Auftragsverarbeitungsvertrag (AVV)
Stand: 7. Juli 2026
Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag (Art. 28 DSGVO) zwischen dem Coach als Verantwortlichem und dem im Impressum genannten Betreiber von Trinity Vault als Auftragsverarbeiter. Sie wird mit der Zustimmung beim ersten Login Vertragsbestandteil.
1. Gegenstand und Dauer
Gegenstand ist der Betrieb der Coaching-Plattform Trinity Vault (Speicherung und Verarbeitung der vom Coach und seinen Athleten eingegebenen Daten). Die Vereinbarung gilt für die Dauer der Coach-Lizenz.
2. Art und Zweck der Verarbeitung
Hosting, Speicherung, Anzeige, Auswertung und Übermittlung der Coaching-Daten innerhalb der Plattform (Portal und Athleten-App) sowie E-Mail-Versand im Auftrag des Coaches (z. B. Athleten-Einladung).
3. Kategorien betroffener Personen und Daten
- Betroffene: Athletinnen und Athleten des Coaches.
- Datenarten: Stammdaten (Name, E-Mail, ggf. Telefon, Geburtsdatum), Coaching- und Trainingsdaten (Check-ins, Pläne, Ernährungstagebuch, Cardio, Verläufe), Fotos/Videos, Nachrichten, Notizen des Coaches.
- Darunter besondere Kategorien (Art. 9 DSGVO), soweit erfasst: z. B. Verletzungshistorie, Allergien, Vitalwerte, Blutbild-Termine. Der Coach stellt sicher, dass hierfür eine ausdrückliche Einwilligung des Athleten vorliegt.
4. Pflichten des Auftragsverarbeiters
- Verarbeitung nur im Rahmen dieser Vereinbarung und der Funktionen der Plattform (dokumentierte Weisung).
- Vertraulichkeit: Zugriff nur für zur Vertraulichkeit verpflichtete Personen.
- Technische und organisatorische Maßnahmen (Ziffer 6) werden aufrechterhalten und fortentwickelt.
- Unterstützung des Coaches bei Betroffenenrechten (Auskunft, Export, Berichtigung, Löschung) — u. a. durch den eingebauten Datenexport und die Löschfunktionen.
- Meldung von Datenschutzverletzungen an den Coach ohne unangemessene Verzögerung.
- Nach Vertragsende: Löschung der Auftragsdaten nach den Regeln der Datenschutzerklärung (Export vorher möglich).
5. Unterauftragsverarbeiter
Der Betreiber setzt folgende Unterauftragsverarbeiter ein:
- Supabase (Datenbank, Login, Datei-Speicher) — Region EU, Frankfurt am Main (eu-central-1); Infrastruktur: AWS.
- Vercel (Hosting des Web-Portals).
- Resend (E-Mail-Versand, Region EU/Irland).
Über den Wechsel oder die Aufnahme von Unterauftragsverarbeitern wird der Coach vorab informiert und kann aus wichtigem Grund widersprechen. Soweit Anbieter Daten außerhalb der EU verarbeiten, bestehen EU-Standardvertragsklauseln.
6. Technische und organisatorische Maßnahmen (Auszug)
- Mandantentrennung auf Datenbank-Ebene (Row Level Security): jeder Coach sieht ausschließlich die eigenen Athleten.
- Verschlüsselte Übertragung (TLS); geschützte Datei-Speicher mit kurzlebigen, signierten Abruf-Links.
- Tägliche, verschlüsselte Backups; Wiederherstellungs-Prozesse.
- Zugriffs- und Rechtekonzept, Schutz vor kompromittierten Passwörtern, Audit-Protokolle für administrative Eingriffe.
- Automatisierte Lösch-Routinen (30-Tage-Papierkorb mit endgültiger Löschung inkl. Mediendateien).
7. Kontrollrechte
Der Coach kann die Einhaltung dieser Vereinbarung überprüfen — in der Regel durch Auskünfte und geeignete Nachweise des Betreibers.
8. Haftung
Für die Haftung gilt Art. 82 DSGVO sowie ergänzend die Haftungsregelung der AGB.