Zum Hauptinhalt springen
← Datenschutzerklärung

Auftragsverarbeitungsvertrag (AVV)

Version 1.0 · 01.05.2026 · Art. 28 DSGVO

1. Vertragsparteien

Verantwortlicher — der Verband, Verein oder selbstständige Trainer / die selbstständige Trainerin, der/die IRI nutzt (der Kunde). Auftragsverarbeiter — der Betreiber der IRI-Plattform, erreichbar unter felix.geelhaar@gmail.com.

2. Umfang der Verarbeitung

  • Kategorien betroffener Personen: Trainer:innen, Athlet:innen, Hilfspersonal.
  • Kategorien personenbezogener Daten: Zugangsdaten, Trainingsverlauf von Athlet:innen, Körpergewicht, RPE, Video-Uploads.
  • Zweck: Bereitstellung von Trainingsplanung, Analytik und Trainer-Athlet-Kommunikation.
  • Dauer: Laufzeit des Kundenabonnements zuzüglich 30 Tagen Lösch­frist.

3. Pflichten des Auftragsverarbeiters

  1. Verarbeitung personenbezogener Daten ausschließlich nach dokumentierter Weisung des Kunden.
  2. Verpflichtung aller eingesetzten Personen zur Vertraulichkeit.
  3. Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO) — siehe Anlage A.
  4. Einbindung von Unterauftragsverarbeitern nur mit vorheriger allgemeiner Genehmigung des Kunden (Abschnitt 4).
  5. Unterstützung des Kunden bei der Erfüllung von Betroffenenrechten (Art. 12–22 DSGVO).
  6. Meldung von Verletzungen des Schutzes personenbezogener Daten an den Kunden ohne unangemessene Verzögerung, möglichst innerhalb von 72 Stunden.

4. Unterauftragsverarbeitung

Die aktuelle Liste der Unterauftragsverarbeiter ist unter /legal/sub-processors verfügbar und wird 30 Tage vor wirksamen Änderungen aktualisiert. Der Kunde kann schriftlich widersprechen.

5. Anlage A — Sicherheitsmaßnahmen

  • Transportverschlüsselung: erzwungenes TLS 1.3.
  • Speicherverschlüsselung: Verschlüsselung im Ruhezustand für PostgreSQL und Objektspeicher.
  • Authentifizierung: mit bcrypt gehashte Passwörter, HTTP-only-Session-Cookies, optional SSO über Verbands-IdP.
  • Backups: tägliche Snapshots, 90-Tage-Rotation, regionale Redundanz.
  • Zugriffskontrolle: Prinzip der minimalen Rechte, protokollierter Zugriff auf die Produktion.
  • Minimierung von KI-Eingaben: Athletennamen auf Initialen anonymisiert, keine personenbezogenen Daten außerhalb von Leistungskennzahlen.

6. Internationale Datenübermittlung

Unterauftragsverarbeiter können außerhalb der EU/des EWR tätig sein. In diesem Fall werden die Standardvertragsklauseln (Beschluss 2021/914) per Verweis einbezogen. EU-ausschließliche Deployments sind auf Anfrage verfügbar und nutzen ausschließlich den lokal gehosteten KI-Anbieter Ollama.

7. Kündigung

Bei Vertragsende werden alle personenbezogenen Daten auf Wunsch des Kunden (im JSON-Format) exportiert und innerhalb von 30 Tagen gelöscht. Backups laufen innerhalb von 90 Tagen aus.