Auftragsverarbeitungsvertrag (AVV)

Stand: April 2026

Wir stellen unseren Kunden einen AVV nach Art. 28 DSGVO zur Verfügung. Der Auftragsverarbeitungsvertrag wird automatisch mit Abschluss eines kostenpflichtigen Tarifs Bestandteil der Nutzungsbedingungen und regelt verbindlich die Verarbeitung personenbezogener Daten der Endkunden unserer Kunden.

Was ist ein AVV und wer braucht ihn?

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist verpflichtend, wenn ein Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Unsere Kunden – in der Regel Personal Trainer und Studios – sind datenschutzrechtlich Verantwortliche für die Daten ihrer Endkunden (Mitglieder, Klienten). Sobald diese Daten in New Prime verwaltet, gespeichert oder verarbeitet werden, fungieren wir, der Anbieter, als Auftragsverarbeiter. Für diese Konstellation ist ein AVV gesetzlich vorgeschrieben (Art. 28 Abs. 3 DSGVO).

Ohne AVV wäre die Verarbeitung rechtswidrig. Die folgenden Inhalte stellen den vollständigen AVV-Text dar, der mit Abschluss eines kostenpflichtigen Tarifs zwischen dem Kunden (Verantwortlicher) und Niklas Pape (Auftragsverarbeiter) zustande kommt.

AVV als PDF anfordern

Sie können den AVV jederzeit als unterzeichnete PDF-Version per E-Mail anfordern an: info@niklaspape.de

Bitte geben Sie in Ihrer Anfrage folgende Informationen an:

Vollständiger Firmen-/Unternehmensname
Rechtsform
Anschrift
Vertretungsberechtigte Person
Ihre New-Prime-Konto-E-Mail

Sie erhalten den ausgefüllten AVV dann innerhalb von 2–5 Werktagen per E-Mail.

§1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten, die der Kunde (Verantwortlicher) im Rahmen der Nutzung der Software New Prime in diese einstellt oder von dieser verarbeiten lässt.

(2) Dauer: Die Verarbeitung beginnt mit dem Vertragsschluss über die Nutzung der Software und endet mit der Beendigung des Nutzungsvertrags zuzüglich einer Nachwirkungsfrist für Datenrückgabe bzw. Löschung.

(3) Art und Zweck der Verarbeitung: Bereitstellung einer cloudbasierten Software zur Verwaltung von Trainings-, Ernährungs-, Termin- und Abrechnungsdaten sowie zur Kommunikation mit Endkunden des Verantwortlichen. Die Verarbeitung erfolgt ausschließlich zur vertragsgemäßen Erbringung der vereinbarten SaaS-Leistungen.

§2 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Kontaktdaten: Name, Vorname, Anschrift, Telefon, E-Mail, Geburtsdatum
Vertragsdaten: Kundennummer, Vertragsstatus, Laufzeit, Kündigungsdaten
Zahlungsdaten: IBAN (für SEPA), Rechnungsdaten, Zahlungsstatus (ohne Klartext-Kartendaten – diese werden ausschließlich durch den Zahlungsdienstleister Stripe verarbeitet)
Trainingsdaten: Trainingspläne, Sessions, Übungen, Gewichte, Wiederholungen, Messwerte, Fortschritt
Ernährungsdaten: Makronährstoffe, Ernährungspläne, Food-Scans, Gewichtsverlauf
Gesundheitsbezogene Daten: Anamnese, Zielsetzung, selbstberichtete Beschwerden (sofern vom Verantwortlichen erhoben)
Terminbezogene Daten: Kalendereinträge, Termine, Buchungshistorie
Kommunikationsdaten: Chat-Nachrichten zwischen Trainer und Endkunde, E-Mail-Kommunikation
Nutzungsdaten: Login-Zeiten, IP-Adresse, Session-Tokens

Gesundheitsdaten sind besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO. Der Verantwortliche stellt sicher, dass für deren Verarbeitung eine geeignete Rechtsgrundlage, insbesondere die ausdrückliche Einwilligung der betroffenen Person nach Art. 9 Abs. 2 lit. a DSGVO, vorliegt.

§3 Kategorien betroffener Personen

Endkunden des Verantwortlichen (Trainings-Klienten, Mitglieder, Interessenten/Leads)
Mitarbeiter des Verantwortlichen (Trainer, Administratoren, Rezeption)
Sonstige durch den Verantwortlichen angelegte Kontakte (z. B. Notfallkontakte der Endkunden)

§4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

die Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen zu verarbeiten;
die mit der Verarbeitung befassten Mitarbeiter auf Vertraulichkeit zu verpflichten oder eine gesetzliche Verschwiegenheitspflicht sicherzustellen;
geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO zu treffen;
Unterauftragsverarbeiter nur mit vorheriger allgemeiner schriftlicher Genehmigung einzusetzen und bei Änderungen den Verantwortlichen zu informieren;
den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) im Rahmen des technisch Möglichen zu unterstützen;
den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldepflichten, Datenschutz-Folgenabschätzung) zu unterstützen;
nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen;
dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen, und Überprüfungen und Inspektionen (Audits) zu ermöglichen und dazu beizutragen.

§5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit nach Art. 32 DSGVO getroffen:

Vertraulichkeit

Zutrittskontrolle: Server werden ausschließlich in zertifizierten Rechenzentren der Unterauftragsverarbeiter betrieben (EU – Frankfurt/Main für Primärdaten). Physischer Zutritt ist durch die jeweiligen Betreiber streng reglementiert.
Zugangskontrolle: Authentifizierung über E-Mail und Passwort mit Passwort-Stärke-Anforderungen. Optionale 2-Faktor-Authentifizierung. Passwort-Hashing nach Industriestandard (bcrypt/Argon2).
Zugriffskontrolle: Row-Level-Security (RLS) auf Datenbank-Ebene stellt sicher, dass Kunden ausschließlich auf Daten ihrer eigenen Organisation zugreifen können (Multi-Tenant-Isolation). Rollen- und Rechtesystem für interne Nutzer (Admin, Trainer, Rezeption).
Pseudonymisierung: Wo technisch sinnvoll, werden IDs (UUIDs) anstelle personenbezogener Identifikatoren verwendet.

Integrität

Weitergabekontrolle: Transportverschlüsselung (TLS 1.2+) für alle Datenübertragungen.
Eingabekontrolle: Audit-Logs für sicherheitsrelevante Operationen (Login, Datenexport, Rechteänderungen).

Verfügbarkeit und Belastbarkeit

Backups: Tägliche automatisierte Backups der Produktionsdatenbank, Aufbewahrung nach Tarif bis zu 30 Tagen.
Wiederherstellbarkeit: Dokumentierte Disaster-Recovery-Prozesse, Point-in-Time-Recovery durch den Datenbank-Provider.
Verschlüsselung im Ruhezustand: Verschlüsselung der Datenbank und Object-Storage bei den Unterauftragsverarbeitern.

Verfahren zur regelmäßigen Überprüfung

Datenschutz-Management: Regelmäßige Überprüfung der Verarbeitungsprozesse.
Incident-Response: Definierter Prozess zur Erkennung und Meldung von Datenschutzvorfällen innerhalb von 72 Stunden gegenüber dem Verantwortlichen.
Error-Tracking: Sentry (mit Datenminimierung – keine personenbezogenen Daten im Error-Payload).

§6 Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, folgende Unterauftragsverarbeiter einzusetzen. Beabsichtigte Änderungen werden dem Verantwortlichen mit angemessener Frist mitgeteilt; der Verantwortliche kann der Änderung aus berechtigtem Grund widersprechen.

Unterauftragsverarbeiter	Sitz	Zweck	Absicherung
Supabase Inc.	USA (Server-Region: EU – Frankfurt)	Datenbank, Authentifizierung, Object-Storage	Art. 28 DSGVO + SCCs
Stripe Payments Europe Ltd.	Irland (EU)	Zahlungsabwicklung (SEPA, Kreditkarte)	Art. 28 DSGVO / eigenständig Verantwortlicher für Zahlungsdaten
Resend Inc.	USA	Versand von Transaktions- und System-E-Mails	Art. 28 DSGVO + SCCs
Anthropic PBC	USA	Claude-API für KI-Assistent-Funktionen	Art. 28 DSGVO + SCCs, Zero-Retention Policy für API-Requests
Cloudflare, Inc.	USA (mit EU-Präsenz)	CDN, Web-Hosting, DDoS-Schutz	Art. 28 DSGVO + SCCs, EU-U.S. Data Privacy Framework
Google LLC (optional)	USA	Calendar-Sync (nur auf ausdrücklichen Kundenwunsch)	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) + SCCs

Alle außerhalb der EU ansässigen Unterauftragsverarbeiter sind durch die Standardvertragsklauseln (SCCs) der EU-Kommission abgesichert. Die aktuelle Liste der Unterauftragsverarbeiter wird auf Anfrage unter info@niklaspape.de zur Verfügung gestellt.

§7 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen nach Art. 15 bis 22 DSGVO. Soweit sich betroffene Personen direkt an den Auftragsverarbeiter wenden, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

§8 Prüfrechte

(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der Verpflichtungen des Auftragsverarbeiters, insbesondere hinsichtlich der getroffenen TOMs, zu überzeugen. Er kann hierzu jederzeit Auskünfte einholen, vorhandene Testate, Zertifikate oder interne Prüfungen einsehen oder – soweit erforderlich – nach vorheriger Abstimmung während üblicher Geschäftszeiten und ohne Störung des Betriebsablaufs Prüfungen durchführen bzw. durch einen sachkundigen Dritten durchführen lassen.

(2) Der Auftragsverarbeiter kann nach eigenem Ermessen die Vorlage eines aktuellen Testats eines unabhängigen Prüfers als Nachweis anbieten. Die Kosten für Prüfungen, die über einfache Auskünfte hinausgehen, trägt der Verantwortliche.

§9 Haftung

Für die Haftung zwischen den Parteien gelten die Bestimmungen aus dem zugrundeliegenden Nutzungsvertrag (AGB §10) entsprechend. Die Haftung gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO.

§10 Laufzeit, Beendigung, Rückgabe/Löschung

(1) Dieser AVV tritt mit Abschluss eines kostenpflichtigen Tarifs in Kraft und endet automatisch mit Beendigung des Nutzungsvertrags.

(2) Nach Beendigung des Vertrags kann der Verantwortliche seine Daten innerhalb einer Frist von 30 Tagen über die in der Software bereitgestellten Export-Funktionen exportieren.

(3) Nach Ablauf dieser Frist werden die personenbezogenen Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Aufbewahrungspflichten betreffen insbesondere Rechnungs- und Buchhaltungsdaten (§ 147 AO, § 257 HGB).

§11 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Im Fall von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien (insbesondere den AGB) gehen die Regelungen dieses AVV vor.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Lübeck, soweit der Verantwortliche Unternehmer, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Kontakt für AVV-Anforderungen

Für die Anforderung eines individuell ausgefüllten und unterzeichneten AVV wenden Sie sich bitte an:

Niklas Pape
Niklas Pape Gesundheits und Fitnesstraining
Mengstraße 40
23552 Lübeck
Deutschland
E-Mail: info@niklaspape.de