Dieser Vertrag wird geschlossen zwischen dem/der Kunden/Kundin als Verantwortliche:r (nachfolgend „Verantwortliche:r“) und Julia Kalder, Bold Bloom, c/o Autorenglück #80461, Albert-Einstein-Str. 47, 02977 Hoyerswerda, Deutschland, als Auftragsverarbeiterin (nachfolgend „Auftragsverarbeiterin“).
Die Auftragsverarbeiterin erbringt cloudbasierte Coaching- und Organisationsentwicklungs-Services. Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrags. Im Falle einer Kündigung oder Beendigung gelten die Lösch- und Rückgaberegelungen in Ziffer 10.
Die Verarbeitung erfolgt ausschließlich zur Bereitstellung, Wartung und Verbesserung der Bold Bloom Plattform (u. a. Nutzerkonten, Team- und Klientendaten, Notizen, Dateien, Termin- und Stimmungserhebungen), zum Support sowie zur Abrechnung und Sicherheit.
Verarbeitet werden können insbesondere: Bestands- und Kontaktdaten (Name, E-Mail, Rollen), Team- und Klientendaten, Coaching-Notizen, Antwortdaten von Stimmungs- oder Feedbackerhebungen, hochgeladene Dateien, Kalender-Token, Protokolldaten und Abrechnungsinformationen. Betroffene Personen sind Nutzer:innen, deren Teammitglieder, Coachees, Mitarbeitende und sonstige durch die Verantwortlichen erfasste Personen.
Der/Die Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung, die Information der Betroffenen und die Auswahl geeigneter Datenschutzgrundlagen verantwortlich. Weisungen sind schriftlich oder in Textform zu erteilen und werden von der Auftragsverarbeiterin dokumentiert.
Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des/der Verantwortlichen, stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind, ergreift geeignete technische und organisatorische Maßnahmen (TOM) gemäß Ziffer 6, unterstützt den/die Verantwortliche:n bei der Erfüllung der Betroffenenrechte, führt ein Verzeichnis von Verarbeitungstätigkeiten, meldet Sicherheitsvorfälle unverzüglich gemäß Ziffer 11 und ermöglicht Nachweise nach Ziffer 9.
Mindestens implementiert werden: Verschlüsselung von Daten bei Übertragung und Speicherung; anwendungsseitige Feldverschlüsselung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (Coaching-Notizen, Session-Notizen, Feedback-Freitextfelder sowie persistierte Mood-Check-Inhalte inklusive Response-Payloads), sodass ein Datenbank-Dump ausschließlich Chiffrat offenlegt; rollen- und berechtigungsbasierte Zugriffskontrollen; Protokollierung von Zugriffs- und Administrationsereignissen; Härtung und Patch-Management der Infrastruktur; Trennung von Test- und Produktivumgebungen; Backup- und Wiederherstellungsprozesse mit regelmäßigen Tests; Verfahren zur Löschung und Sperrung; Multi-Faktor-Authentifizierung für administrative Zugänge; regelmäßige Schulungen zur Informationssicherheit.
Die Verarbeitung besonderer Kategorien personenbezogener Daten wurde einer Datenschutz-Folgenabschätzung (DPIA) gemäß Art. 35 DSGVO unterzogen. Die DPIA wird regelmäßig überprüft und auf Anforderung des/der Verantwortlichen zur Verfügung gestellt.
Der/Die Verantwortliche erteilt hiermit eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, soweit diese vertraglich im Einklang mit Art. 28 DSGVO verpflichtet werden. Aktuell eingesetzte Unterauftragsverarbeiter sind: (a) EU-basierter Cloud-/Hosting-Anbieter für Infrastruktur und Datenbanken, (b) Stripe Payments Europe Ltd. für Abrechnung und Zahlungsabwicklung sowie PayPal (Europe) S.à r.l. et Cie, S.C.A. als alternativer Zahlungsdienstleister (Übermittlungen in die USA erfolgen auf Basis von EU-Standardvertragsklauseln), (c) Google LLC für OAuth-/Kalender-Integration (SCC), (d) E-Mail-Versanddienst (Postmark/Wildbit LLC oder Amazon Web Services, Inc., je nach Konfiguration, jeweils mit SCC), (e) Slack Technologies LLC sowie Microsoft Corporation (Microsoft Teams) für optionale Outbound-Webhook-Benachrichtigungen (SCC), (f) Functional Software, Inc. (Sentry) für Fehler-Tracking und Better Stack (Logtail) für Log-Aggregation, jeweils mit aktiviertem PII-Scrubbing (SCC), (g) ip-api.com (Kloudend Ltd., UK) für consent-gated GeoIP-Anreicherung, (h) optional bei aktivierter AI Session Proposal-Funktion (BYOK): OpenAI, L.L.C., Anthropic, PBC sowie Google LLC (Gemini API) (SCC; Übermittlung von Art.-9-Coaching-Inhalten ausschließlich nach ausdrücklicher Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO). Über wesentliche Änderungen wird der/die Verantwortliche informiert; ein Widerspruch ist bei berechtigtem Grund möglich.
Die Auftragsverarbeiterin führt gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten (Records of Processing Activities, ROPA), in dem die hier genannten Unterauftragsverarbeiter mit Zweck, Datenkategorien und Aufbewahrungsfristen dokumentiert sind. Das ROPA wird auf Anforderung bereitgestellt.
Zusätzlich führt die Auftragsverarbeiterin ein internes Auftragsverarbeitungsregister gemäß Art. 28 Abs. 3 DSGVO (Sub-Processor DPA Register), das pro Unterauftragsverarbeiter die Standard-DPA-URL des Anbieters, das Datum der DPA-Annahme, die DPA-Version, den verantwortlichen internen Vertrags-Owner sowie das nächste Prüfungsdatum dokumentiert. Das Register wird mindestens jährlich überprüft und auf begründete Anforderung des/der Verantwortlichen zur Einsichtnahme bereitgestellt.
Die Auftragsverarbeiterin unterstützt den/die Verantwortliche:n mit geeigneten technischen und organisatorischen Maßnahmen bei Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch, soweit dies möglich ist.
Auf Anforderung stellt die Auftragsverarbeiterin angemessene Nachweise (z. B. Konzeptbeschreibungen, Protokolle, Auszüge aus Audit- oder Penetrationstests) zur Verfügung. Audits können nach angemessener Vorankündigung und während der üblichen Geschäftszeiten durchgeführt werden; dabei sind Vertraulichkeit, Betriebs- und Geschäftsgeheimnisse und Sicherheitsanforderungen zu wahren.
Nach Beendigung der vertraglichen Leistungen werden personenbezogene Daten nach Weisung gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Soweit technisch möglich, werden Backups nach Ablauf der regulären Rotationsfristen gelöscht; produktive Kontodaten werden spätestens 30 Tage nach Vertragsende entfernt.
Die Auftragsverarbeiterin informiert den/die Verantwortliche:n unverzüglich, ohne schuldhaftes Zögern, über Verletzungen des Schutzes personenbezogener Daten mit relevanten Details zur Bewertung und Abhilfemaßnahmen.
Die Haftung richtet sich nach dem Hauptvertrag. Im Übrigen gelten die gesetzlichen Regelungen des Auftragsverarbeitungsrechts. Es gilt deutsches Recht; ausschließlicher Gerichtsstand ist – soweit zulässig – Düsseldorf. Änderungen dieses Vertrages bedürfen der Textform.
Kontakt für Datenschutzanfragen: info@bold-bloom.com
Version: 20.05.2026