Zurück zur Startseite

Auftragsverarbeitungsvertrag

gemäß Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen dem Unternehmen, das die Plattform sweatboard für seine Mitarbeiter nutzt (nachfolgend „Auftraggeber" oder „Verantwortlicher"), und:

Nick Krüger Digital Solutions
Nick Krüger
Parkstraße 74
87439 Kempten (Allgäu)
E-Mail: sweatboard.app@gmail.com

(nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter")

Der AVV wird mit Nutzung der Plattform sweatboard durch den Auftraggeber wirksam und ergänzt die Allgemeinen Geschäftsbedingungen sowie die Datenschutzerklärung.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Plattform sweatboard — einer webbasierten Plattform für Firmen-Fitness-Challenges.

(2) Die Verarbeitung beginnt mit der Registrierung des ersten Nutzers des Auftraggebers und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Beendigung der Nutzung.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit der Nutzung der Plattform durch den Auftraggeber.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Authentifizierung und Kontoverwaltung der Nutzer
  • Speicherung und Anzeige von Sportaktivitäten
  • Berechnung und Darstellung von Punkten und Leaderboards
  • Verwaltung von Teams und Challenges
  • Bereitstellung eines Feeds (Beiträge, Fotos, Kommentare, Reaktionen)
  • Versand von Push-Benachrichtigungen (sofern aktiviert)
  • Benachrichtigung über Slack-Webhooks (sofern konfiguriert)

Zweck der Verarbeitung ist die Durchführung von Firmen-Fitness-Challenges und die Förderung der Mitarbeitergesundheit im Auftrag des Auftraggebers.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:

  • Stammdaten: Name, E-Mail-Adresse, Profilbild (über Google OAuth), Username, Geschlecht
  • Nutzungsdaten: Sportaktivitäten (Art, Menge, Zeitpunkt), berechnete Punkte, Team-Zugehörigkeit
  • Inhaltsdaten: Feed-Beiträge, Fotos, Kommentare, Reaktionen
  • Technische Daten: IP-Adresse, Browser-Typ, Zugriffszeitpunkte
  • Kommunikationsdaten: Push-Subscription-Daten, Benachrichtigungen

Hinweis zu besonderen Datenkategorien: Sportaktivitäten können als gesundheitsbezogene Daten im Sinne von Art. 9 Abs. 1 DSGVO eingestuft werden. Der Auftraggeber stellt sicher, dass die Einwilligung der Betroffenen gemäß Art. 9 Abs. 2 lit. a DSGVO vorliegt. Die Plattform holt bei der Registrierung eine entsprechende Einwilligung ein.

§ 4 Kategorien betroffener Personen

Die betroffenen Personen sind:

  • Mitarbeiter, Beschäftigte und sonstige Angehörige des Auftraggebers, die die Plattform nutzen

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen ergeben sich aus diesem AVV und den zugehörigen Vereinbarungen. Weitergehende Weisungen können per E-Mail erteilt werden.

(2) Der Auftragnehmer gewährleistet, dass sich die mit der Verarbeitung der personenbezogenen Daten befassten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 2).

(4) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch).

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(6) Der Auftragnehmer löscht nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten des Auftraggebers, sofern nicht gesetzliche Aufbewahrungspflichten bestehen. Die Löschung erfolgt innerhalb von 30 Tagen nach Beendigung.

(7) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 6 Pflichten des Auftraggebers

(1) Der Auftraggeber ist im Rahmen dieses AVV für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich, insbesondere für die Rechtmäßigkeit der Datenverarbeitung (Art. 6 und Art. 9 DSGVO).

(2) Der Auftraggeber stellt sicher, dass die Teilnahme seiner Mitarbeiter an der Fitness-Challenge freiwillig erfolgt und die erforderlichen Einwilligungen vorliegen.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

§ 7 Unterauftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz der in Anlage 1 genannten Unterauftragsverarbeiter zu.

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen solche Änderungen innerhalb von 14 Tagen nach Benachrichtigung Einspruch erheben.

(3) Der Auftragnehmer stellt sicher, dass den Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden wie in diesem AVV.

§ 8 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Regelungen dieses AVV zu überprüfen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber die zur Durchführung der Kontrolle erforderlichen Auskünfte zu erteilen.

(2) Inspektionen können in Abstimmung mit dem Auftragnehmer nach angemessener Vorankündigung durchgeführt werden. Der Auftragnehmer kann alternativ aktuelle Prüfberichte, Zertifizierungen oder andere geeignete Nachweise zur Verfügung stellen.

§ 9 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, nachdem er eine Verletzung des Schutzes personenbezogener Daten festgestellt hat.

(2) Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung
  • Die Kategorien und ungefähre Anzahl betroffener Personen
  • Eine Beschreibung der wahrscheinlichen Folgen
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 10 Drittlandtransfers

(1) Die Datenbankserver befinden sich in der EU (Frankfurt am Main, Deutschland). Einige der eingesetzten Unterauftragsverarbeiter haben ihren Sitz in den USA (siehe Anlage 1).

(2) Für den Datentransfer an Unterauftragsverarbeiter in den USA gelten folgende Garantien:

  • Zertifizierung unter dem EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO, soweit vorhanden
  • Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Ergänzende technische und organisatorische Maßnahmen (z.B. Verschlüsselung)

§ 11 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

Anlage 1: Unterauftragsverarbeiter

AnbieterZweckSitzGarantien
Supabase Inc.Datenbank, Authentifizierung, DateispeicherungUSA (DB-Standort: Frankfurt, EU)DPA, SCCs
Vercel Inc.Hosting, CDN, Serverless FunctionsUSADPA, SCCs, DPF
Google Ireland Ltd.OAuth-Authentifizierung, ProfilbilderIrland (EU) / USADPF, SCCs
Slack Technologies (Salesforce)Webhook-Benachrichtigungen (optional, vom Auftraggeber konfiguriert)USADPA, SCCs, DPF

Stand: März 2026. Änderungen werden dem Auftraggeber gemäß § 7 Abs. 2 mitgeteilt.

Anlage 2: Technisch-Organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO

Zutrittskontrolle

Kein physischer Serverbetrieb. Die Infrastruktur wird vollständig über Cloud-Anbieter (Supabase, Vercel) betrieben, die über zertifizierte Rechenzentren verfügen (SOC 2 Type II, ISO 27001).

Zugangskontrolle

  • Authentifizierung ausschließlich über OAuth 2.0 (Google) — kein eigenes Passwort-Handling
  • Zugang zur Plattform auf freigegebene Firmen-E-Mail-Domains beschränkt (serverseitige Prüfung nach OAuth)
  • Administrative Zugriffe auf Supabase und Vercel über 2FA-geschützte Konten

Zugriffskontrolle

  • Row Level Security (RLS) auf Datenbankebene — Nutzer können nur auf Daten ihrer eigenen Company zugreifen
  • Rollenbasiertes Berechtigungskonzept (Nutzer, Company Admin, Sysadmin)
  • API-Schlüssel und Service-Keys werden als Umgebungsvariablen verwaltet und nicht im Quellcode gespeichert

Weitergabekontrolle / Transportverschlüsselung

  • TLS 1.3 für alle Verbindungen zwischen Client und Server
  • HTTPS-Only — keine unverschlüsselten Verbindungen
  • Verschlüsselung gespeicherter Daten (at rest) durch den Datenbankbetreiber (AES-256)

Eingabekontrolle

  • Alle Datenmutationen erfordern authentifizierte Sessions
  • Server-seitige Validierung aller Eingaben
  • Audit-Trail über Supabase (Erstellungs- und Änderungszeitstempel)

Verfügbarkeitskontrolle

  • Hosting bei Vercel mit automatischer Skalierung und Redundanz
  • Datenbank bei Supabase mit automatischen Backups
  • Datenbankstandort in der EU (Frankfurt, eu-central-1)

Trennungsgebot

  • Mandantentrennung über Company-IDs auf Datenbankebene
  • Row Level Security stellt sicher, dass Nutzer einer Company keinen Zugriff auf Daten anderer Companies haben
  • Separate Storage-Pfade pro Company und Nutzer

Stand: März 2026