— RECHTLICHES · AUFTRAGSVERARBEITUNG · PRE-ANWALTS-STAND

AVV.

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen dem Mieter (Coach als Verantwortlicher) und der GOTT WALD Holding LLC (als Auftragsverarbeiter). Verpflichtender Bestandteil jedes Mietvertrags.

— PRE-ANWALTS-STAND Dieser AVV ist ein selbst geschriebener Pre-Anwalts-Entwurf und wartet auf finale Anwalts-Klärung am Termin (geplant Mai 2026). Bis dahin gilt er als Übergangs-Lösung. Die Rollen-Konstellation wird beim Termin gegen den W163-W166-Anwalts-Stand (Impressum/Datenschutz/AGB+Coach-Vertrag/Klient-Nutzungs- bedingungen v1.0) konsolidiert. Bei Inkonsistenz mit den vier Anwalts-finalen Dokumenten unter `/impressum`, `/datenschutz`, `/agb`, `/nutzungsbedingungen` haben jene Vorrang.
STAND: 07.05.2026 · VERSION 1.0 PRE-ANWALTS
ART. 28 DSGVO · EU-STANDARDVERTRAGSKLAUSELN
ANWALTS-TERMIN-KLÄRUNG STEHT AUS — BIS DAHIN ÜBERGANGS-LÖSUNG

— Inhalt

  1. Vertragsparteien
  2. Gegenstand & Dauer
  3. Art und Zweck der Verarbeitung
  4. Kategorien betroffener Personen & Daten
  5. Weisungsrecht des Verantwortlichen
  6. Vertraulichkeit
  7. Technische & organisatorische Maßnahmen
  8. Sub-Auftragsverarbeiter
  9. Unterstützung bei Betroffenenrechten
  10. Meldung von Datenschutzverletzungen
  11. Kontrollrechte
  12. Beendigung & Datenrückgabe
  13. Haftung
  14. Schlussbestimmungen

Verbindlichkeit: Dieser AVV ist verpflichtender Bestandteil des Mietvertrags zwischen Mieter und GOTT WALD Holding LLC. Ohne unterzeichneten AVV erfolgt keine Live-Schaltung der Plattform-Instanz. Die Unterzeichnung kann elektronisch (qualifizierte elektronische Signatur oder Zustimmung im Onboarding-Wizard mit Bestätigungs-E-Mail) oder schriftlich erfolgen.

— § 01 · VERTRAGSPARTEIEN

Wer schließt diesen AVV.

Verantwortlicher (im Sinne von Art. 4 Nr. 7 DSGVO)

Der Mieter ist Verantwortlicher hinsichtlich der von ihm auf der Plattform verarbeiteten personenbezogenen Daten seiner Klientinnen und Klienten.

— VERANTWORTLICHER · MIETER

(Name des Mieters)

(Anschrift)

(USt-ID, sofern vorhanden)

(Vertretungsberechtigt)

(E-Mail)

Auftragsverarbeiter (im Sinne von Art. 28 DSGVO)

— AUFTRAGSVERARBEITER

GOTT WALD Holding LLC

Maseli Street N2a, Entrance N2, Office N201

Gldani district

0108 Tbilisi, Georgien

Company ID: 400415421

Vertreten durch: Mathias Gottwald, Patron

E-Mail: info@meisterwerk.coach

— § 02 · GEGENSTAND & DAUER

Wofür dieser Vertrag gilt.

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Plattform-Instanz unter meisterwerk.coach.

Der AVV gilt für die Dauer des zugrundeliegenden Mietvertrags und endet mit dessen Beendigung — unabhängig vom Beendigungsgrund.

— § 03 · ART UND ZWECK DER VERARBEITUNG

Was technisch passiert.

Der Auftragsverarbeiter erbringt im Auftrag des Verantwortlichen folgende Verarbeitungstätigkeiten:

  • Speicherung personenbezogener Daten der Klienten des Verantwortlichen auf EU-Servern
  • Anzeige dieser Daten im Klienten-Portal und Coach-Backend
  • Übermittlung von Termin-Erinnerungen und Plattform-Benachrichtigungen
  • Bereitstellung von Video-Sessions über integrierte Drittanbieter (Daily.co)
  • Abwicklung von Zahlungs-Vorgängen über integrierte Drittanbieter (Stripe)
  • Erstellung und Speicherung von Rechnungen und Zahlungsverläufen
  • Backup und Wiederherstellung von Daten
  • technische Wartung und Sicherheits-Updates

Zweck der Verarbeitung: Die Verarbeitung dient ausschließlich der Erfüllung des Mietvertrags und der vom Verantwortlichen erteilten Aufträge. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

— § 04 · KATEGORIEN BETROFFENER PERSONEN & DATEN

Wer und was geschützt wird.

Kategorien betroffener Personen

  • Klientinnen und Klienten des Verantwortlichen
  • Interessierte Personen, die mit dem Verantwortlichen Kontakt aufnehmen
  • Beschäftigte und Erfüllungsgehilfen des Verantwortlichen, die Zugriff auf das Coach-Backend haben

Kategorien personenbezogener Daten

Kategorie Beispiele
Stammdaten Name, Anschrift, E-Mail-Adresse, Telefonnummer
Vertragsdaten Mandats-Form, Laufzeit, Konditionen
Termin- & Session-Daten Datum, Uhrzeit, Dauer, Format der Sessions
Inhaltsdaten Coaching-Notizen, Materialien, Briefe, Nachrichten
Zahlungsdaten Rechnungsdaten, Zahlungsstatus (keine Kreditkartendaten — diese liegen ausschließlich bei Stripe)
Nutzungsdaten Login-Zeitpunkte, IP-Adressen (gekürzt)

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO — z. B. Gesundheitsdaten, religiöse Überzeugungen) werden nur verarbeitet, soweit der Verantwortliche dies ausdrücklich beauftragt und eine geeignete Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO sicherstellt. Im Coaching-Kontext können solche Daten in Notizen oder Materialien anfallen — der Verantwortliche stellt eigenverantwortlich sicher, dass die Verarbeitung rechtmäßig erfolgt (z. B. durch ausdrückliche Einwilligung der Klienten).

— § 05 · WEISUNGSRECHT DES VERANTWORTLICHEN

Wer was anordnen darf.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist.

Als dokumentierte Weisung gelten:

  • der Mietvertrag und dieser AVV als Rahmen-Weisung
  • die Konfigurations-Einstellungen, die der Verantwortliche im Coach-Backend vornimmt
  • schriftliche Einzelweisungen per E-Mail an info@meisterwerk.coach

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt.

— § 06 · VERTRAULICHKEIT

Wer was wissen darf.

Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheits- pflicht unterliegen.

Diese Verpflichtung gilt fort, auch nach Beendigung der Tätigkeit für den Auftragsverarbeiter.

— § 07 · TECHNISCHE & ORGANISATORISCHE MASSNAHMEN

Was wir konkret zum Schutz tun.

Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Insbesondere:

Vertraulichkeit

  • Verschlüsselung der Datenübertragung (TLS 1.3)
  • Verschlüsselung der Datenbank im Ruhezustand (AES-256)
  • Passwort-Hashing nach aktuellem Stand der Technik (bcrypt/argon2)
  • Mehrstufige Authentifizierung für Coach-Backend (2FA Pflicht)
  • Mandanten-Trennung über Row Level Security (RLS) auf Datenbank-Ebene
  • Zugriffsbeschränkung nach dem Need-to-Know-Prinzip

Integrität

  • Eingabe-Validierung gegen SQL-Injection und XSS
  • Lückenlose Audit-Logs über sicherheitsrelevante Aktionen
  • Regelmäßige Sicherheits-Updates abhängiger Software-Komponenten

Verfügbarkeit & Belastbarkeit

  • Tägliche automatisierte Backups mit 30-tägiger Vorhaltung
  • Geo-redundante Speicherung innerhalb der EU
  • Wiederherstellungs-Tests in regelmäßigen Abständen
  • Monitoring der Plattform-Verfügbarkeit (24/7)

Verfahren zur regelmäßigen Überprüfung

  • Jährliche Überprüfung der TOM und Anpassung an aktuellen Stand der Technik
  • Penetrationstests in regelmäßigen Abständen (mindestens jährlich)
  • Sicherheits-Reviews bei wesentlichen Änderungen der Architektur

Eine ausführliche Beschreibung der TOM ist Anlage 1 zu diesem AVV und wird dem Verantwortlichen bei Vertragsschluss übermittelt sowie bei relevanten Änderungen aktualisiert.

— § 08 · SUB-AUFTRAGSVERARBEITER

Welche Dienstleister wir einsetzen.

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zum Einsatz folgender Sub-Auftragsverarbeiter:

Sub-AV Zweck Sitz / Region
Vercel Inc. Hosting der Anwendung USA / Region Frankfurt (EU)
Supabase Inc. Datenbank & Authentifizierung (PostgreSQL · Magic-Link-Login) USA / Region Frankfurt (eu-central-1)
Cloudflare Inc. CDN, R2 Datei-Speicher USA / EU-Region
Stripe Payments Europe Ltd. Zahlungs-Abwicklung Dublin, Irland (EU)
Daily.co Video-Sessions USA / EU-Konfiguration
Brevo SAS (vormals Sendinblue) Transaktions-E-Mails (Bewerbungs-Bestätigung, Magic-Link-Login, Erstgespräch-Bestätigung) und Newsletter-Versand Paris, Frankreich (EU · DSGVO-Adäquanz)

Drittland-Transfers: Soweit Sub-Auftragsverarbeiter ihren Hauptsitz in den USA haben, werden die personenbezogenen Daten dennoch ausschließlich auf EU-Servern verarbeitet. Mit allen US-Anbietern bestehen die EU-Standardvertragsklauseln (SCC, Modul 3) gemäß Durchführungsbeschluss (EU) 2021/914 sowie ergänzende technische und organisatorische Maßnahmen (Verschlüsselung im Ruhezustand und in Übertragung).

Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Sub-Auftragsverarbeiter mindestens 30 Tage im Voraus. Der Verantwortliche kann gegen derartige Änderungen widersprechen — bei Widerspruch ist der Auftragsverarbeiter berechtigt, den Vertrag mit angemessener Frist zu kündigen.

— § 09 · UNTERSTÜTZUNG BEI BETROFFENENRECHTEN

Wie wir bei Anfragen helfen.

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, die Rechte betroffener Personen aus Art. 12 ff. DSGVO zu erfüllen. Insbesondere:

  • Bereitstellung eines Daten-Export-Tools im Coach-Backend (Auskunft, Datenübertragbarkeit)
  • Möglichkeit der Berichtigung und Löschung einzelner Datensätze durch den Verantwortlichen
  • Sperrung von Datensätzen auf Anweisung
  • technische Unterstützung bei komplexen Anfragen auf Anforderung

Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

— § 10 · MELDUNG VON DATENSCHUTZVERLETZUNGEN

Was wir bei einem Vorfall tun.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten, die im Rahmen der Verarbeitung auftritt.

Die Mitteilung enthält mindestens:

  • Beschreibung der Art der Datenschutzverletzung
  • Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
  • wahrscheinliche Folgen der Datenschutzverletzung
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
  • Kontaktdaten für Rückfragen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden (Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO).

— § 11 · KONTROLLRECHTE

Wie der Verantwortliche prüfen kann.

Der Verantwortliche hat das Recht, sich von der Einhaltung der Verpflichtungen aus diesem AVV zu überzeugen. Dies kann erfolgen durch:

  • Anforderung schriftlicher Auskünfte und Nachweise
  • Einsicht in aktuelle Zertifizierungen und Audit-Berichte (z. B. ISO 27001, SOC 2)
  • Vor-Ort-Kontrollen mit angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten

Vor-Ort-Kontrollen werden einmal jährlich kostenfrei durchgeführt. Häufigere Kontrollen bedürfen eines konkreten Anlasses und werden gegen angemessene Aufwandsentschädigung durchgeführt.

— § 12 · BEENDIGUNG & DATENRÜCKGABE

Was nach Vertragsende passiert.

Nach Beendigung des Mietvertrags wird der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht dem entgegensteht.

Der Verantwortliche erhält innerhalb von 14 Tagen nach Vertragsende einen vollständigen Daten-Export in maschinenlesbarem Format (Markdown/JSON).

90 Tage nach Vertragsende werden sämtliche Daten des Verantwortlichen unwiderruflich gelöscht. Die Löschung wird dem Verantwortlichen schriftlich bestätigt.

— § 13 · HAFTUNG

Wer wofür haftet.

Die Haftung der Vertragsparteien richtet sich nach Art. 82 DSGVO sowie nach den Bestimmungen des Mietvertrags und der zugehörigen AGB.

Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffenen Personen nach den Bestimmungen des Art. 82 DSGVO. Im Innenverhältnis haften die Parteien jeweils für den Anteil des Schadens, der ihrem Verschulden entspricht.

— § 14 · SCHLUSSBESTIMMUNGEN

Anwendbares Recht, Form, Vorrang.

Anwendbares Recht: Es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts. Zwingende datenschutzrechtliche Bestimmungen der DSGVO und des österreichischen DSG bleiben unberührt.

Gerichtsstand: Salzburg, Österreich.

Schriftform: Änderungen oder Ergänzungen dieses AVV bedürfen der Textform.

Vorrang: Im Falle von Widersprüchen zwischen diesem AVV und anderen Vertragsbestandteilen (Mietvertrag, AGB) gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.

Stand des AVV: 3. Mai 2026 · Version 1.0.
Dieser AVV wird dem Mieter im Onboarding zur Unterzeichnung vorgelegt. Die Unterzeichnung kann elektronisch oder schriftlich erfolgen.