag.

14.2 Unberührt bleiben etwaige Haftungsregelungen nach Art. 82 DSGVO.

15.1 Im Fall von Widersprüchen zwischen dieser AVV und dem Hauptvertrag hat diese AVV hinsichtlich datenschutzrechtlicher Pflichten Vorrang.

15.2 Änderungen und Ergänzungen dieser AVV bedürfen der Textform.

15.3 Es gilt deutsches Recht. Gerichtsstand ist, soweit zulässig, der Sitz des Auftragsverarbeiters.