Auftragsbearbeitungsvertrag (AVV)
Stand: Juni 2026
Vertrag über die Auftragsbearbeitung (AVV) gemäss Art. 9 revDSG (Schweiz) und Art. 28 DSGVO (Europäische Union).
Vertragsparteien
Dieser Auftragsbearbeitungsvertrag wird geschlossen zwischen
dem Fitnessstudio / dem Personal Trainer, welcher das SaaS-Abonnement abgeschlossen hat – nachfolgend „Verantwortlicher“ –
und
GymliApp, vertreten durch die RG Systems GmbH, diese vertreten durch den Inhaber Andreas Rederer, Sempachstrasse 4, 6280 Hochdorf, Schweiz – nachfolgend „Auftragsbearbeiter“ –
1. Gegenstand, Dauer und Zweck der Vereinbarung
Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Bereitstellung der SaaS-Trainingsplattform GymliApp durch den Auftragsbearbeiter ergeben. Diese Vereinbarung ist untrennbarer Bestandteil des Hauptvertrages (Abonnement). Sie gilt ab dem Zeitpunkt des Vertragsschlusses und läuft synchron zur Laufzeit des Hauptvertrages. Der Zweck der Datenverarbeitung ist die technische Bereitstellung eines Dashboards zur Trainingssteuerung und Fortschrittsdokumentation für den Verantwortlichen.
2. Umfang der Datenverarbeitung und Kategorien
Der Auftragsbearbeiter verarbeitet im Rahmen des Betriebs der App personenbezogene Daten von Endkunden (Trainierenden), welche vom Verantwortlichen angelegt werden. Dies umfasst:
- Stammdaten: Namen, E-Mail-Adressen, Geburtsdaten, Körpergrössen, Gewichte, Profilbilder.
- Besondere / sensible Kategorien: Laufende Gewichtsverläufe, Körperfettanteile, Maximalkraftdaten, Umfangsmessungen, detaillierte Trainingsprotokolle, Freitextnotizen des Trainers sowie hochgeladene visuelle Fortschrittsfotos der Endkunden.
3. Pflichten des Auftragsbearbeiters
Weisungsgebundenheit
Der Auftragsbearbeiter verarbeitet personenbezogene Daten ausschliesslich im Rahmen der getroffenen Vereinbarungen und gemäss den dokumentierten Weisungen des Verantwortlichen.
Vertraulichkeit
Der Auftragsbearbeiter stellt sicher, dass alle Mitarbeiter, die Zugriff auf die Daten haben, zur Vertraulichkeit verpflichtet sind.
Technische und organisatorische Massnahmen (TOM)
Der Auftragsbearbeiter implementiert dem Risiko angemessene Sicherheitsmassnahmen zum Schutz der sensiblen Fitness- und Gesundheitsdaten. Dies umfasst insbesondere:
- Row Level Security (RLS) auf Datenbankebene zur strikten Trennung der Kundendaten zwischen den Studios.
- Verschlüsselung der Datenübertragungen via HTTPS.
- Absicherung von sensiblen Bildern durch private Storage-Buckets unter Verwendung von zeitlich auf 1 Stunde begrenzten, signierten Zugriffs-URLs.
- Einsatz von IP-basiertem Rate-Limiting an Login-Schnittstellen zur Abwehr von Brute-Force-Angriffen.
Unterauftragsverhältnisse
Der Verantwortliche erteilt dem Auftragsbearbeiter die allgemeine Genehmigung, Subunternehmer hinzuzuziehen. Die aktuell genutzten Dienstleister (Supabase, Vercel, Upstash, Stripe, Resend, Expo, Google, Apple) gelten mit Abschluss dieses Vertrages als genehmigt. Der Auftragsbearbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung durch Anpassung seiner Datenschutzerklärung.
4. Pflichten des Verantwortlichen
Der Verantwortliche ist im B2B2C-Modell allein dafür verantwortlich, dass die Erhebung und Verarbeitung der Fitness- und Gesundheitsdaten seiner Trainierenden auf einer rechtmässigen Grundlage beruht. Er hat insbesondere die erforderlichen, ausdrücklichen Einwilligungen der Trainierenden (sowie bei Minderjährigen die Erlaubnis der Erziehungsberechtigten) eigenständig einzuholen und zu dokumentieren.
5. Beendigung und Löschung
Nach Beendigung des Hauptvertrages oder bei einer manuellen Löschung eines Endkundenkontos durch den Verantwortlichen im Dashboard löscht der Auftragsbearbeiter sämtliche personenbezogenen Daten sowie die hochgeladenen Bilddateien des betroffenen Nutzers kaskadierend, vollständig und unwiderruflich aus seinen Live-Systemen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.