Zum Inhalt springen
Datenschutz

Vereinbarung zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO zwischen dem Kunden ("Verantwortlicher") und Krumpe Vital ("Auftragsverarbeiter")

VerantwortlicherDer Kunde
AuftragsverarbeiterKrumpe Vital

1Gegenstand und Dauer der Vereinbarung

1.1. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit dem zwischen dem Kunden und Krumpe Vital geschlossenen Vertrag über das B2B-Performanceprogramm (im Folgenden „Hauptvertrag“) und ist dessen Anlage.

1.2. Krumpe Vital verarbeitet im Rahmen der Programmdurchführung (insbesondere digitales Self-Assessment, Gruppeneinteilung Gruppe A/B, Live-Termine, Chatbegleitung, Reporting) personenbezogene Daten der Mitarbeitenden des Kunden ausschließlich im Auftrag und nach Weisung des Kunden als datenschutzrechtlich Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO.

1.3. Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags gemäß dessen Abschnitt 5 und endet automatisch mit dessen Beendigung, unbeschadet der in Abschnitt 8 dieser AVV geregelten Löschungs- und Rückgabepflichten.

2Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Daten

2.1. Zweck der Verarbeitung ist die Durchführung des B2B-Performanceprogramms, insbesondere:

  • digitales Self-Assessment und automatisierte Zuordnung zu Gruppe A (Aktivgruppe) oder Gruppe B (Wissensgruppe),
  • Organisation und Durchführung der monatlichen Live-Termine sowie ggf. gebuchter 1:1-Kurzgespräche,
  • Chatbegleitung im Rahmen des dedizierten Chat-Kanals,
  • Erstellung des quartalsweisen Reportings an den Kunden (auf aggregierter, grundsätzlich nicht personenbezogener Ebene).

2.2. Kategorien betroffener Personen: Mitarbeitende des Kunden, die am Self-Assessment teilnehmen bzw. dem Programm zugeordnet werden.

2.3. Kategorien personenbezogener Daten:

  • Stammdaten (Name, betriebliche Kontaktdaten, Zuordnung zu Gruppe A/B),
  • Angaben aus dem Self-Assessment zu Zielen, Herausforderungen und Interessen in den Bereichen Schlaf, Energie, Ernährung, Stressmanagement und Regeneration — hierbei handelt es sich um Gesundheitsdaten bzw. gesundheitsnahe Daten im Sinne von Art. 9 Abs. 1 DSGVO (besondere Kategorien personenbezogener Daten),
  • im Rahmen optionaler Zusatzleistungen ggf. weitere Gesundheitsdaten (z. B. Ergebnisse von Blutanalysen oder Schlafanalysen, soweit gesondert gebucht),
  • Kommunikationsinhalte aus dem dedizierten Chat-Kanal bzw. 1:1-Kurzgesprächen, soweit gesundheitsbezogene Themen besprochen werden.

3Verantwortlichkeit und Weisungsrecht

3.1. Der Kunde bleibt datenschutzrechtlich Verantwortlicher im Sinne der DSGVO und trägt insbesondere die Verantwortung für das Vorliegen einer wirksamen Rechtsgrundlage (insbesondere informierte Einwilligung der teilnehmenden Mitarbeitenden gemäß Art. 9 Abs. 2 lit. a DSGVO) für die Teilnahme am Self-Assessment und die damit verbundene Verarbeitung von Gesundheitsdaten.

3.2. Krumpe Vital verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, eine Verarbeitung ist gesetzlich vorgeschrieben. Weisungen können mündlich erteilt werden, sind vom Kunden jedoch unverzüglich schriftlich oder in Textform zu bestätigen.

3.3. Hält Krumpe Vital eine Weisung des Kunden für rechtswidrig, teilt Krumpe Vital dies dem Kunden unverzüglich mit; Krumpe Vital ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung durch den Kunden auszusetzen.

4Pflichten des Auftragsverarbeiters

4.1. Krumpe Vital verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und der Weisungen des Kunden, es sei denn, es besteht eine gesetzliche Verpflichtung zur Verarbeitung.

4.2. Krumpe Vital gewährleistet, dass alle zur Verarbeitung befugten Personen (inkl. eingesetzter Co-Coaches, siehe Abschnitt 5) zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; dies gilt in besonderem Maße für die in Abschnitt 2.3 genannten Gesundheitsdaten.

4.3. Krumpe Vital trifft die in Anlage 2 (technische und organisatorische Maßnahmen, TOM) beschriebenen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und passt diese bei Bedarf an den Stand der Technik an.

4.4. Krumpe Vital unterstützt den Kunden im Rahmen des Zumutbaren bei der Erfüllung von dessen Pflichten gemäß Art. 32 bis 36 DSGVO, insbesondere bei der Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung) sowie bei Datenschutz-Folgenabschätzungen, soweit diese die Verarbeitung im Rahmen dieser AVV betreffen.

4.5. Krumpe Vital meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO), die die im Rahmen dieser AVV verarbeiteten Daten betreffen, unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, und unterstützt den Kunden bei der Erfüllung von dessen Melde- und Benachrichtigungspflichten.

4.6. Krumpe Vital weist dem Kunden die Einhaltung der in dieser AVV geregelten Pflichten auf Anfrage in geeigneter Form nach und ermöglicht dem Kunden bzw. einem von diesem beauftragten Prüfer im angemessenen Umfang Kontrollen, einschließlich Inspektionen, nach vorheriger Ankündigung und unter Berücksichtigung des laufenden Programmbetriebs.

5Unterauftragsverhältnisse (Co-Coaches und weitere Subunternehmer)

5.1. Der Kunde erteilt Krumpe Vital hiermit eine allgemeine Genehmigung zur Einbindung von Co-Coaches und sonstigen Subunternehmern gemäß Abschnitt 8 der Hauptvertrags-AGB, soweit dies für die Durchführung des Programms (insbesondere Live-Termine, Chatbegleitung, Umsetzungsbegleitung Gruppe A) erforderlich ist.

5.2. Krumpe Vital informiert den Kunden über den beabsichtigten Einsatz oder Wechsel von Co-Coaches bzw. Subunternehmern, die Zugriff auf die in Abschnitt 2.3 genannten Daten erhalten; der Kunde kann innerhalb von [14 Tagen] nach Information gegen den konkreten Subunternehmer Einwand erheben, sofern datenschutzrechtliche Bedenken bestehen.

5.3. Krumpe Vital verpflichtet jeden eingesetzten Co-Coach bzw. Subunternehmer vertraglich zu Datenschutzpflichten, die dem in dieser AVV vereinbarten Schutzniveau mindestens entsprechen, einschließlich Vertraulichkeit und angemessener technischer und organisatorischer Maßnahmen.

5.4. Krumpe Vital haftet gegenüber dem Kunden für die Einhaltung der datenschutzrechtlichen Pflichten durch eingesetzte Subunternehmer wie für eigenes Handeln.

6Verarbeitung außerhalb der EU/des EWR

Eine Verarbeitung personenbezogener Daten in einem Drittland außerhalb der EU/des EWR findet nach aktuellem Stand nicht statt. Sollte künftig ein Drittlandtransfer erforderlich werden (z. B. durch Wechsel eines eingesetzten Tools), informiert Krumpe Vital den Kunden vorab und stellt sicher, dass geeignete Garantien im Sinne von Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln) vorliegen.

7Rechte der betroffenen Mitarbeitenden

7.1. Erhält Krumpe Vital eine Anfrage einer betroffenen Person (Mitarbeitender des Kunden) zur Ausübung von deren Rechten (u. a. Auskunft, Berichtigung, Löschung), leitet Krumpe Vital diese unverzüglich an den Kunden weiter, sofern eine eigenständige Beantwortung durch Krumpe Vital nicht ausdrücklich vereinbart ist.

7.2. Krumpe Vital unterstützt den Kunden bei der Beantwortung solcher Anfragen im Rahmen des technisch und organisatorisch Zumutbaren.

8Löschung und Rückgabe personenbezogener Daten nach Beendigung

8.1. Nach Beendigung des Hauptvertrags löscht Krumpe Vital sämtliche im Rahmen dieser AVV verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Kunden zurück, soweit nicht eine gesetzliche Pflicht zur weiteren Speicherung besteht.

8.2. Die Löschung bzw. Rückgabe erfolgt innerhalb von [30 Tagen] nach Vertragsende; auf Verlangen bestätigt Krumpe Vital die vollständige Löschung schriftlich.

8.3. Aggregierte, nicht auf einzelne Mitarbeitende rückführbare Auswertungen (z. B. anonymisierte Reporting-Kennzahlen) können über das Vertragsende hinaus für eigene statistische Zwecke von Krumpe Vital verwendet werden, sofern kein Personenbezug mehr besteht.

9Sonstiges

9.1. Änderungen und Ergänzungen dieser AVV bedürfen der Schriftform bzw. Textform.

9.2. Sollte eine Bestimmung dieser AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

9.3. Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag geht diese AVV hinsichtlich der Verarbeitung personenbezogener Daten vor.

9.4. Es gilt ausschließlich deutsches Recht; Gerichtsstand ist, soweit gesetzlich zulässig, [Ort einsetzen — konsistent mit Abschnitt 15.3 der AGB].

Anlage 1Übersicht Kategorien betroffener Personen und Daten

Siehe Abschnitt 2 dieser Vereinbarung. Eine kundenspezifische Ergänzung (z. B. konkrete Fragebogen-Items) kann bei Bedarf als separates Blatt beigefügt werden.

Anlage 2Technische und organisatorische Maßnahmen (TOM)

BereichMaßnahme
ZutrittskontrolleZugang zu Räumlichkeiten mit Datenträgern nur für befugte Personen; [Details ergänzen, z. B. Schließsystem, Homeoffice-Regelung]
ZugangskontrollePasswortgeschützte Endgeräte, [Zwei-Faktor-Authentifizierung sofern eingesetzt], automatische Sperrung nach Inaktivität
ZugriffskontrolleRollenbasierte Berechtigungen im Self-Assessment-Tool bzw. eingesetzten Systemen; Zugriff auf Gesundheitsdaten beschränkt auf [Lukas / Co-Coaches im jeweils erforderlichen Umfang]
WeitergabekontrolleVerschlüsselte Übertragung (TLS) bei digitaler Übermittlung; keine Weitergabe von Rohdaten außerhalb der in Abschnitt 5 genannten Unterauftragsverhältnisse
EingabekontrolleProtokollierung von Erstellung, Änderung und Löschung der Self-Assessment-Datensätze, soweit vom eingesetzten System unterstützt
AuftragskontrolleSchriftliche Weisungsbindung, vertragliche Einbindung von Co-Coaches gemäß Abschnitt 5 dieser AVV
VerfügbarkeitskontrolleRegelmäßige Datensicherung; [Details zum eingesetzten Backup-/Hosting-Anbieter ergänzen]
TrennungsgebotGetrennte Verarbeitung der Daten je Kunde/Unternehmen; keine Zusammenführung von Datensätzen verschiedener Kunden
VertraulichkeitsverpflichtungAlle mit der Verarbeitung befassten Personen (inkl. Co-Coaches) sind auf Vertraulichkeit und Datengeheimnis verpflichtet