Stand: April 2026
Wir stellen unseren Kunden einen AVV nach Art. 28 DSGVO zur Verfügung. Der Auftragsverarbeitungsvertrag wird automatisch mit Abschluss eines kostenpflichtigen Tarifs Bestandteil der Nutzungsbedingungen und regelt verbindlich die Verarbeitung personenbezogener Daten der Endkunden unserer Kunden.
Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist verpflichtend, wenn ein Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
Unsere Kunden – in der Regel Personal Trainer und Studios – sind datenschutzrechtlich Verantwortliche für die Daten ihrer Endkunden (Mitglieder, Klienten). Sobald diese Daten in New Prime verwaltet, gespeichert oder verarbeitet werden, fungieren wir, der Anbieter, als Auftragsverarbeiter. Für diese Konstellation ist ein AVV gesetzlich vorgeschrieben (Art. 28 Abs. 3 DSGVO).
Ohne AVV wäre die Verarbeitung rechtswidrig. Die folgenden Inhalte stellen den vollständigen AVV-Text dar, der mit Abschluss eines kostenpflichtigen Tarifs zwischen dem Kunden (Verantwortlicher) und Niklas Pape (Auftragsverarbeiter) zustande kommt.
Sie können den AVV jederzeit als unterzeichnete PDF-Version per E-Mail anfordern an: info@niklaspape.de
Bitte geben Sie in Ihrer Anfrage folgende Informationen an:
Sie erhalten den ausgefüllten AVV dann innerhalb von 2–5 Werktagen per E-Mail.
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten, die der Kunde (Verantwortlicher) im Rahmen der Nutzung der Software New Prime in diese einstellt oder von dieser verarbeiten lässt.
(2) Dauer: Die Verarbeitung beginnt mit dem Vertragsschluss über die Nutzung der Software und endet mit der Beendigung des Nutzungsvertrags zuzüglich einer Nachwirkungsfrist für Datenrückgabe bzw. Löschung.
(3) Art und Zweck der Verarbeitung: Bereitstellung einer cloudbasierten Software zur Verwaltung von Trainings-, Ernährungs-, Termin- und Abrechnungsdaten sowie zur Kommunikation mit Endkunden des Verantwortlichen. Die Verarbeitung erfolgt ausschließlich zur vertragsgemäßen Erbringung der vereinbarten SaaS-Leistungen.
Folgende Kategorien personenbezogener Daten werden verarbeitet:
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO. Der Verantwortliche stellt sicher, dass für deren Verarbeitung eine geeignete Rechtsgrundlage, insbesondere die ausdrückliche Einwilligung der betroffenen Person nach Art. 9 Abs. 2 lit. a DSGVO, vorliegt.
Der Auftragsverarbeiter verpflichtet sich:
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit nach Art. 32 DSGVO getroffen:
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, folgende Unterauftragsverarbeiter einzusetzen. Beabsichtigte Änderungen werden dem Verantwortlichen mit angemessener Frist mitgeteilt; der Verantwortliche kann der Änderung aus berechtigtem Grund widersprechen.
| Unterauftragsverarbeiter | Sitz | Zweck | Absicherung |
|---|---|---|---|
| Supabase Inc. | USA (Server-Region: EU – Frankfurt) | Datenbank, Authentifizierung, Object-Storage | Art. 28 DSGVO + SCCs |
| Stripe Payments Europe Ltd. | Irland (EU) | Zahlungsabwicklung (SEPA, Kreditkarte) | Art. 28 DSGVO / eigenständig Verantwortlicher für Zahlungsdaten |
| Resend Inc. | USA | Versand von Transaktions- und System-E-Mails | Art. 28 DSGVO + SCCs |
| Anthropic PBC | USA | Claude-API für KI-Assistent-Funktionen | Art. 28 DSGVO + SCCs, Zero-Retention Policy für API-Requests |
| Cloudflare, Inc. | USA (mit EU-Präsenz) | CDN, Web-Hosting, DDoS-Schutz | Art. 28 DSGVO + SCCs, EU-U.S. Data Privacy Framework |
| Google LLC (optional) | USA | Calendar-Sync (nur auf ausdrücklichen Kundenwunsch) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) + SCCs |
Alle außerhalb der EU ansässigen Unterauftragsverarbeiter sind durch die Standardvertragsklauseln (SCCs) der EU-Kommission abgesichert. Die aktuelle Liste der Unterauftragsverarbeiter wird auf Anfrage unter info@niklaspape.de zur Verfügung gestellt.
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen nach Art. 15 bis 22 DSGVO. Soweit sich betroffene Personen direkt an den Auftragsverarbeiter wenden, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der Verpflichtungen des Auftragsverarbeiters, insbesondere hinsichtlich der getroffenen TOMs, zu überzeugen. Er kann hierzu jederzeit Auskünfte einholen, vorhandene Testate, Zertifikate oder interne Prüfungen einsehen oder – soweit erforderlich – nach vorheriger Abstimmung während üblicher Geschäftszeiten und ohne Störung des Betriebsablaufs Prüfungen durchführen bzw. durch einen sachkundigen Dritten durchführen lassen.
(2) Der Auftragsverarbeiter kann nach eigenem Ermessen die Vorlage eines aktuellen Testats eines unabhängigen Prüfers als Nachweis anbieten. Die Kosten für Prüfungen, die über einfache Auskünfte hinausgehen, trägt der Verantwortliche.
Für die Haftung zwischen den Parteien gelten die Bestimmungen aus dem zugrundeliegenden Nutzungsvertrag (AGB §10) entsprechend. Die Haftung gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO.
(1) Dieser AVV tritt mit Abschluss eines kostenpflichtigen Tarifs in Kraft und endet automatisch mit Beendigung des Nutzungsvertrags.
(2) Nach Beendigung des Vertrags kann der Verantwortliche seine Daten innerhalb einer Frist von 30 Tagen über die in der Software bereitgestellten Export-Funktionen exportieren.
(3) Nach Ablauf dieser Frist werden die personenbezogenen Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Aufbewahrungspflichten betreffen insbesondere Rechnungs- und Buchhaltungsdaten (§ 147 AO, § 257 HGB).
(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(2) Im Fall von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien (insbesondere den AGB) gehen die Regelungen dieses AVV vor.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Lübeck, soweit der Verantwortliche Unternehmer, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
Für die Anforderung eines individuell ausgefüllten und unterzeichneten AVV wenden Sie sich bitte an:
Niklas Pape
Niklas Pape Gesundheits und Fitnesstraining
Mengstraße 40
23552 Lübeck
Deutschland
E-Mail: info@niklaspape.de