Zum Hauptinhalt springen

Auftragsverarbeitungsvertrag (AVV)

Vereinbarung nach Art. 28 DSGVO zwischen Berater und ThyPoAI EU.inc

Stand: Juli 2026

Rechtlicher Hinweis: Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten der Klienten eines Beraters durch den Plattformbetreiber. Er wird mit der Registrierung als Berater wirksam. Der Text sollte vor produktivem Einsatz durch eine Fachanwältin bzw. einen Fachanwalt für Datenschutzrecht final geprüft werden.

Präambel & Parteien

Dieser Vertrag wird geschlossen zwischen

dem Berater (im Folgenden „Verantwortlicher") – der bei der Registrierung angegebenen natürlichen oder juristischen Person, die die Plattform gewerblich nutzt –

und

ThyPoAI EU.inc
TESTStraße 123 84000 Testhausen
(im Folgenden „Auftragsverarbeiter" oder „Betreiber").

Der Verantwortliche nutzt die Plattform ThyPoAI EU.inc, um seine Klienten im Rahmen der Ernährungsberatung zu betreuen. Dabei verarbeitet der Betreiber personenbezogene Daten der Klienten im Auftrag und nach Weisung des Verantwortlichen. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien nach Art. 28 DSGVO und ist Bestandteil der AGB.

Rollenverteilung: Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Klientendaten ist der Berater. Der Betreiber ist insoweit Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Für seine eigenen Stamm-, Konto- und Abrechnungsdaten des Beraters ist der Betreiber eigener Verantwortlicher; insoweit gilt die Datenschutzerklärung.

§ 1 Gegenstand & Dauer

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten der Klienten des Verantwortlichen im Rahmen der Bereitstellung und des Betriebs der Plattform (SaaS). Die Dauer des Auftrags entspricht der Laufzeit des Berater-Vertragsverhältnisses; der Vertrag endet automatisch mit dessen Beendigung.

§ 2 Art, Umfang & Zweck der Verarbeitung

Zweck: Ermöglichung der digitalen Ernährungsberatung über die Plattform.

Art der Verarbeitung: Erheben, Erfassen, Speichern, Ordnen, Anzeigen, Verändern, Abfragen, Verwenden, Löschen im Rahmen der Plattformfunktionen.

Kategorien betroffener Personen: Klienten (Patienten) des Verantwortlichen.

Kategorien personenbezogener Daten:

  • Stammdaten (Name, Kontaktdaten, Geburtsdatum, Geschlecht)
  • Körpermaße (Größe, Gewicht)
  • Besondere Kategorien nach Art. 9 DSGVO (Gesundheitsdaten): Anamnese, Erkrankungen, Medikamente, Allergien/Unverträglichkeiten, Laborwerte, Blutbild
  • Ernährungspläne, IST-Erfassungen, Supplement-Empfehlungen, Notizen, Termine

Aufgrund der Verarbeitung besonderer Kategorien nach Art. 9 DSGVO gelten erhöhte Schutzanforderungen, denen die Parteien durch die Maßnahmen dieses Vertrags Rechnung tragen.

§ 3 Weisungsrecht des Verantwortlichen

Der Betreiber verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Die Nutzung der Plattformfunktionen durch den Verantwortlichen gilt als dokumentierte Weisung. Ergänzende oder abweichende Einzelweisungen sind in Textform an den Betreiber zu richten.

Hält der Betreiber eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich und ist berechtigt, deren Umsetzung bis zur Bestätigung oder Änderung auszusetzen.

§ 4 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich im Rahmen dieses Vertrags und der Weisungen.
  • Vertraulichkeit: Verpflichtung aller zur Verarbeitung befugten Personen auf Vertraulichkeit bzw. Sicherstellung einer angemessenen gesetzlichen Verschwiegenheitspflicht.
  • Umsetzung und Aufrechterhaltung der technischen und organisatorischen Maßnahmen (§ 5).
  • Einhaltung der Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern (§ 6).
  • Unterstützung des Verantwortlichen bei Betroffenenrechten (§ 7) und Meldepflichten (§ 8).
  • Löschung oder Rückgabe der Daten nach Auftragsende (§ 10) sowie Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO.
  • Keine routinemäßige Kenntnisnahme von Beratungsinhalten; Zugriff nur zu Support-, Sicherheits- oder gesetzlich gebotenen Zwecken, protokolliert.

§ 5 Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

Der Betreiber gewährleistet ein dem Risiko angemessenes Schutzniveau, insbesondere durch:

  • Verschlüsselte Übertragung (TLS 1.2/1.3), Hosting ausschließlich innerhalb der EU/des EWR
  • Passwort-Speicherung ausschließlich als Argon2id-Hash; verschlüsselte Speicherung von 2FA-Secrets
  • Rollenbasierte Zugriffskontrolle (Admin/Berater/Klient); Mandantentrennung je Berater
  • Kurzlebige Zugriffstoken mit Token-Rotation; Rate-Limiting bei Authentifizierung
  • Regelmäßige, gesicherte Backups; Wiederherstellbarkeit der Verfügbarkeit
  • Pseudonymisierung technischer Protokolle; begrenzte Log-Aufbewahrung
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen

Die jeweils aktuelle, vollständige TOM-Dokumentation ist im TOM-Dokument abrufbar und Bestandteil dieses Vertrags. Der Betreiber darf die Maßnahmen im Zuge des technischen Fortschritts weiterentwickeln, solange das Schutzniveau nicht unterschritten wird.

§ 6 Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Betreiber die allgemeine Genehmigung zur Inanspruchnahme von Unterauftragsverarbeitern. Der Betreiber verpflichtet diese vertraglich auf ein Datenschutzniveau, das den Anforderungen dieses Vertrags entspricht (Art. 28 Abs. 4 DSGVO). Zum Zeitpunkt des Vertragsschlusses eingesetzte Unterauftragsverarbeiter sind insbesondere:

  • Hosting/Infrastruktur – EU/EWR-ansässiger Anbieter
  • Zahlungsabwicklung – Stripe Payments Europe, Ltd. (Dublin, Irland)
  • Transaktionaler E-Mail-Versand – Postmark/Wildbit

Über beabsichtigte Änderungen (Hinzuziehung oder Austausch) informiert der Betreiber den Verantwortlichen mit angemessener Frist in Textform. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen; kann in diesem Fall keine einvernehmliche Lösung gefunden werden, steht beiden Parteien ein Sonderkündigungsrecht zu. Eine Übermittlung in Drittländer erfolgt nur bei Vorliegen geeigneter Garantien (z. B. EU-Standardvertragsklauseln) oder eines Angemessenheitsbeschlusses.

§ 7 Unterstützung & Betroffenenrechte

Der Betreiber unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen (Art. 15–22 DSGVO) zu beantworten, und stellt hierfür die erforderlichen Funktionen (z. B. Auskunft, Berichtigung, Löschung, Export) bereit. Wendet sich eine betroffene Person direkt an den Betreiber, leitet er das Anliegen unverzüglich an den zuständigen Verantwortlichen weiter.

Ferner unterstützt der Betreiber den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung), unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

§ 8 Meldung von Datenschutzverletzungen

Der Betreiber meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten, die die Daten seiner Klienten betreffen, unverzüglich nach Bekanntwerden in Textform. Die Meldung enthält, soweit verfügbar, die Angaben nach Art. 33 Abs. 3 DSGVO. Die Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörde (Art. 33) und betroffenen Personen (Art. 34) obliegen dem Verantwortlichen; der Betreiber unterstützt ihn dabei.

§ 9 Kontrollrechte des Verantwortlichen

Der Betreiber stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen. Der Nachweis kann durch aktuelle Testate, Zertifizierungen oder Berichte unabhängiger Stellen erbracht werden. Vor-Ort-Prüfungen sind mit angemessener Vorankündigung, zu üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs zulässig.

§ 10 Löschung & Rückgabe nach Auftragsende

Nach Beendigung des Auftrags stellt der Betreiber dem Verantwortlichen die Klientendaten für einen begrenzten Zeitraum zur Ausleitung/zum Export bereit und löscht sie anschließend nach Wahl des Verantwortlichen oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung wird auf Anforderung in Textform bestätigt.

§ 11 Haftung

Für die Haftung im Außenverhältnis gegenüber betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis zwischen den Parteien gelten ergänzend die Haftungsregelungen der AGB (§ 8). Jede Partei trägt die Verantwortung für die Erfüllung der ihr nach diesem Vertrag und der DSGVO obliegenden Pflichten.

§ 12 Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und den AGB gehen hinsichtlich der Datenverarbeitung die Regelungen dieses AVV vor. Änderungen bedürfen der Textform. Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt; an die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung.