Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) – Stand: Februar 2026

Vertragsparteien

Auftraggeber (Verantwortlicher):
Der jeweilige Studio-Inhaber, der ein Studio-Konto auf der Plattform yogastudio-manager.de registriert hat (nachfolgend „Auftraggeber")

Auftragnehmer (Auftragsverarbeiter):

Reinhold Kruse
Diestelkamp 5
49328 Melle
E-Mail: info@reinhold-kruse.de

(nachfolgend „Auftragnehmer")

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „Yogastudio-Manager" (nachfolgend „Plattform").

(2) Gegenstand der Auftragsverarbeitung ist die Bereitstellung einer webbasierten Software zur Verwaltung von Yogastudios, umfassend die Speicherung, Verarbeitung und Bereitstellung der vom Auftraggeber eingegebenen Daten einschließlich:

• Speicherung und Verwaltung von Teilnehmer-, Kurs- und Kartendaten
• Erstellung und Speicherung von Rechnungen und Finanzdaten
• Erfassung und Verwaltung von Anwesenheitsdaten
• Betrieb eines Token-basierten Teilnehmerportals
• Optionaler Betrieb einer öffentlichen Website für das Studio
• Versand von E-Mails im Auftrag des Studios (Rechnungen, Mahnungen, Portal-Token)
• Generierung und Speicherung von PDF-Dokumenten (Rechnungen, Mahnungen)

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (AGB). Nach Vertragsende werden die Daten gemäß § 10 dieses AVV behandelt.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung der unter § 1 beschriebenen Plattform-Funktionen für den Auftraggeber. Die Verarbeitung umfasst folgende Tätigkeiten:

• Erheben (bei Eingabe durch den Auftraggeber oder dessen Nutzer)
• Speichern (in der Datenbank und als Dateien)
• Ändern (bei Aktualisierung durch den Auftraggeber)
• Auslesen (bei Abruf durch berechtigte Nutzer)
• Übermitteln (bei E-Mail-Versand im Auftrag des Studios)
• Löschen (bei Löschung durch den Auftraggeber oder bei Vertragsende)

§ 3 Kategorien betroffener Personen

Folgende Kategorien betroffener Personen sind von der Verarbeitung betroffen:

1. Teilnehmer des Studios: Personen, die an Yogastunden des Auftraggebers teilnehmen oder teilgenommen haben
2. Yogalehrer des Studios: Personen, die als Yogalehrer für den Auftraggeber tätig sind
3. Benutzer/Administratoren: Personen mit Zugang zum Verwaltungsbereich des Studios
4. Rechnungsempfänger: Personen, an die der Auftraggeber Rechnungen erstellt (in der Regel identisch mit den Teilnehmern)

§ 4 Art der personenbezogenen Daten

Folgende Arten personenbezogener Daten werden verarbeitet:

4.1 Teilnehmerdaten

• Stammdaten: Vorname, Nachname, Anschrift, Geburtsdatum
• Kontaktdaten: E-Mail-Adresse, Telefonnummer
• Vertragsdaten: Zugeordnete Karten (Prepaid-Kontingente), Kurszuordnungen
• Anwesenheitsdaten: Datum und Uhrzeit der Teilnahme an Yogastunden
• Finanzdaten: Rechnungen, Zahlungen, offene Posten, Mahnungen
• Zugangsdaten: Portal-Token (als SHA-256-Hash gespeichert)

4.2 Yogalehrer-Daten

• Stammdaten: Vorname, Nachname
• Kontaktdaten: E-Mail-Adresse, Telefonnummer
• Finanzdaten: Honorarsätze, Honorarabrechnungen
• Zugangsdaten: Benutzername, Passwort (als bcrypt-Hash)
• Foto (optional, für Website und Verwaltung)

4.3 Benutzer-/Administratordaten

• Benutzername
• Passwort (als bcrypt-Hash)
• Name, E-Mail-Adresse

4.4 Besondere Kategorien personenbezogener Daten

Die Verarbeitung von Anwesenheitsdaten bei allgemeinen Yogastunden stellt grundsätzlich keine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO dar. Soweit der Auftraggeber besondere Kategorien personenbezogener Daten verarbeitet (z. B. Angaben zu gesundheitlichen Einschränkungen, Teilnahme an therapeutischem Yoga, Reha-Yoga oder Schwangerschaftsyoga), ist er als Verantwortlicher verpflichtet, hierfür eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO sicherzustellen. Die Prüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung obliegt dem Auftraggeber.

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen ergeben sich aus diesem AVV, dem Hauptvertrag (AGB) und den Funktionen der Plattform. Zusätzliche Weisungen sind nur wirksam, wenn sie in Textform (E-Mail) erteilt werden.

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

(3) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung der personenbezogenen Daten befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(4) Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage 1).

(5) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Anfragen betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 12–23 DSGVO).

(6) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(7) Der Auftragnehmer teilt dem Auftraggeber unverzüglich mit, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Die Mitteilung enthält mindestens:

1. eine Beschreibung der Art der Verletzung
2. die Kategorien und ungefähre Zahl der betroffenen Personen
3. eine Beschreibung der wahrscheinlichen Folgen
4. eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

(8) Die Prüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung obliegt dem Auftraggeber als Verantwortlichem. Der Auftragnehmer ist nicht verpflichtet, die Rechtmäßigkeit der vom Auftraggeber angewiesenen Verarbeitung eigenständig zu prüfen.

§ 6 Unterauftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Unterauftragnehmer	Sitz	Leistung
ALL-INKL.COM – Neue Medien Münnich	Friedersdorf, Deutschland	Hosting, Serverinfrastruktur, Datenspeicherung, E-Mail-Versand (SMTP)

(2) Der Auftragnehmer stellt sicher, dass mit jedem Unterauftragsverarbeiter ein Vertrag geschlossen wird, der diesem die gleichen Datenschutzpflichten auferlegt wie dieser AVV.

(3) Der Auftragnehmer informiert den Auftraggeber vorab über geplante Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen die Änderung innerhalb von vier Wochen nach Benachrichtigung Einspruch erheben. Erhebt der Auftraggeber begründeten Einspruch und kann keine einvernehmliche Lösung gefunden werden, steht dem Auftraggeber ein Sonderkündigungsrecht zu.

(4) Die Verantwortung des Auftragnehmers für die Einhaltung der datenschutzrechtlichen Pflichten durch Unterauftragsverarbeiter bleibt unberührt.

§ 7 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Bestimmungen dieses AVV durch den Auftragnehmer zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Inspektionen, einschließlich Überprüfungen, können vom Auftraggeber oder einem vom Auftraggeber beauftragten Prüfer durchgeführt werden. Der Auftragnehmer ist rechtzeitig (mindestens zwei Wochen vorher) über geplante Überprüfungen zu informieren.

(3) Überprüfungen dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen. Der Auftraggeber trägt die Kosten einer Überprüfung, sofern diese nicht aufgrund eines nachweislichen Verstoßes des Auftragnehmers gegen die Bestimmungen dieses AVV erforderlich wurde.

(4) Der Auftragnehmer kann alternativ ein aktuelles Testat, Zertifikat oder einen Prüfbericht eines unabhängigen Sachverständigen vorlegen, sofern dieser die Einhaltung der Pflichten aus diesem AVV abdeckt.

§ 8 Drittlandtransfer

(1) Eine Verarbeitung personenbezogener Daten in einem Drittland (außerhalb des Europäischen Wirtschaftsraums) findet nicht statt und ist ohne vorherige schriftliche Zustimmung des Auftraggebers unzulässig.

(2) Das Hosting erfolgt ausschließlich auf Servern in Deutschland.

§ 9 Unterstützung bei Betroffenenrechten

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen. Dies umfasst insbesondere:

1. Auskunft (Art. 15 DSGVO): Der Auftragnehmer stellt dem Auftraggeber die im System gespeicherten Daten der betroffenen Person über die Export-Funktionen zur Verfügung.
2. Berichtigung (Art. 16 DSGVO): Der Auftraggeber kann Daten über den Admin-Bereich selbst berichtigen.
3. Löschung (Art. 17 DSGVO): Der Auftraggeber kann Teilnehmer und deren Daten über den Admin-Bereich löschen. Der Auftragnehmer stellt sicher, dass die Daten auch in Backups innerhalb angemessener Frist gelöscht werden.
4. Einschränkung (Art. 18 DSGVO): Der Auftraggeber kann Teilnehmerkonten deaktivieren.
5. Datenübertragbarkeit (Art. 20 DSGVO): Der Auftragnehmer stellt Export-Funktionen in den Formaten CSV und JSON bereit.

(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber weiter und ergreift keine eigenständigen Maßnahmen, sofern nicht gesetzlich dazu verpflichtet.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrages stellt der Auftragnehmer dem Auftraggeber für einen Zeitraum von 90 Kalendertagen die Möglichkeit bereit, sämtliche Daten über die Export-Funktionen herunterzuladen.

(2) Nach Ablauf der 90-tägigen Aufbewahrungsfrist löscht der Auftragnehmer unwiderruflich alle im Auftrag verarbeiteten personenbezogenen Daten, einschließlich:

• aller Datenbankeinträge mit Bezug zum Studio des Auftraggebers
• aller gespeicherten Dateien (PDF-Dokumente, Bilder, JSON-Exporte)
• aller Backup-Kopien innerhalb der regulären Backup-Rotation

(3) Der Auftragnehmer bestätigt die vollständige Löschung auf Anfrage des Auftraggebers in Textform.

(4) Soweit eine Löschung aufgrund gesetzlicher Aufbewahrungspflichten nicht möglich ist (z. B. Rechnungsdaten gemäß § 147 AO), werden die betreffenden Daten gesperrt und nach Ablauf der Aufbewahrungsfrist gelöscht. Der Auftraggeber wird über den Umfang der gesperrten Daten informiert.

§ 11 Haftung

Die Haftung der Vertragsparteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrages (AGB).

§ 12 Schlussbestimmungen

(1) Dieser AVV ist Bestandteil des Hauptvertrages (AGB) und wird mit der Registrierung auf der Plattform akzeptiert.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Es gilt das Recht der Bundesrepublik Deutschland.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO

1. Zutrittskontrolle

• Hosting bei ALL-INKL.COM in professionellen Rechenzentren in Deutschland mit physischen Zugangskontrollen
• Kein eigener Serverbetrieb durch den Auftragnehmer

2. Zugangskontrolle

• Zugang zum Admin-Bereich durch Benutzername und Passwort geschützt
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert
• Yogalehrer-Bereich mit eingeschränkten Rechten (kein Zugriff auf Finanzdaten, Rechnungen, Buchhaltung)
• Teilnehmerportal-Zugang über zeitlich begrenzte, personalisierte Token (SHA-256-Hash)
• Rate-Limiting zum Schutz vor Brute-Force-Angriffen bei Login und Token-Validierung
• Automatischer Sitzungsablauf nach 2 Stunden Inaktivität

3. Zugriffskontrolle

• Rollenbasiertes Berechtigungskonzept (Administrator, Yogalehrer, Teilnehmer)
• Yogalehrer haben keinen Zugriff auf Finanzdaten, Rechnungen und Buchhaltung
• Teilnehmer sehen nur ihre eigenen Daten
• Plattform-Administration ist von der Studio-Administration vollständig getrennt

4. Trennungskontrolle (Mandantentrennung)

• Datenbankebene: Jede SQL-Abfrage enthält einen Mandantenfilter (studio_id). Ein automatischer Mechanismus (BaseRepository) stellt sicher, dass Abfragen stets auf den aktuellen Mandanten beschränkt sind.
• Session-Ebene: Jedes Studio verwendet eine eigene, benannte Session. Bei Abweichungen zwischen Session und aktuellem Mandanten wird die Session zerstört.
• Dateiebene: Dateien werden in mandantenspezifischen Verzeichnissen gespeichert (getrennt nach Studio-ID bzw. Studio-Slug). Dateizugriffe prüfen die Studio-Zugehörigkeit.
• Token-Ebene: Portal-Tokens sind an ein bestimmtes Studio gebunden. Token und Domain müssen zusammenpassen.

5. Weitergabekontrolle (Transportverschlüsselung)

• SSL/TLS-Verschlüsselung für sämtliche Datenübertragungen (Let's Encrypt Wildcard-Zertifikate)
• HTTPS wird erzwungen (automatische Weiterleitung)
• Session-Cookies mit Secure- und HttpOnly-Flag
• SameSite=Lax als Cookie-Attribut zum Schutz vor CSRF

6. Eingabekontrolle

• Zentrale Eingabevalidierung im Service-Layer
• Prepared Statements für alle Datenbankabfragen (Schutz vor SQL-Injection)
• CSRF-Token-Schutz für alle formularbasierten Aktionen

7. Protokollierung

• Protokollierung administrativer Aktionen (z. B. Löschungen, Änderungen an Stammdaten)
• Zugriff auf Protokolldaten nur für Administratoren
• Fehlerprotokollierung in Log-Dateien

8. Verfügbarkeitskontrolle

• Hosting bei ALL-INKL.COM mit professioneller Serverinfrastruktur
• Tägliche Datensicherungen durch den Hosting-Anbieter
• Aufbewahrung der Backups gemäß den Konditionen des Hosting-Anbieters

9. Wiederherstellbarkeit

• Regelmäßige Datensicherungen (durch Hosting-Anbieter)
• Export-Funktionen für den Kunden (CSV, JSON)

10. Incident-Management

• Verfahren zur Erkennung und Behandlung von Sicherheitsvorfällen
• Unverzügliche Benachrichtigung des Auftraggebers bei Verletzungen des Schutzes personenbezogener Daten (gemäß § 5 Abs. 7 dieses AVV)

11. Datenschutzfreundliche Voreinstellungen (Privacy by Design)

• Minimale Datenerhebung: Es werden nur die für den Betrieb erforderlichen Daten erhoben
• Passwort-Reset-Mails geben keinen Hinweis darauf, ob eine E-Mail-Adresse im System existiert
• Token-Zugriffsfehler geben keinen Hinweis darauf, ob ein Token existiert
• Keine Tracking- oder Analyse-Cookies
• Kein Drittland-Transfer

12. Trennung von Entwicklungs- und Produktivsystem

• Es erfolgt keine Nutzung produktiver personenbezogener Daten zu Testzwecken
• Entwicklungs- und Produktivsystem sind voneinander getrennt

13. Datenschutzbeauftragter

• Es besteht derzeit keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten (weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, § 38 BDSG)