Stand: 19. Mai 2026 · Version: 1.0
Auftragsverarbeitungsvertrag (AVV)
Stand: 19. Mai 2026 | Version: 1.0 Rechtsgrundlage: Art. 28 DSGVO
Zwischen
dem Verantwortlichen (Controller): Der Nutzer der Plattform couchHelp (Coach / Berater)
und
dem Auftragsverarbeiter (Processor): couchHelp E-Mail: privacy@couchhelp.click
Präambel
Der Verantwortliche nutzt die Plattform couchHelp zur Unterstützung seiner Coaching-Tätigkeit. Im Rahmen der Nutzung werden personenbezogene Daten von Klienten des Verantwortlichen verarbeitet. Dieser Vertrag regelt die vertraglichen Beziehungen im Sinne des Art. 28 DSGVO.
1. Begriffsbestimmungen
Für die Zwecke dieses Vertrags gelten folgende Definitionen:
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, insbesondere Name, Kontaktdaten, Kommunikationsinhalte und AVGS-relevante Daten der Klienten des Verantwortlichen.
- Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
- Verantwortlicher: Der Nutzer der Plattform, der über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
- Auftragsverarbeiter: couchHelp, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
2. Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand
Gegenstand dieses Vertrags ist die Bereitstellung der KI-gestützten Coaching-Plattform couchHelp, einschließlich:
- Speicherung und Verwaltung von Klientendaten
- KI-basierte Textklassifizierung und Entwurfsgenerierung
- WhatsApp-Kommunikation über die Business API
- Verwaltung von Verpflichtungen und Sitzungsprotokollen
- Bereitstellung von Analyse- und Berichtsfunktionen
2.2 Verarbeitete Datenkategorien
- Identifikationsdaten (Name, Telefonnummer)
- Kommunikationsdaten (Nachrichteninhalte, Chat-Verläufe)
- Verpflichtungsdaten ("Promises", Sitzungsprotokolle)
- AVGS-relevante Daten (Status, Berichte)
- Nutzungsdaten (Zeitstempel, Aktivitätslogs)
2.3 Dauer
Dieser Vertrag beginnt mit der Registrierung des Verantwortlichen auf der Plattform und endet mit der Löschung des Kontos zuzüglich einer Aufbewahrungsfrist von 30 Tagen. Bei fortgesetzter Nutzung verlängert sich der Vertrag automatisch.
3. Pflichten des Auftragsverarbeiters
couchHelp verpflichtet sich:
3.1 Verarbeitung nur nach Weisung
Personenbezogene Daten werden ausschließlich auf documented Weisung des Verantwortlichen verarbeitet, einschließlich dieses Vertrags und der geltenden Datenschutzgesetze. Sollte eine Weisung nach Ansicht von couchHelp gegen Datenschutzvorschriften verstoßen, wird couchHelp den Verantwortlichen unverzüglich informieren.
3.2 Vertraulichkeit
Das bei der Verarbeitung tätige Personal ist zur Vertraulichkeit verpflichtet. Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit fort. couchHelp stellt sicher, dass das Personal nur im erforderlichen Umfang Zugriff auf personenbezogene Daten erhält.
3.3 Sicherheitsmaßnahmen
couchHelp implementiert geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten:
- Verschlüsselung von Daten bei der Übertragung (TLS 1.3) und im Ruhezustand (AES-256)
- Rollenbasierte Zugriffskontrollen (Row-Level Security in Supabase)
- Sichere Authentifizierung über Clerk
- Regelmäßige Sicherheitsupdates und Überwachung
3.4 Unterstützung des Verantwortlichen
couchHelp unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten aus der DSGVO, insbesondere:
- Beantwortung von Anfragen betroffener Personen (Art. 15-22 DSGVO)
- Durchführung von Datenschutz-Folgenabschätzungen
- Benachrichtigung bei Datenpannen
3.5 Löschung und Rückgabe
Nach Beendigung der Verarbeitungstätigkeit löscht couchHelp alle personenbezogenen Daten des Verantwortlichen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Auf Wunsch des Verantwortlichen werden die Daten in einem strukturierten Format zurückgegeben.
3.6 Datenpannen
couchHelp benachrichtigt den Verantwortlichen unverzüglich bei Verletzungen des Schutzes personenbezogener Daten und unterstützt ihn bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen.
4. Unterauftragsverarbeiter (Sub-Processor)
4.1 Genehmigte Sub-Processor
couchHelp setzt zur Erfüllung dieses Vertrags folgende Unterauftragsverarbeiter ein:
| Sub-Processor | Sitz | Leistung | Vertrag |
|---|---|---|---|
| Supabase Inc. | San Francisco, USA (DB: Frankfurt, DE) | Datenbankspeicherung, Authentifizierung | AVV gemäß Art. 28 DSGVO |
| Anthropic PBC | San Francisco, USA | KI-Textverarbeitung | AVV + SCCs |
| Vercel Inc. | San Francisco, USA | Hosting, CDN | SCCs |
| Clerk Inc. | San Francisco, USA | Nutzerauthentifizierung | SCCs |
4.2 Pflichten gegenüber Sub-Processorn
couchHelp stellt sicher, dass die Sub-Processor dieselben Datenschutzpflichten wie couchHelp vertraglich übernommen haben. Dies umfasst insbesondere:
- Verarbeitung nur nach Weisung
- Einhaltung angemessener Sicherheitsmaßnahmen
- Vertraulichkeitspflichten
- Löschungspflichten nach Vertragsende
4.3 Widerspruchsrecht des Verantwortlichen
Der Verantwortliche hat das Recht, einem neuen Sub-Processor innerhalb von 14 Tagen nach Benachrichtigung schriftlich zu widersprechen. Erhebt der Verantwortlichen begründete Bedenken, bemühen sich die Parteien um eine einvernehmliche Lösung. Kann keine Einigung erzielt werden, hat der Verantwortliche das Recht, die Nutzung der betroffenen Dienste zu beenden.
5. Internationale Datenübermittlungen
5.1 Datenübermittlungen in Drittländer
Einige Sub-Processor (Anthropic PBC, Vercel Inc., Clerk Inc.) sind in den USA ansässig. Bei der Übermittlung personenbezogener Daten in die USA gelten folgende Garantien:
- Standardvertragsklauseln (SCCs): Die Übermittlung erfolgt auf Basis der von der EU-Kommission genehmigten Standardvertragsklauseln (2021/914).
- EU-US Data Privacy Framework: Sofern zutreffend, berufen sich die Sub-Processor auf das EU-US Data Privacy Framework.
5.2 Zusätzliche Maßnahmen
Angesichts des Schrems-II-Urteils des EuGH vom 16. Juli 2020 hat couchHelp zusätzliche Schutzmaßnahmen implementiert:
- Verschlüsselung sensibler Daten vor der Übermittlung
- Minimierung der übermittelten Datenmengen
- Überprüfung der rechtlichen Rahmenbedingungen in den USA
Der Verantwortliche erkennt an, dass die Übermittlung in die USA trotz dieser Maßnahmen ein Restrisiko birgt, und nimmt dieses Risiko in Kenntnis der Sachlage in Kauf.
6. Sicherheitsmaßnahmen
6.1 Technische Maßnahmen
- Verschlüsselung: TLS 1.3 für Datenübertragung, AES-256 für ruhende Daten
- Zugriffskontrolle: Row-Level Security (RLS) in der Datenbank, rollenbasierte Berechtigungen
- Authentifizierung: Sichere Passwortspeicherung, optionale Zwei-Faktor-Authentifizierung
- Netzwerksicherheit: Firewall, DDoS-Schutz durch Vercel
6.2 Organisatorische Maßnahmen
- Regelmäßige Schulung des Personals
- Dokumentierte Zugriffsprotokolle
- Incident-Response-Plan für Datenschutzvorfälle
- Regelmäßige Backups mit verschlüsselter Speicherung
6.3 Datenpannen-Management
Im Falle einer Datenpanne:
- Unverzügliche Ermittlung und Eindämmung
- Benachrichtigung des Verantwortlichen innerhalb von 24 Stunden
- Dokumentation des Vorfalls
- Umsetzung von Korrekturmaßnahmen
7. Unterstützung des Verantwortlichen
couchHelp unterstützt den Verantwortlichen bei:
7.1 Auskunftsersuchen
Bereitstellung der notwendigen Informationen zur Beantwortung von Auskunftsersuchen betroffener Personen gemäß Art. 15 DSGVO.
7.2 Datenexport
Auf Anforderung stellt couchHelp die personenbezogenen Daten des Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format (CSV, JSON) zur Verfügung.
7.3 Audit-Rechte
Der Verantwortliche hat das Recht, einmal jährlich eine Überprüfung der Einhaltung dieses Vertrags durchzuführen. Die Überprüfung erfolgt in Absprache mit couchHelp und darf den Betrieb nicht unangemessen stören.
8. Vertragslaufzeit und Beendigung
8.1 Laufzeit
Dieser Vertrag tritt mit der Registrierung des Verantwortlichen auf der Plattform in Kraft und läuft auf unbestimmte Zeit.
8.2 Kündigung
Beide Parteien können diesen Vertrag durch Löschung des Kontos oder Einstellung der Plattform beenden. Bei Einstellung der Plattform erfolgt eine Vorankündigung von 30 Tagen.
8.3 Folgen der Beendigung
Nach Beendigung:
- Werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 90 Tagen gelöscht
- Kann der Verantwortliche vor der Löschung einen Datenexport anfordern
- Bleiben Audit-Logs gemäß gesetzlicher Anforderungen für 7 Jahre erhalten
9. Löschung und Rückgabe von Daten
9.1 Löschung
Nach Beendigung des Vertrags löscht couchHelp alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden. Dies umfasst:
- Klientendaten
- Kommunikationsinhalte
- Nutzungsprotokolle
- Backups (innerhalb der Backup-Rotation)
9.2 Ausnahmen
Von der Löschung ausgenommen sind:
- Audit-Logs: 7 Jahre (gesetzliche Anforderung gemäß DEKRA/TÜV für AVGS)
- Daten, für die eine gesetzliche Aufbewahrungspflicht besteht
- Anonymisierte Daten, die keinen Bezug zu identifizierbaren Personen mehr haben
9.3 Export vor Löschung
Der Verantwortliche kann vor der Löschung einen vollständigen Export seiner Daten anfordern. Der Export wird im JSON- oder CSV-Format bereitgestellt.
10. Bevollmächtigte Personen
10.1 Verantwortlicher (Nutzer)
Der Verantwortliche ist der registrierte Nutzer der Plattform. Änderungen der Kontaktperson sind dem Auftragsverarbeiter mitzuteilen.
10.2 Datenschutzbeauftragter
couchHelp hat derzeit keinen Datenschutzbeauftragten bestellt, da dies gemäß Art. 37 DSGVO nicht zwingend erforderlich ist.
10.3 Kontakt
Für Anfragen zu diesem Vertrag: E-Mail: privacy@couchhelp.click
11. Streitbeilegung
11.1 Schriftliche Beschwerden
Beschwerden sind schriftlich an privacy@couchhelp.click zu richten. Wir werden innerhalb von 30 Tagen Stellung nehmen.
11.2 Anwendbares Recht
Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.
11.3 Gerichtsstand
Gerichtsstand für alle Streitigkeiten ist der Sitz des Betreibers, sofern der Verantwortlicher Kaufmann ist. Im Übrigen gelten die gesetzlichen Gerichtsstände.
12. Anhänge
Anhang A: Liste der Sub-Processor
(aktualisierbar unter privacy@couchhelp.click)
Stand 19. Mai 2026:
- Supabase Inc. (Datenbank, Frankfurt)
- Anthropic PBC (KI-Verarbeitung, USA)
- Vercel Inc. (Hosting, USA/EU)
- Clerk Inc. (Authentifizierung, USA)
Anhang B: Technische und organisatorische Maßnahmen (TOMs)
Detaillierte Beschreibung der Sicherheitsmaßnahmen gemäß Abschnitt 6.
Anhang C: Datenkategorien und Aufbewahrungsfristen
| Kategorie | Aufbewahrungsfrist | Grundlage |
|---|---|---|
| Kontodaten | Kontoaktiv + 30 Tage | Vertrag |
| Klientendaten | Kontoaktiv + 30 Tage | Vertrag |
| Audit-Logs | 7 Jahre | Gesetzlich (DEKRA) |
| Protokolldaten | 30 Tage | Berechtigtes Interesse |
Letzte Aktualisierung: 19. Mai 2026