AbnehmKI

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO – Stand: 1.5.2026

Hinweis: Dieser AVV gilt ergänzend zu unseren AGB und unserer Datenschutzerklärung, sofern du AbnehmKI in einer Weise einsetzt, in der du selbst datenschutzrechtlich Verantwortlicher bist (z. B. als gewerblicher Coach oder Trainer für deine Klienten). Für rein private Nutzung ist kein gesonderter AVV erforderlich.

1. Vertragsparteien

Auftragsverarbeiter: Claus Linder, Birkenwaldstr. 8, 74579 Fichtenau, E-Mail: info@abnehmki.de
Verantwortlicher: der jeweilige Nutzer / das Unternehmen, das den Dienst AbnehmKI mit personenbezogenen Daten Dritter nutzt.

2. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten zur Bereitstellung der AbnehmKI-Plattform (Konten, Tracking, KI-Coach, Pläne, Rezepte). Die Vereinbarung gilt für die Dauer der Nutzung des Dienstes.

3. Art, Umfang und Zweck

Verarbeitet werden Stammdaten, Kontaktdaten, Profildaten, Gesundheits- und Ernährungsdaten, Nutzungsdaten sowie Inhaltsdaten ausschließlich zum Zweck der vertragsgemäßen Bereitstellung der Plattform.

4. Kategorien betroffener Personen

Endnutzer des Verantwortlichen, die den Dienst nutzen (z. B. Klienten, Mitarbeitende).

5. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
  • Verpflichtung der Mitarbeitenden auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO) – siehe Anlage TOM.
  • Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12–22 DSGVO) und bei Pflichten nach Art. 32–36 DSGVO.
  • Meldung von Datenschutzverletzungen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme.
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Ende der Leistung, soweit keine gesetzliche Aufbewahrungspflicht besteht.

6. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

  • Supabase Inc. (Hosting/DB, EU-Region Frankfurt) – Lovable Cloud
  • Cloudflare, Inc. (CDN, Edge-Hosting, DDoS-Schutz)
  • Google LLC (Gemini-API über Lovable AI Gateway)
  • OpenAI Ireland Ltd. (GPT-API über Lovable AI Gateway)

Änderungen werden mit einer Frist von 30 Tagen vorab mitgeteilt; der Verantwortliche kann aus wichtigem Grund widersprechen.

7. Drittlandtransfer

Sofern Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Frameworks und/oder der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzender Schutzmaßnahmen.

8. Kontroll- und Auditrechte

Der Verantwortliche kann sich von der Einhaltung der vereinbarten Pflichten überzeugen. Der Auftragsverarbeiter weist die Einhaltung vorrangig durch geeignete Zertifikate, Audit-Berichte oder Selbstauskünfte nach. Vor-Ort-Audits sind nach vorheriger Abstimmung möglich.

9. Technische und organisatorische Maßnahmen (TOM)

  • Verschlüsselung in Transit (TLS 1.2+) und at Rest (AES-256).
  • Zugriffskontrollen mit Authentifizierung, MFA für Administratoren und Row-Level-Security in der Datenbank.
  • Mandantentrennung, Pseudonymisierung, Logging und Monitoring.
  • Regelmäßige Backups, Wiederherstellungstests und Patch-Management.
  • Schulung der Mitarbeitenden, Vertraulichkeitsverpflichtungen und dokumentierte Berechtigungskonzepte.
  • Incident-Response-Prozess inkl. Meldewegen.

10. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Regelungen unserer AGB.

11. Annahme / Abschluss

Falls du diesen AVV als Verantwortlicher gegengezeichnet benötigst, sende uns eine kurze Anfrage an info@abnehmki.de. Wir stellen dir auf Wunsch eine PDF-Version zur Unterzeichnung bereit.