Auftragsverarbeitungsvertrag (AVV)

1. Gegenstand und Dauer

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch M8 Coach (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) gemäß Art. 28 DSGVO.

Auftragsverarbeiter: Jonas Bohlender Consulting GmbH, Marquartstein, Deutschland
Verantwortlicher: Der registrierte Coach (Kunde)
Laufzeit: Gilt für die Dauer der Nutzung von M8 Coach und endet automatisch mit Vertragsende.

2. Art und Zweck der Verarbeitung

M8 Coach verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung der SaaS-Plattform für Coaching-Management:

Speicherung und Verwaltung von Klienten-Profilen und Coaching-Beziehungen
Aufzeichnung von Coaching-Sessions und deren Metadaten
Durchführung und Speicherung von 360°-Assessments
Generierung von ICF- und EMCC-Credential-Logs
Versand transaktionaler E-Mails (Einladungen, Erinnerungen)
AI-gestützte Session-Vorbereitung (Maité) — nur wenn vom Coach aktiviert

3. Art der personenbezogenen Daten

Stammdaten: Name, E-Mail-Adresse, Unternehmenszugehörigkeit
Coaching-Daten: Session-Notizen, Reflexionen, Action Items
Assessment-Daten: 360°-Feedback-Bewertungen (anonymisiert), Maturity Scores
Nutzungsdaten: Login-Zeitpunkte, Feature-Nutzung (aggregiert)
Zahlungsdaten: Werden ausschließlich von Stripe verarbeitet (kein Zugriff durch M8)

4. Kategorien betroffener Personen

Coaches (Kunden der Plattform)
Klienten der Coaches
360°-Feedback-Geber (externe Bewerter)
HR-Ansprechpartner (Unternehmenskontakte)

5. Technische und organisatorische Maßnahmen (TOM)

M8 Coach setzt folgende Schutzmaßnahmen um:

Verschlüsselung: AES-256 at rest, TLS 1.3 in transit
Zugriffskontrolle: Row-Level Security (RLS) in der Datenbank — jeder Coach sieht nur seine eigenen Daten
Authentifizierung: Passwordless Magic Links, Session-basiert
Hosting: Supabase auf AWS Frankfurt (eu-central-1), Vercel Edge EU
Backup: Tägliche automatische Backups, 30 Tage Retention
Monitoring: Automatische Anomalie-Erkennung, Log-Retention 90 Tage
Mitarbeiter: Kein Zugriff auf Coaching-Inhalte durch M8-Personal

6. Unterauftragsverarbeiter

M8 Coach setzt folgende Unterauftragsverarbeiter ein. Der Verantwortliche stimmt der Nutzung dieser Anbieter zu:

Anbieter	Zweck	Standort
Supabase Inc. (AWS)	Datenbank, Auth, Storage	EU (Frankfurt)
Vercel Inc.	Hosting, Edge Functions	EU (Frankfurt)
Stripe Inc.	Zahlungsabwicklung	EU (Dublin)
Resend Inc.	Transaktions-E-Mails	US (EU-Transfermechanismus)
Anthropic PBC	AI Engine (Maité)	US (EU-Transfermechanismus)

Vollständige und aktuelle Liste: m8-coach.com/sub-processors

7. Pflichten des Auftragsverarbeiters

Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
Vertraulichkeitsverpflichtung aller befugten Personen
Unterstützung bei Datenschutz-Folgenabschätzungen
Unverzügliche Meldung von Datenschutzverletzungen (max. 48h)
Löschung oder Rückgabe aller Daten nach Vertragsende
Ermöglichung und Unterstützung von Audits durch den Verantwortlichen

8. Rechte der betroffenen Personen

M8 Coach unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO): Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität und Widerspruch. Anfragen können per E-Mail an hello@m8-coach.com gerichtet werden.

9. Datenlöschung nach Vertragsende

Bei Account-Löschung: 30 Tage Grace Period, dann vollständige Löschung
Datenexport jederzeit möglich (JSON-Format)
Anonymisierte, aggregierte Daten können für Benchmarks beibehalten werden
Stripe-Zahlungsdaten werden gemäß steuerrechtlicher Aufbewahrungspflichten gespeichert (10 Jahre)

10. Schlussbestimmungen

Dieser AVV wird durch Registrierung bei M8 Coach automatisch geschlossen und ist Bestandteil der Nutzungsbedingungen. Es gilt deutsches Recht. Gerichtsstand ist München.

Kontakt für Datenschutzanfragen:
Jonas Bohlender Consulting GmbH
E-Mail: hello@m8-coach.com