Vereinbarung zur Auftragsverarbeitung

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwischen Skill Launch und seinen Coach-Kunden. Inhaltlich basierend auf den EU-Standardvertragsklauseln (Implementing Decision (EU) 2021/915) sowie dem Muster der Datenschutzkonferenz (DSK).

Stand: 27. April 2026 · Version 1.0

Subprozessoren-Liste

Präambel

Diese Vereinbarung zur Auftragsverarbeitung („Vereinbarung") konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien, die sich aus dem Hauptvertrag (Nutzungsvertrag der Skill-Launch-Plattform) ergeben. Sie findet Anwendung auf alle Tätigkeiten, bei denen Mitarbeiter oder Subprozessoren des Auftragsverarbeiters mit personenbezogenen Daten des Verantwortlichen in Berührung kommen.

§ 1 Vertragsparteien

Verantwortlicher (im Folgenden „Coach"): Der Nutzer der Skill-Launch-Plattform mit eigenem Coach-Konto, der im Rahmen seines Geschäftsbetriebs personenbezogene Daten Dritter (Endkunden) verarbeitet.

Auftragsverarbeiter:
Skill Launch / Inhaber: Marko Svitlica
Anschrift: Lerchenauerstraße 25, 80809 München
E-Mail: hello@skill-launch.com
im Folgenden „Skill Launch"

§ 2 Gegenstand und Dauer

Gegenstand: Bereitstellung einer Software-as-a-Service-Plattform für das Onboarding, die Verwaltung und das Coaching von Endkunden. Skill Launch verarbeitet im Rahmen dieser Plattform personenbezogene Daten ausschließlich nach Weisung des Coaches.

Dauer: Die Vereinbarung gilt für die Dauer des Hauptvertrags zwischen Coach und Skill Launch und endet mit dessen Beendigung.

§ 3 Art und Zweck der Verarbeitung

Art: Speicherung, Erfassung, Strukturierung, Auslieferung, Löschung und Übermittlung personenbezogener Daten im Rahmen der Plattform-Funktionen.

Zweck: Kunden-Onboarding, Vertrags- und Angebotsmanagement, Zahlungsabwicklung, Terminbuchung, Kommunikation, Coaching-Inhalte (Trainings-/Ernährungspläne, Check-ins) und Marketing-Automatisierung.

§ 4 Kategorien betroffener Personen

  • Endkunden des Coaches
  • Interessenten / Leads des Coaches
  • Team-Mitglieder des Coaches (sofern eingeladen)

§ 5 Kategorien personenbezogener Daten

  • Stammdaten: Name, E-Mail, ggf. Telefon, Anschrift
  • Vertrags- und Angebotsinhalte
  • Zahlungsdaten (über Stripe — Skill Launch erhält keine Kartendaten)
  • Kommunikationsdaten: Chat-Nachrichten, E-Mails, Termin-Buchungen
  • Coaching-Daten: Trainings- und Ernährungspläne, Check-ins, Fortschrittsdaten
  • Optional vom Coach erfragte Formulardaten (Health-Screenings, Briefings, etc.)

§ 6 Pflichten des Auftragsverarbeiters

Skill Launch verpflichtet sich, dass die Verarbeitung der Daten ausschließlich auf dokumentierte Weisung des Coaches erfolgt. Im Einzelnen:

  1. Vertraulichkeit: Skill Launch hat alle mit der Datenverarbeitung betrauten Personen schriftlich zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
  2. Technische und organisatorische Maßnahmen (TOM): Skill Launch trifft die in Anlage 1 beschriebenen Maßnahmen nach Art. 32 DSGVO und hält diese auf aktuellem Stand.
  3. Unterstützung des Verantwortlichen: Skill Launch unterstützt den Coach bei Betroffenenanfragen (Art. 12–22 DSGVO), Datenschutzfolgenabschätzungen (Art. 35) und Meldungen von Datenpannen (Art. 33–34).
  4. Datenpannen-Meldung: Skill Launch informiert den Coach unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme einer Datenpanne, per E-Mail an die im Coach-Konto hinterlegte Adresse.
  5. Mitwirkung bei Audits: Skill Launch ermöglicht dem Coach (oder einem von ihm beauftragten Prüfer) auf Verlangen die Überprüfung der Einhaltung dieser Vereinbarung. Audits sind mindestens 30 Tage im Voraus anzukündigen und auf das notwendige Maß zu beschränken; Kosten der Audit-Begleitung trägt der Coach.
  6. Datenexport / Datenrückgabe: Auf Verlangen des Coaches stellt Skill Launch alle verarbeiteten Daten in einem maschinenlesbaren Format (JSON / CSV) zur Verfügung. Nach Vertragsende werden alle Coach-Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 7 Pflichten des Verantwortlichen

  1. Der Coach ist Verantwortlicher im Sinne der DSGVO und prüft selbständig, ob er für die jeweilige Verarbeitung über eine Rechtsgrundlage (Art. 6 DSGVO) verfügt.
  2. Der Coach informiert seine Endkunden in einer eigenen Datenschutzerklärung über die Datenverarbeitung und die Einbindung von Skill Launch als Auftragsverarbeiter.
  3. Der Coach holt erforderliche Einwilligungen seiner Endkunden eigenverantwortlich ein.
  4. Beauftragt der Coach Skill Launch mit der Durchführung einer Verarbeitung, ist er für die Rechtmäßigkeit dieser Weisung verantwortlich.

§ 8 Subprozessoren

Der Coach erteilt mit Abschluss dieses AVV eine allgemeine Genehmigung zum Einsatz weiterer Subprozessoren (Art. 28 Abs. 2 DSGVO). Eine Liste der aktuell eingesetzten Subprozessoren ist unter /subprozessoren einsehbar.

Skill Launch informiert den Coach mindestens 30 Tage vor jeder Hinzunahme oder Ersetzung eines Subprozessors per E-Mail. Der Coach hat das Recht, der Änderung binnen 14 Tagen aus berechtigten datenschutzrechtlichen Gründen schriftlich zu widersprechen. Wird ein Widerspruch nicht ausgeräumt, kann der Vertrag außerordentlich gekündigt werden.

Skill Launch verpflichtet alle Subprozessoren vertraglich auf datenschutzrechtliche Pflichten, die denen dieser Vereinbarung im Wesentlichen entsprechen.

§ 9 Drittlandtransfer

Verarbeitungen finden vorrangig in der EU/EWR statt. Übertragungen in Drittländer (insbesondere USA — z. B. Stripe, Vercel-CDN, Sentry) erfolgen ausschließlich auf Grundlage der EU-Standardvertragsklauseln (Implementing Decision (EU) 2021/914) oder anderer geeigneter Garantien nach Kapitel V DSGVO.

§ 10 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Bestimmungen des Hauptvertrags. Die Parteien stellen sich gegenseitig im Innenverhältnis von Ansprüchen frei, soweit der jeweils andere für die Pflichtverletzung verantwortlich ist.

§ 11 Schlussbestimmungen

  1. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  2. Änderungen und Ergänzungen bedürfen der Textform (E-Mail genügt).
  3. Es gilt deutsches Recht. Gerichtsstand ist — soweit gesetzlich zulässig — der Sitz von Skill Launch.
  4. Diese Vereinbarung tritt mit Abschluss des Hauptvertrags (Coach-Account-Erstellung auf der Skill-Launch-Plattform) in Kraft.

Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

1. Vertraulichkeit

  • Zutrittskontrolle: physische Server bei Subprozessoren in zertifizierten Rechenzentren (ISO 27001)
  • Zugangskontrolle: Auth via Supabase mit Passwort-Hashing (bcrypt), optional 2FA (TOTP)
  • Zugriffskontrolle: Row-Level Security in der Datenbank, Coach-Daten sind streng nach Coach-ID isoliert
  • Trennungskontrolle: Mandantenfähige Architektur mit eindeutiger Trennung der Coach-Daten
  • Pseudonymisierung: IP-Adressen in Tracking werden mittels SHA-256 gehasht

2. Integrität

  • Eingabekontrolle: Audit-Log für alle administrativen Änderungen
  • Weitergabekontrolle: TLS 1.2+ für alle Datenübertragungen

3. Verfügbarkeit & Belastbarkeit

  • Tägliche automatische Backups (Supabase Point-in-Time-Recovery)
  • Monitoring von Verfügbarkeit und Fehlern (Sentry)
  • Incident-Response-Prozess mit definierten Eskalationsstufen

4. Verfahren zur regelmäßigen Überprüfung

  • Datenschutz-Management: jährliche Überprüfung der TOM
  • Auftragskontrolle: alle Subprozessoren nach Art. 28 DSGVO vertraglich gebunden

Zustandekommen: Mit Abschluss des Hauptvertrags (Erstellen eines Coach-Kontos auf der Skill-Launch-Plattform) erkennt der Coach diese Vereinbarung als verbindlich an. Auf Wunsch stellt Skill Launch eine signierte PDF-Version per E-Mail zur Verfügung — schreibe an hello@skill-launch.com.