F
FitChatBot
AnmeldenKostenlos testen

Auftragsverarbeitungsvertrag (AVV)

gem. Art. 28 DSGVO · Stand: März 2026

Hinweis: Dieser Auftragsverarbeitungsvertrag wird zwischen dem Kunden (Verantwortlicher) und FitChatBot (Auftragsverarbeiter) mit Registrierung auf der Plattform geschlossen. Er regelt die Verarbeitung personenbezogener Daten im Rahmen der Chatbot-Nutzung.

§ 1 Gegenstand und Dauer

  1. Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Zusammenhang mit der Nutzung der FitChatBot SaaS-Plattform gemäß dem Hauptvertrag (AGB).
  2. Auftraggeber (Verantwortlicher): Der Kunde (Fitnessstudio/Sportstätte/Unternehmen), der den FitChatBot-Dienst nutzt.
  3. Auftragnehmer (Auftragsverarbeiter):

FIT-UP Sportcenter UG (haftungsbeschränkt)

Bonner Str. 29, 50374 Erftstadt, Deutschland

E-Mail: info@fitup-sportcenter.de

  1. Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages. Der AVV endet automatisch mit Beendigung des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Bereitstellung des FitChatBot-Dienstes, insbesondere:
    • Betrieb des KI-Chatbots auf der Website des Kunden
    • Speicherung und Verarbeitung von Chat-Nachrichten
    • Lead-Erfassung und -Verwaltung
    • Buchungsverwaltung für Probetrainings und Kurse
    • Versand von Buchungsbestätigungen per E-Mail
    • Bereitstellung von Statistiken und Nutzungsauswertungen
  2. Die Art der Verarbeitung umfasst: Erhebung, Speicherung, Nutzung, Übermittlung (an KI-Dienst), Löschung.

§ 3 Art der personenbezogenen Daten

DatenkategorieBeispiele
KontaktdatenName, E-Mail-Adresse, Telefonnummer
KommunikationsinhalteChat-Nachrichten, Anfragen, Rückmeldungen
BuchungsdatenTerminart, Datum, Uhrzeit, Status
Technische DatenSession-ID, Zeitstempel, Gerätetyp (anonymisiert)
NutzungsdatenChat-Verlauf, Interaktionsmuster (aggregiert)

§ 4 Kategorien betroffener Personen

  • Website-Besucher des Kunden, die den Chatbot nutzen
  • Interessenten, die ein Probetraining oder einen Kurs buchen
  • Mitglieder des Kunden, die über den Chatbot kommunizieren
  • Mitarbeiter des Kunden, die das Dashboard nutzen

§ 5 Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (gem. Art. 28 Abs. 3 lit. a DSGVO).
  2. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung berechtigten Personen zur Vertraulichkeit verpflichtet haben.
  3. Der Auftragsverarbeiter ergreift alle gem. Art. 32 DSGVO erforderlichen Maßnahmen (siehe § 7).
  4. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35–36 DSGVO).
  5. Nach Beendigung des Auftrags löscht der Auftragsverarbeiter alle personenbezogenen Daten nach einer Übergangsfrist von 30 Tagen. Auf Wunsch wird vorher ein Datenexport bereitgestellt.
  6. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 6 Unterauftragsverarbeiter

  1. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen.
  2. Aktuell eingesetzte Unterauftragsverarbeiter:
UnterauftragnehmerLeistungStandortDatenkategorie
IONOS SE
Elgendorfer Str. 57, 56410 Montabaur		Webhosting, Datenbank, E-Mail-VersandDeutschlandAlle oben genannten Daten
Google Cloud (Vertex AI)
Google Ireland Limited		KI-Verarbeitung (Gemini API) für Chatbot-AntwortenEU (europe-west3, Frankfurt)Chat-Nachrichten (temporär, keine Speicherung bei Google)
  1. Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten.
  2. Der Verantwortliche kann der Änderung von Unterauftragsverarbeitern innerhalb von 14 Tagen widersprechen.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

7.1 Vertraulichkeit

  • Zutrittskontrolle: Serverstandort bei IONOS mit physischen Zugangskontrollen (ISO 27001 zertifiziert)
  • Zugangskontrolle: SSH-Key-basierter Serverzugang, Passwort-geschützte Dashboard-Accounts (bcrypt-Hashing)
  • Zugriffskontrolle: Multi-Tenant-Isolation — jedes Studio hat nur Zugriff auf eigene Daten
  • Trennungskontrolle: Logische Datentrennung durch Tenant-ID in allen Datenbanktabellen

7.2 Integrität

  • Weitergabekontrolle: TLS/SSL-Verschlüsselung aller Datenübertragungen, verschlüsselte Verbindung zur Vertex AI API
  • Eingabekontrolle: Vollständige Protokollierung aller Chat-Nachrichten mit Zeitstempel und Session-Zuordnung

7.3 Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: VPS-Hosting bei IONOS mit 99,9% SLA, PM2-basierter Auto-Restart aller Dienste
  • Rasche Wiederherstellbarkeit: Automatische Datenbank-Backups, Fallback-Antworten bei KI-Ausfällen

7.4 Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung der Zugriffsrechte
  • Monitoring der Server- und Dienstverfügbarkeit
  • Sicherheitsupdates des Betriebssystems und der Software

§ 8 Meldepflichten bei Datenschutzverstößen

  1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (innerhalb von 24 Stunden) über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
  2. Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl, wahrscheinliche Folgen, ergriffene und vorgeschlagene Maßnahmen.
  3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

§ 9 Weisungsrecht des Verantwortlichen

  1. Der Verantwortliche erteilt Weisungen in der Regel über das FitChatBot-Dashboard (Konfiguration des Chatbots, Wissensdatenbank, Einstellungen).
  2. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform (E-Mail) zu bestätigen.
  3. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen.

§ 10 Kontrollrechte

  1. Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen durch: Einholung von Auskünften, Einsichtnahme in Bescheinigungen und Zertifikate, Vor-Ort-Inspektionen (nach vorheriger Anmeldung, max. 1x pro Jahr).
  2. Der Auftragsverarbeiter stellt die für die Kontrolle erforderlichen Informationen zur Verfügung.

§ 11 Datenlöschung und Rückgabe

  1. Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter sämtliche personenbezogene Daten des Verantwortlichen innerhalb von 30 Tagen.
  2. Auf Wunsch des Verantwortlichen wird vor Löschung ein vollständiger Datenexport (JSON/CSV) bereitgestellt.
  3. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 12 Haftung

  1. Die Haftung der Parteien richtet sich nach Art. 82 DSGVO.
  2. Im Innenverhältnis haftet jede Partei für den von ihr verursachten Schaden.

§ 13 Schlussbestimmungen

  1. Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.
  2. Gerichtsstand ist — soweit gesetzlich zulässig — Köln.
  3. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  4. Änderungen dieses AVV bedürfen der Textform.
  5. Dieser AVV wird mit der Registrierung auf der FitChatBot-Plattform und der Bestätigung der AGB elektronisch geschlossen.

Hinweis: Dieser AVV wird durch elektronische Zustimmung bei der Registrierung auf der FitChatBot-Plattform geschlossen. Eine gesonderte Unterschrift ist nicht erforderlich, sofern der Kunde den AGB bei der Registrierung zugestimmt hat.