← Zurück zur Startseite
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Stand: April 2026
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch GymDocu im Auftrag
des Studio-Betreibers. Durch Registrierung und Zustimmung im Anmeldeformular kommt dieser
Vertrag elektronisch zustande und wird mit Datum und IP-Adresse dokumentiert.
§ 1 Vertragsparteien
Auftraggeber (Verantwortlicher)
Der registrierte Studio-Betreiber, dessen Kontaktdaten bei der Registrierung
angegeben wurden.
Auftragnehmer (Verarbeiter)
Ronny Hartmann
Bornsche Straße 81
39340 Haldensleben
support@gymdocu.de
§ 2 Gegenstand und Dauer
Gegenstand der Auftragsverarbeitung ist der Betrieb der GymDocu-Plattform zur digitalen
Dokumentation von Fitnessstudio-Abläufen. Die Dauer entspricht der Laufzeit des
Nutzungsvertrages.
§ 3 Art der Verarbeitung und Kategorien personenbezogener Daten
Im Rahmen der Plattformnutzung werden folgende Daten verarbeitet:
- Namen und digitale Unterschriften von Mitarbeitern
- Arbeitszeiten und Pausenzeiten von Mitarbeitern
- Protokolle über Gerätenutzung und -prüfungen
- Belehrungsnachweise mit Unterschrift, Datum und IP-Adresse
- Namen und Mitgliedsnummern von Kunden (bei Fundsachen-Abholung)
- Namen von Dienstleistern und Besuchszeiten
Betroffene Personen: Mitarbeiter des Studio-Betreibers, gelegentlich Kunden des Studios.
§ 4 Pflichten des Auftragnehmers
GymDocu verpflichtet sich:
- Daten ausschließlich auf Weisung des Auftraggebers zu verarbeiten
- Vertraulichkeit der verarbeiteten Daten zu gewährleisten
- Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen
- Keine Weitergabe der Daten an Dritte ohne Weisung des Auftraggebers
- Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren
- Nach Vertragsende alle Daten zu löschen oder zurückzugeben
§ 5 Technische und organisatorische Maßnahmen (TOM)
- Verschlüsselte Übertragung via HTTPS/TLS
- Passwort-Hashing mit bcrypt (Sicherheitsfaktor 12)
- Datenisolierung: Jedes Studio hat eine eigene, isolierte Datenbank
- Zugangskontrolle durch Passwort- und PIN-Schutz
- Regelmäßige Datensicherungen
- Server in der EU (IONOS, Deutschland)
§ 6 Einsatz von Unterauftragsverarbeitern
GymDocu setzt folgende Unterauftragsverarbeiter ein:
- IONOS SE (Hosting) – Elgendorfer Str. 57, 56410 Montabaur, Deutschland
- Resend Inc. (E-Mail-Versand) – USA, mit Standardvertragsklauseln gemäß Art. 46 DSGVO
§ 7 Pflichten des Auftraggebers
Der Studio-Betreiber verpflichtet sich:
- Mitarbeiter gemäß Art. 13 DSGVO über die Datenverarbeitung zu informieren
- Nur rechtmäßig erhobene Daten in GymDocu einzugeben
- Zugangsdaten vertraulich zu behandeln
- GymDocu unverzüglich über Datenschutzvorfälle zu informieren
§ 8 Betroffenenrechte
Der Auftraggeber ist verantwortlich für die Bearbeitung von Anfragen betroffener Personen
(Auskunft, Löschung, Berichtigung). GymDocu unterstützt dabei soweit technisch möglich.
§ 9 Kündigung und Datenlöschung
Nach Kündigung des Vertrages werden alle Daten des Studios innerhalb von 90 Tagen
unwiderruflich gelöscht. Vor der Löschung erhält der Auftraggeber eine letzte
Datensicherung per E-Mail.
§ 10 Haftung
Die Haftung richtet sich nach den allgemeinen gesetzlichen Bestimmungen sowie Art. 82 DSGVO.
GymDocu haftet nicht für Datenschutzverstöße, die durch unsachgemäße Nutzung durch den
Auftraggeber verursacht werden.
§ 11 Schlussbestimmungen
Es gilt deutsches Recht. Gerichtsstand ist Haldensleben. Sollten einzelne Bestimmungen
unwirksam sein, bleibt der Vertrag im Übrigen wirksam.