Auftragsverarbeitungsvertrag

Dies ist eine Übersetzung des englischen Originaldokuments und dient nur zu Informationszwecken. Bei Widersprüchen zwischen dieser Übersetzung und der englischen Fassung ist die englische Fassung maßgebend.

Dieser Auftragsverarbeitungsvertrag ("DPA") wird zwischen der auf der Unterschriftenseite als "Kunde" bezeichneten Einheit ("Kunde") und Saturday Inc., einer Gesellschaft nach dem Recht von Delaware mit Hauptsitz in 8 The Green, STE A, Dover, DE 19901 ("Saturday"), geschlossen. Dieser DPA ergänzt die Coach Terms of Service (die "Coach Terms") und jede sonstige Vereinbarung zwischen dem Kunden und Saturday, die die Nutzung des Saturday Coach Portals durch den Kunden regelt (zusammen die "Vereinbarung"), und ist Bestandteil davon.

Die Parteien vereinbaren Folgendes:

1. Begriffsbestimmungen

In diesem DPA nicht definierte, großgeschriebene Begriffe haben die ihnen in der Vereinbarung zugewiesene Bedeutung. In diesem DPA:

"Verantwortlicher" bezeichnet den Kunden, also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten über das Saturday Coach Portal entscheidet.

"Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.

"EWR" bezeichnet den Europäischen Wirtschaftsraum.

"GDPR" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (die Datenschutz-Grundverordnung) in ihrer jeweils geänderten, ergänzten oder ersetzten Fassung.

"Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und von Saturday im Auftrag des Kunden im Zusammenhang mit dem Coach Portal verarbeitet werden, wie in Anhang 1 näher beschrieben. "Personenbezogene Daten" hat die in Artikel 4(1) der GDPR für "personenbezogene Daten" angegebene Bedeutung.

"Verletzung des Schutzes personenbezogener Daten" bezeichnet eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

"Verarbeitung" (sowie ihre verwandten Formen "Verarbeiten," "Verarbeitet") bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, einschließlich des Erhebens, Erfassens, Organisierens, Ordnens, Speicherns, Anpassens oder Veränderns, Auslesens, Abfragens, Verwendens, der Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, des Abgleichs oder der Verknüpfung, der Einschränkung, des Löschens oder der Vernichtung.

"Auftragsverarbeiter" bezeichnet Saturday Inc., das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, wie in diesem DPA beschrieben.

"Besondere Kategorien personenbezogener Daten" bezeichnet personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung genetischer Daten, biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, von Gesundheitsdaten oder von Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person, wie in Artikel 9 der GDPR beschrieben.

"Standardvertragsklauseln" oder "SCCs" bezeichnet die Standardvertragsklauseln, die dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 in seiner jeweils geänderten, ergänzten oder ersetzten Fassung als Anhang beigefügt sind.

"Unterauftragsverarbeiter" bezeichnet jeden von Saturday beauftragten Dritten, der personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit dem Coach Portal verarbeitet.

"Aufsichtsbehörde" bezeichnet eine von einem EU-Mitgliedstaat gemäß Artikel 51 der GDPR eingerichtete unabhängige staatliche Stelle.

"UK Addendum" bezeichnet das International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Version B1.0), herausgegeben vom UK Information Commissioner gemäß Section 119A des Data Protection Act 2018 und dem UK-Parlament am 2. Februar 2022 vorgelegt, in der gemäß Section 18 der Mandatory Clauses des Addendums überarbeiteten Fassung.

"UK GDPR" bezeichnet die GDPR, soweit sie aufgrund von Section 3 des European Union (Withdrawal) Act 2018 Bestandteil des Rechts von England und Wales, Schottland und Nordirland ist, in der durch die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 geänderten Fassung.

2. Anwendungsbereich und Anwendung

2.1 Dieser DPA gilt für die Verarbeitung personenbezogener Daten durch Saturday im Auftrag des Kunden im Zusammenhang mit der Nutzung des Saturday Coach Portals durch den Kunden, einschließlich Identitätsdaten von Athleten, Gesundheits- und biometrischen Daten, Aktivitätsdaten, Abrechnungsdaten, Audit-Daten und Daten zur Organisationsmitgliedschaft.

2.2 Dieser DPA tritt mit der Unterzeichnung durch beide Parteien in Kraft und bleibt für die Dauer des Coach-Portal-Abonnements des Kunden gemäß der Vereinbarung in Kraft. Die Kündigung oder das Auslaufen der Vereinbarung beendet diesen DPA automatisch, vorbehaltlich der Verpflichtungen in Abschnitt 15 (Rückgabe oder Löschung personenbezogener Daten).

2.3 Im Falle eines Widerspruchs zwischen diesem DPA und der Vereinbarung hat dieser DPA in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.

2.4 Dieser DPA gilt nicht für personenbezogene Daten, für die Saturday selbst Verantwortlicher ist (zum Beispiel Registrierungsdaten des Kundenkontos oder Daten, die Saturday für eigene geschäftliche Zwecke erhebt). Die Verarbeitung solcher Daten durch Saturday richtet sich nach Saturdays Datenschutzrichtlinie der Website und Datenschutzrichtlinie der App.

3. Rollen und Verantwortlichkeiten

3.1 Kunde als Verantwortlicher. Der Kunde ist Verantwortlicher für die über das Coach Portal verarbeiteten personenbezogenen Daten. Der Kunde entscheidet über die Zwecke und Mittel der Verarbeitung und ist dafür verantwortlich, dass seine Nutzung des Coach Portals den geltenden Datenschutzgesetzen, einschließlich der GDPR, entspricht.

3.2 Saturday als Auftragsverarbeiter. Saturday ist Auftragsverarbeiter der personenbezogenen Daten und verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach den dokumentierten Weisungen des Kunden. Saturday verarbeitet personenbezogene Daten zu keinem anderen Zweck als der Bereitstellung, Sicherung und Überwachung des Coach-Portal-Dienstes, wie in diesem DPA, der Vereinbarung und den dokumentierten Weisungen des Kunden beschrieben.

3.3 Dokumentierte Weisungen. Die Weisungen des Kunden an Saturday in Bezug auf die Verarbeitung personenbezogener Daten sind dokumentiert in: (a) den Coach Terms of Service; (b) der Datenschutzrichtlinie für Coaches; (c) diesem DPA; und (d) allen schriftlichen Anhängen oder Änderungen, die von beiden Parteien vereinbart und unterzeichnet wurden. Saturday informiert den Kunden unverzüglich, wenn nach Auffassung von Saturday eine Weisung des Kunden gegen die GDPR oder ein anderes geltendes Datenschutzgesetz verstößt.

3.4 Verarbeitung außerhalb der Weisungen. Saturday verarbeitet personenbezogene Daten nicht außerhalb der dokumentierten Weisungen des Kunden, es sei denn, dies ist nach dem für Saturday geltenden Recht erforderlich. In einem solchen Fall informiert Saturday den Kunden vor der Verarbeitung über diese rechtliche Anforderung, sofern das Recht eine solche Benachrichtigung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

4. Beschreibung der Verarbeitung

Gemäß Artikel 28(3) der GDPR beschreiben die folgenden Angaben die im Rahmen dieses DPA durchgeführte Verarbeitung:

• Gegenstand: Die Bereitstellung des Saturday Coach Portals, das es Coaches und Organisationen ermöglicht, Athletenbeziehungen zu verwalten, Compliance-Daten einzusehen, die Abrechnung über Stripe Connect abzuwickeln, organisationsbezogene Analysen zu erstellen und Audit-Protokolle administrativer Vorgänge zu führen.
• Dauer: Für die Laufzeit des Coach-Portal-Abonnements des Kunden gemäß der Vereinbarung, zuzüglich etwaiger in Abschnitt 15 festgelegter Aufbewahrungsfristen nach Beendigung.
• Art und Zweck: Speicherung, Auslesen, Anzeige, Organisation, Ordnung, Anpassung, Übermittlung und Löschung personenbezogener Daten, soweit dies zur Bereitstellung des Coach-Portal-Dienstes erforderlich ist, einschließlich der Verwaltung der Athletenliste, der Compliance-Überwachung, der Abrechnungsvorgänge, der Audit-Protokollierung, der Impersonation zu Supportzwecken und der Erleichterung der Kommunikation.
• Kategorien personenbezogener Daten: Wie in Abschnitt 5 (Datenkategorien) und Anhang 1 beschrieben.
• Kategorien betroffener Personen: Athleten (Endnutzer der Saturday-App, die dem Coach-Zugriff zugestimmt haben); Coaches (einzelne Coaching-Fachleute); Mitglieder der Coach-Organisation (Administratoren, Assistenz-Coaches, Abrechnungsadministratoren, Coaches mit Lesezugriff); und Saturday-Mitarbeiter (bei Ausübung der Impersonation zu Support- oder Verwaltungszwecken).
• Besondere Kategorien: Gesundheitsdaten und biometrische Daten (Aktivitätsdaten von Athleten, Sportart, Dauer und Compliance-Kennzahlen können gesundheitsbezogene Daten im Sinne von Artikel 9 der GDPR darstellen). Der Kunde ist dafür verantwortlich, eine Rechtsgrundlage gemäß Artikel 9(2) für die Verarbeitung besonderer Kategorien personenbezogener Daten sicherzustellen.

5. Datenkategorien

Die folgende Tabelle beschreibt die Kategorien personenbezogener Daten, die über das Coach Portal verarbeitet werden, und die geltenden Aufbewahrungsfristen:

Kategorie	Datenelemente	Aufbewahrungsfrist
Identität	Anzeigename, E-Mail-Adresse, Firebase UID	Dauer des Kontos + 30 Tage
Beziehung	Coach-Athlet-Verknüpfung, Organisationsmitgliedschaft, zugewiesene Rollen (9 definierte Rollen), Zeitstempel der Einwilligung, Quelle der Einwilligung, beziehungsbezogene ACL-Berechtigungen	Dauer der Beziehung + 90 Tage
Compliance	Indikatoren zur Aktivitätsaktualität (Status rot/gelb/grün), Aktivitätszahl, Tage seit der letzten Aktivität	In Echtzeit berechnet; nicht dauerhaft gespeichert
Aktivität	Sportart, Dauer, Datum der Aktivität	Dauer des Kontos + 30 Tage
Abrechnung	Abrechnungsbeträge, Bedingungen der Abrechnungsvereinbarung, Zahlungsstatus, Plattformgebühren, Stripe-Kundenkennungen, Abonnement-Metadaten	7 Jahre (Finanz- und Steuervorschriften)
Audit	Administrative Vorgänge (40+ Vorgangstypen), Impersonation-Ereignisse mit Begründung, Akteur-UID, Ziel-UID, IP-Adresse, User-Agent, Zeitstempel, Vorher-/Nachher-Zustandsschnappschüsse	Unbefristet (aufbewahrt gemäß Artikel 17(3)(e) GDPR: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen)
Organisation	Organisationsname, Hierarchie (übergeordnet/untergeordnet), Mitgliederliste, Mitgliederrollen, Eigentümer-UID, Auflösungsstatus	Dauer der Organisation + 90 Tage

6. Unterauftragsverarbeiter

6.1 Autorisierte Unterauftragsverarbeiter. Der Kunde erteilt Saturday die allgemeine schriftliche Genehmigung, die in Anhang 2 aufgeführten Unterauftragsverarbeiter zu beauftragen. Zum Stichtag des Inkrafttretens nutzt Saturday die folgenden Unterauftragsverarbeiter für Coach-Portal-Daten:

Unterauftragsverarbeiter	Zweck	Standort
Google Cloud Platform (Firebase, Firestore, Cloud Functions, Cloud Secret Manager)	Datenspeicherung, Authentifizierung, serverlose Datenverarbeitung, Geheimnisverwaltung	Vereinigte Staaten (us-central1)
Stripe, Inc.	Zahlungsabwicklung (Stripe Connect für die Coach-Abrechnung, Abonnementverwaltung)	Vereinigte Staaten
Brevo (Sendinblue SAS)	Transaktions-E-Mail (Einladungsbenachrichtigungen, Impersonation-Benachrichtigungen)	Europäische Union
Klaviyo, Inc.	Marketing-E-Mail und Lebenszyklus-Kommunikation	Vereinigte Staaten
Cloudflare, Inc.	CDN, DNS, DDoS-Schutz, Edge-Hosting des Coach-Portal-Frontends	Globales Edge-Netzwerk

6.2 Benachrichtigung über Änderungen. Saturday gewährt dem Kunden eine vorherige schriftliche Frist von mindestens dreißig (30) Tagen, bevor ein neuer Unterauftragsverarbeiter beauftragt oder ein bestehender Unterauftragsverarbeiter ersetzt wird. Die Benachrichtigung benennt den Unterauftragsverarbeiter, beschreibt die durchzuführende Verarbeitung und gibt den Standort des Unterauftragsverarbeiters an.

6.3 Widerspruchsrecht. Der Kunde kann einem neuen oder ersetzenden Unterauftragsverarbeiter widersprechen, indem er Saturday innerhalb von vierzehn (14) Tagen nach Erhalt der Benachrichtigung gemäß Abschnitt 6.2 schriftlich benachrichtigt. Der Widerspruch muss angemessene, datenschutzbezogene Gründe darlegen. Saturday unternimmt wirtschaftlich vertretbare Anstrengungen, um dem Kunden eine Änderung des Coach Portals zur Verfügung zu stellen oder eine wirtschaftlich vertretbare Alternative zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten Unterauftragsverarbeiter zu vermeiden. Kann Saturday dem Widerspruch des Kunden nicht innerhalb von dreißig (30) Tagen nach dessen Erhalt entsprechen, kann der Kunde das Coach-Portal-Abonnement durch schriftliche Mitteilung an Saturday kündigen, und Saturday erstattet anteilig etwaige nicht genutzte, im Voraus bezahlte Gebühren.

6.4 Pflichten des Unterauftragsverarbeiters. Saturday wird: (a) jedem Unterauftragsverarbeiter im Wege eines schriftlichen Vertrags Datenschutzpflichten auferlegen, die nicht weniger schützend sind als die in diesem DPA festgelegten; und (b) dem Kunden gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters in vollem Umfang haftbar bleiben.

7. Sicherheitsmaßnahmen

Gemäß Artikel 28(3)(c) und Artikel 32 der GDPR implementiert und unterhält Saturday die folgenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Diese Maßnahmen sind in Anhang 3 näher ausgeführt.

7.1 Verschlüsselung

• Während der Übertragung: Der gesamte API- und Web-Verkehr wird mit TLS 1.3 verschlüsselt.
• Im Ruhezustand: Alle ruhenden Daten werden mit AES-256 über die Standardverschlüsselung von Google Cloud Platform verschlüsselt.

7.2 Zugriffskontrolle

• Zugriffsbeschränkung auf Datenbankebene: Firestore Security Rules setzen eine dokumentbezogene Zugriffskontrolle durch. Der Coach-Zugriff ist auf Athleten innerhalb der aktiven Liste des Coaches beschränkt. Die Sicherheitsregeln prüfen den Status der Coach-Athlet-Beziehung, bevor Lese- oder Schreibzugriff gewährt wird.
• Rollenbasierte Zugriffskontrolle (RBAC): Neun (9) definierte Rollen mit dreiundzwanzig (23) einzelnen Berechtigungen regeln den Zugriff auf die Coach-Portal-Funktionen. Die Berechtigungsauflösung wird auf der API-Middleware-Ebene durchgesetzt und gibt bei unbefugten Anfragen HTTP 403 zurück.
• Grundsatz „Kenntnis nur bei Bedarf": Saturday-Mitarbeiter greifen nur insoweit auf personenbezogene Daten zu, wie dies zur Erfüllung ihrer Aufgaben erforderlich ist, vorbehaltlich schriftlicher Vertraulichkeitsverpflichtungen.

7.3 Audit-Protokollierung

• Alle administrativen Vorgänge, Impersonation-Ereignisse und Datenzugriffsvorgänge werden in einem ausschließlich anfügbaren Audit-Protokoll erfasst. Einträge im Audit-Protokoll werden niemals aktualisiert oder gelöscht.
• Jeder Audit-Eintrag erfasst: Identität des Akteurs, Vorgangstyp (40+ definierte Vorgänge), Ziel, Vorher-/Nachher-Zustand, IP-Adresse, User-Agent und Zeitstempel.

7.4 Impersonation-Kontrollen

• Administrative Impersonation-Sitzungen sind auf dreißig (30) Minuten begrenzt und erfordern eine schriftliche Begründung.
• Impersonation-Ereignisse werden im Audit-Trail protokolliert und lösen eine Benachrichtigung des imitierten Nutzers aus.
• Nur Nutzer mit der Berechtigung PermImpersonate (Organisationsadministratoren, Cheftrainer und Saturday-Mitarbeiter) können eine Impersonation einleiten.

7.5 Authentifizierung

• Die Authentifizierung wird über Firebase Authentication verwaltet.
• Die Multi-Faktor-Authentifizierung (MFA) ist für alle Nutzer verfügbar und kann für Kunden der Enterprise-Stufe auf Organisationsebene durchgesetzt werden, mit konfigurierbaren Übergangsfristen und zulässigen Methoden (TOTP, SMS).

7.6 Organisatorische Maßnahmen

• Saturday-Mitarbeiter mit Zugriff auf personenbezogene Daten sind durch schriftliche Vertraulichkeitsverpflichtungen gebunden.
• Saturday führt regelmäßige Schwachstellenbewertungen der Coach-Portal-Infrastruktur durch.
• Saturday unterhält ein Verfahren zur Reaktion auf Vorfälle, einschließlich des in Abschnitt 11 beschriebenen Verfahrens zur Benachrichtigung über Datenschutzverletzungen.
• Saturday führt eine jährliche Sicherheitsüberprüfung seiner technischen und organisatorischen Maßnahmen durch.

8. Vertraulichkeit

8.1 Saturday stellt sicher, dass sich jede zur Verarbeitung personenbezogener Daten in seinem Auftrag befugte Person zur Vertraulichkeit verpflichtet hat oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegt, gemäß Artikel 28(3)(b) der GDPR.

8.2 Saturday gibt personenbezogene Daten an keinen Dritten weiter, außer: (a) soweit dies zur Bereitstellung des Coach-Portal-Dienstes durch die in Anhang 2 aufgeführten autorisierten Unterauftragsverarbeiter erforderlich ist; (b) soweit dies nach geltendem Recht, geltenden Vorschriften oder einer verbindlichen Anordnung eines Gerichts oder einer Behörde erforderlich ist; oder (c) soweit dies vom Kunden ausdrücklich schriftlich genehmigt wurde.

8.3 Erhält Saturday eine rechtsverbindliche Anfrage einer Behörde zur Offenlegung personenbezogener Daten, benachrichtigt Saturday den Kunden unverzüglich über eine solche Anfrage, bevor eine Offenlegung erfolgt, sofern dies nicht gesetzlich verboten ist. Saturday unternimmt angemessene Anstrengungen, um die Behörde darauf zu verweisen, die Daten direkt beim Kunden anzufordern.

9. Beauftragung von Unterauftragsverarbeitern

9.1 Gemäß Artikel 28(2) und 28(4) der GDPR beauftragt Saturday keinen Unterauftragsverarbeiter ohne die vorherige allgemeine schriftliche Genehmigung des Kunden, die der Kunde gemäß Abschnitt 6.1 erteilt, vorbehaltlich des Benachrichtigungs- und Widerspruchsmechanismus in den Abschnitten 6.2 und 6.3.

9.2 Saturday legt jedem Unterauftragsverarbeiter im Wege eines schriftlichen Vertrags gemäß Artikel 28(4) der GDPR Datenschutzpflichten auf, die im Wesentlichen den Saturday in diesem DPA auferlegten Pflichten entsprechen, einschließlich Pflichten in Bezug auf Vertraulichkeit, Sicherheitsmaßnahmen, internationale Datenübermittlungen und Zusammenarbeit mit dem Verantwortlichen und den Aufsichtsbehörden.

9.3 Saturday bleibt dem Kunden gegenüber für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang in vollem Umfang haftbar, in dem Saturday haften würde, wenn es die Verarbeitung selbst durchführte.

9.4 Auf schriftliche Anfrage des Kunden stellt Saturday dem Kunden eine Kopie eines Unterauftragsverarbeiter-Vertrags zur Verfügung (die geschwärzt werden kann, um geschäftlich sensible, für den Datenschutz nicht relevante Informationen zu entfernen), damit der Kunde die Einhaltung dieses Abschnitts überprüfen kann.

10. Unterstützung bei den Rechten betroffener Personen

10.1 Gemäß Artikel 28(3)(e) der GDPR unterstützt Saturday den Kunden mit geeigneten technischen und organisatorischen Maßnahmen und unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung der Pflichten des Kunden, Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß Kapitel III der GDPR zu beantworten, einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung der Verarbeitung und Widerspruch.

10.2 Saturday beantwortet die Anfragen des Kunden um Unterstützung gemäß diesem Abschnitt innerhalb von fünf (5) Werktagen. Die Unterstützung umfasst: die Bereitstellung von Athletendatenexporten, die Ausführung der Datenlöschung bei Kontobeendigung (sofortige Zugangsentfernung gefolgt von einer 30-tägigen Datenlöschung), die Berichtigung von Daten nach Benachrichtigung durch den Kunden und die Einschränkung der Verarbeitung nach Weisung.

10.3 Erhält Saturday eine Anfrage direkt von einer betroffenen Person in Bezug auf personenbezogene Daten, die im Rahmen dieses DPA verarbeitet werden, verweist Saturday die betroffene Person unverzüglich an den Kunden oder erfüllt die Anfrage, sofern angemessen und mit vorheriger schriftlicher Genehmigung des Kunden, im Auftrag des Kunden. Saturday beantwortet eine Anfrage einer betroffenen Person nicht direkt ohne Genehmigung des Kunden, außer um die betroffene Person darüber zu informieren, dass die Anfrage an den Kunden weitergeleitet wurde.

10.4 Das Coach Portal stellt eine Schnittstelle für Datenschutzanfragen bereit, über die der Kunde Auskunfts-, Export- und Löschanfragen im Auftrag betroffener Personen einreichen kann, mit einem Service-Level von dreißig (30) Tagen für die Erfüllung.

11. Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten

11.1 Gemäß Artikel 28(3)(f) der GDPR benachrichtigt Saturday den Kunden ohne unangemessene Verzögerung und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden, nachdem es von der Verletzung Kenntnis erlangt hat, über eine Verletzung des Schutzes personenbezogener Daten.

11.2 Die Benachrichtigung enthält, soweit zum Zeitpunkt der Benachrichtigung nach vernünftigem Ermessen verfügbar:

1. Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen Datensätze personenbezogener Daten;
2. Den Namen und die Kontaktdaten der Anlaufstelle von Saturday, bei der weitere Informationen eingeholt werden können;
3. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und
4. Eine Beschreibung der von Saturday ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

11.3 Sofern es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, stellt Saturday die Informationen schrittweise ohne weitere unangemessene Verzögerung bereit.

11.4 Saturday arbeitet mit dem Kunden zusammen und unterstützt ihn im Zusammenhang mit jeder Untersuchung, Abmilderung und Behebung der Verletzung des Schutzes personenbezogener Daten sowie bei der Einhaltung der Pflichten des Kunden gemäß Artikel 33 und 34 der GDPR.

11.5 Die Benachrichtigung über oder die Reaktion auf eine Verletzung des Schutzes personenbezogener Daten gemäß diesem Abschnitt ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von Saturday in Bezug auf die Verletzung auszulegen.

12. Unterstützung bei der Datenschutz-Folgenabschätzung

12.1 Gemäß Artikel 28(3)(f) der GDPR leistet Saturday dem Kunden angemessene Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen ("DPIAs") gemäß Artikel 35 der GDPR und, soweit anwendbar, bei der Konsultation der zuständigen Aufsichtsbehörde gemäß Artikel 36 der GDPR, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieses DPA und unter Berücksichtigung der Art der Verarbeitung und der Saturday zur Verfügung stehenden Informationen.

12.2 Saturday stellt dem Kunden die Informationen über die Verarbeitungstätigkeiten des Coach Portals zur Verfügung, die für die Durchführung einer DPIA durch den Kunden nach vernünftigem Ermessen erforderlich sind, einschließlich der Beschreibungen der in Abschnitt 7 und Anhang 3 dargelegten technischen und organisatorischen Maßnahmen.

13. Audit-Rechte

13.1 Gemäß Artikel 28(3)(h) der GDPR stellt Saturday dem Kunden alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Artikel 28 der GDPR und diesem DPA festgelegten Pflichten nachzuweisen, und ermöglicht und trägt zu Audits, einschließlich Inspektionen, bei, die vom Kunden oder einem vom Kunden beauftragten Prüfer durchgeführt werden.

13.2 Der Kunde kann ein (1) Audit pro Zeitraum von zwölf (12) Monaten durchführen. Audits werden durchgeführt: (a) auf Kosten des Kunden; (b) während der normalen Geschäftszeiten von Saturday; (c) mit einer vorherigen schriftlichen Frist von mindestens dreißig (30) Tagen an Saturday; und (d) auf eine Weise, die den Betrieb von Saturday nicht unangemessen stört.

13.3 Saturday kann die Audit-Anfrage des Kunden erfüllen, indem es Kopien einschlägiger Prüfberichte oder Zertifizierungen Dritter (wie SOC 2 Type II-Berichte, ISO 27001-Zertifizierungen oder gleichwertige) bereitstellt, die die Verarbeitungstätigkeiten im Rahmen dieses DPA abdecken. Wenn solche Berichte die berechtigten Bedenken des Kunden nicht angemessen ausräumen, behält der Kunde das Recht, ein direktes Audit gemäß Abschnitt 13.2 durchzuführen.

13.4 Der vom Kunden beauftragte Prüfer ist durch schriftliche Vertraulichkeitsverpflichtungen gebunden und darf kein Wettbewerber von Saturday sein. Der Kunde teilt Saturday die Identität des Prüfers vor dem Audit mit.

13.5 Ergibt ein Audit eine wesentliche Nichteinhaltung dieses DPA, behebt Saturday die Nichteinhaltung unverzüglich auf eigene Kosten und benachrichtigt den Kunden über die ergriffenen Abhilfemaßnahmen.

14. Internationale Datenübermittlungen

14.1 Datenstandort. Saturday speichert personenbezogene Daten hauptsächlich in der Region us-central1 von Google Cloud in den Vereinigten Staaten. Bestimmte Unterauftragsverarbeiter (Brevo) speichern Daten in der Europäischen Union, und bestimmte Unterauftragsverarbeiter (Cloudflare) verarbeiten Daten über ein globales Edge-Netzwerk.

14.2 Übermittlungsmechanismus — EWR. Soweit personenbezogene Daten aus dem EWR in die Vereinigten Staaten oder ein anderes Land übermittelt werden, das keinem Angemessenheitsbeschluss der Europäischen Kommission unterliegt, vereinbaren die Parteien, dass die EU-Standardvertragsklauseln von 2021 (Durchführungsbeschluss (EU) 2021/914 der Kommission), Modul 2 (Verantwortlicher an Auftragsverarbeiter), durch Verweis in diesen DPA aufgenommen werden und für solche Übermittlungen gelten. Für die Zwecke der SCCs:

• Der „Datenexporteur" ist der Kunde (Verantwortlicher);
• Der „Datenimporteur" ist Saturday (Auftragsverarbeiter);
• Klausel 7 (Beitrittsklausel): Die optionale Beitrittsklausel findet Anwendung und gestattet weiteren Einheiten den Beitritt zu den SCCs;
• Klausel 9(a) (Unterauftragsverarbeiter): Option 2 (Allgemeine schriftliche Genehmigung) findet Anwendung, mit einer vorherigen Frist von dreißig (30) Tagen für jede beabsichtigte Hinzufügung oder Ersetzung von Unterauftragsverarbeitern;
• Klausel 17 (Anwendbares Recht): Die SCCs unterliegen dem Recht von Irland;
• Klausel 18 (Gerichtsstand und Zuständigkeit): Streitigkeiten aus den SCCs werden vor den Gerichten von Irland beigelegt;
• Anhang I.A (Liste der Parteien), Anhang I.B (Beschreibung der Übermittlung) und Anhang I.C (Zuständige Aufsichtsbehörde) sind in Anhang 1 dieses DPA ausgefüllt;
• Anhang II (Technische und organisatorische Maßnahmen) ist in Anhang 3 dieses DPA ausgefüllt;
• Anhang III (Liste der Unterauftragsverarbeiter) ist in Anhang 2 dieses DPA ausgefüllt.

14.3 Übermittlungsmechanismus — Vereinigtes Königreich. Soweit personenbezogene Daten aus dem Vereinigten Königreich übermittelt werden, gilt das UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Version B1.0, herausgegeben von der ICO und dem Parlament am 2. Februar 2022 vorgelegt, in der gemäß Section 18 dieser Mandatory Clauses überarbeiteten Fassung) für solche Übermittlungen und wird durch Verweis in diesen DPA aufgenommen. Die nach Tabelle 1 bis Tabelle 4 des UK Addendums erforderlichen Informationen entsprechen den gemäß Abschnitt 14.2 aufgenommenen SCCs, vorbehaltlich Folgendem:

• Die in Tabelle 2 genannten Approved EU SCCs sind die gemäß Abschnitt 14.2 dieses DPA aufgenommenen SCCs, einschließlich der Appendix Information;
• Jede Partei kann das UK Addendum gemäß seinen Bestimmungen beenden;
• Das UK Information Commissioner's Office ist die zuständige Aufsichtsbehörde für Übermittlungen, die der UK GDPR unterliegen.

14.4 Übermittlungsmechanismus — Schweiz. Soweit personenbezogene Daten aus der Schweiz übermittelt werden, gelten die gemäß Abschnitt 14.2 aufgenommenen SCCs mit den folgenden Änderungen: (a) Verweise auf die GDPR sind als Verweise auf das Schweizer Bundesgesetz über den Datenschutz ("FADP") auszulegen, soweit anwendbar; (b) Verweise auf „Mitgliedstaat" sind so auszulegen, dass sie die Schweiz einschließen; (c) Verweise auf die „zuständige Aufsichtsbehörde" sind als Verweise auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB") auszulegen; und (d) Verweise auf „EU," „Union" und „Recht der Mitgliedstaaten" sind so auszulegen, dass Schweizer betroffene Personen nicht von der Ausübung ihrer Rechte an ihrem gewöhnlichen Aufenthaltsort in der Schweiz ausgeschlossen werden.

14.5 Ergänzende Maßnahmen. Saturday hat die Gesetze und Praktiken der Vereinigten Staaten gemäß den Empfehlungen 01/2020 des EDPB (Version 2.0, angenommen am 18. Juni 2021) zu Maßnahmen, die Übermittlungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten, bewertet. Saturday implementiert die folgenden ergänzenden Maßnahmen:

• Technische Maßnahmen: Verschlüsselung personenbezogener Daten während der Übertragung (TLS 1.3) und im Ruhezustand (AES-256); dokumentbezogene Zugriffskontrollen; zeitlich begrenzte Impersonation mit Begründungsprotokollierung;
• Vertragliche Maßnahmen: Unterauftragsverarbeiter-Verträge, die gleichwertige Schutzmaßnahmen verlangen; Verpflichtung, behördliche Zugriffsanfragen anzufechten, soweit gesetzlich zulässig; Transparenz hinsichtlich erhaltener behördlicher Zugriffsanfragen (falls vorhanden und soweit gesetzlich zulässig);
• Organisatorische Maßnahmen: Zugriffsbeschränkungen nach dem Grundsatz „Kenntnis nur bei Bedarf"; Vertraulichkeitsverpflichtungen für alle Mitarbeiter; regelmäßige Sicherheitsüberprüfungen; Verfahren zur Reaktion auf Vorfälle.

14.6 Zusicherung des Kunden. Der Kunde sichert zu und gewährleistet, dass er befugt ist, personenbezogene Daten an Saturday zu übermitteln, einschließlich über internationale Grenzen hinweg, und dass solche Übermittlungen in Übereinstimmung mit den geltenden Datenschutzgesetzen durchgeführt werden.

15. Rückgabe oder Löschung personenbezogener Daten

15.1 Gemäß Artikel 28(3)(g) der GDPR wird Saturday nach Kündigung oder Auslaufen der Vereinbarung nach Wahl und auf schriftliche Anfrage des Kunden entweder: (a) alle personenbezogenen Daten in einem gängigen, maschinenlesbaren Format an den Kunden zurückgeben; oder (b) alle personenbezogenen Daten und vorhandenen Kopien löschen. Saturday schließt eine solche Rückgabe oder Löschung innerhalb von dreißig (30) Tagen nach Erhalt der schriftlichen Anfrage des Kunden ab.

15.2 Erteilt der Kunde nicht innerhalb von dreißig (30) Tagen nach Kündigung oder Auslaufen der Vereinbarung Weisungen, löscht Saturday alle personenbezogenen Daten gemäß Abschnitt 15.1(b).

15.3 Ausnahmen. Saturday darf personenbezogene Daten nach Beendigung aufbewahren, soweit dies nach geltendem Recht erforderlich ist, einschließlich:

• Abrechnungsunterlagen: Aufbewahrt für sieben (7) Jahre, wie nach geltenden Finanz- und Steuervorschriften erforderlich;
• Einträge im Audit-Protokoll: Aufbewahrt, soweit dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gemäß Artikel 17(3)(e) der GDPR erforderlich ist;
• Daten, die durch Gerichtsbeschluss oder behördliche Anordnung erforderlich sind.

Saturday benachrichtigt den Kunden über jede derartige Aufbewahrungsanforderung und beschränkt die Verarbeitung der aufbewahrten Daten auf den spezifischen rechtlichen Zweck, für den die Aufbewahrung erforderlich ist.

15.4 Nach Abschluss der Rückgabe oder Löschung stellt Saturday dem Kunden auf schriftliche Anfrage eine schriftliche Bestätigung der Löschung zur Verfügung.

15.5 Daten, die so anonymisiert wurden, dass sie keine personenbezogenen Daten im Sinne der GDPR mehr darstellen, können von Saturday ohne Einschränkung aufbewahrt werden.

16. Haftung und Freistellung

16.1 Die Haftung jeder Partei im Rahmen dieses DPA unterliegt den in der Vereinbarung festgelegten Haftungsausschlüssen und -beschränkungen, mit der Maßgabe, dass solche Beschränkungen die Haftung einer Partei gegenüber betroffenen Personen gemäß den SCCs oder dem geltenden Datenschutzrecht nicht beschränken, soweit eine solche Beschränkung nicht zulässig ist.

16.2 Jede Partei stellt die andere Partei von allen Ansprüchen, Schäden, Verlusten, Kosten und Aufwendungen (einschließlich angemessener Anwaltshonorare) frei und hält sie schadlos, die aus oder im Zusammenhang mit einem Anspruch eines Dritten entstehen, der aus dem Verstoß der freistellenden Partei gegen diesen DPA resultiert.

16.3 Die Gesamthaftung von Saturday für alle im Rahmen dieses DPA entstehenden Ansprüche, ob aus Vertrag, unerlaubter Handlung oder anderweitig, übersteigt nicht die Gesamtgebühren, die der Kunde im Rahmen der Vereinbarung in den zwölf (12) Monaten unmittelbar vor dem Ereignis, das den Anspruch begründet, an Saturday gezahlt hat. Diese Beschränkung gilt nicht für: (a) die Haftung von Saturday gemäß den SCCs; (b) die Freistellungspflichten von Saturday gemäß Abschnitt 16.2, soweit sie aus vorsätzlichem Fehlverhalten oder grober Fahrlässigkeit von Saturday entstehen; oder (c) behördliche Bußgelder, die dem Kunden direkt von einer Aufsichtsbehörde auferlegt werden und in der alleinigen Verantwortung des Kunden verbleiben.

17. Laufzeit und Kündigung

17.1 Dieser DPA tritt mit dem Datum der Unterzeichnung in Kraft und bleibt für die Dauer des Coach-Portal-Abonnements des Kunden gemäß der Vereinbarung in Kraft.

17.2 Jede Partei kann diesen DPA bei einem wesentlichen Verstoß durch eine schriftliche Frist von dreißig (30) Tagen an die andere Partei kündigen, sofern der verstoßenden Partei die Gelegenheit gegeben wurde, den Verstoß innerhalb dieser Frist zu beheben.

17.3 Die Kündigung der Vereinbarung (einschließlich der Kündigung des Coach-Portal-Abonnements des Kunden) beendet diesen DPA automatisch.

17.4 Die folgenden Abschnitte gelten über die Kündigung oder das Auslaufen dieses DPA hinaus fort: Abschnitt 1 (Begriffsbestimmungen), Abschnitt 8 (Vertraulichkeit), Abschnitt 11 (Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten), Abschnitt 13 (Audit-Rechte, für einen Zeitraum von zwölf Monaten nach der Kündigung), Abschnitt 14 (Internationale Datenübermittlungen, soweit personenbezogene Daten im Besitz von Saturday verbleiben), Abschnitt 15 (Rückgabe oder Löschung personenbezogener Daten), Abschnitt 16 (Haftung und Freistellung) und Abschnitt 22 (Anwendbares Recht).

18. Ausfertigung

18.1 Dieser DPA kann in mehreren Ausfertigungen unterzeichnet werden, von denen jede als Original gilt und die zusammen ein und dasselbe Instrument darstellen.

18.2 Elektronische Signaturen (einschließlich solcher, die über DocuSign oder gleichwertige elektronische Signaturdienste bereitgestellt werden) haben dieselbe rechtliche Kraft und Wirkung wie eigenhändige Originalunterschriften.

18.3 Für eine unterzeichnete Kopie dieses DPA wende dich an Saturday unter alex@saturdaymorning.fit. Die elektronische Unterzeichnung über DocuSign ist auf Anfrage verfügbar.

Anhang 1: Beschreibung der Verarbeitung

Dieser Anhang ist Bestandteil dieses DPA und erfüllt die Anforderungen von Anhang I der Standardvertragsklauseln (Modul 2: Verantwortlicher an Auftragsverarbeiter).

A. Liste der Parteien

Rolle	Partei	Einzelheiten
Datenexporteur (Verantwortlicher)	Kunde	Wie auf der Unterschriftenseite angegeben. Für die Übermittlung relevante Tätigkeiten: Nutzung des Saturday Coach Portals zur Verwaltung von Athletenbeziehungen, zur Einsicht in Compliance-Daten und zur Abwicklung der Abrechnung.
Datenimporteur (Auftragsverarbeiter)	Saturday Inc.	8 The Green, STE A, Dover, DE 19901, Vereinigte Staaten. Kontakt: alex@saturdaymorning.fit. Für die Übermittlung relevante Tätigkeiten: Bereitstellung der Coach-Portal-SaaS-Plattform.

B. Beschreibung der Übermittlung

Feld	Beschreibung
Kategorien betroffener Personen	Athleten (Endnutzer der Saturday-App); Coaches (einzelne Coaching-Fachleute); Organisationsmitglieder (Administratoren, Assistenz-Coaches, Abrechnungsadministratoren, Cheftrainer, Coaches mit Lesezugriff); Saturday-Mitarbeiter (bei Ausübung der Impersonation).
Kategorien personenbezogener Daten	Identitätsdaten (Anzeigename, E-Mail, Firebase UID); Beziehungsdaten (Coach-Athlet-Verknüpfungen, Organisationsmitgliedschaft, Rollen, Einwilligungsnachweise); Compliance-Daten (Aktivitätsaktualität, Aktivitätszahl); Aktivitätsdaten (Sportart, Dauer, Datum); Abrechnungsdaten (Abrechnungsbeträge, Vereinbarungsbedingungen, Zahlungsstatus, Stripe-Kennungen); Audit-Daten (administrative Vorgänge, Impersonation-Ereignisse, IP-Adressen, User-Agents, Zeitstempel); Organisationsdaten (Name, Hierarchie, Mitgliederliste, Rollen).
Besondere Kategorien personenbezogener Daten	Gesundheitsdaten: Aktivitätsdaten von Athleten (Sportart, Dauer und Compliance-Kennzahlen) können gesundheitsbezogene Daten im Sinne von Artikel 9 der GDPR darstellen. Angewandte Beschränkungen und Schutzmaßnahmen: dokumentbezogene Datenbankzugriffskontrollen, rollenbasierter Zugriff, Verschlüsselung im Ruhezustand und während der Übertragung, einwilligungsbasierte Datenweitergabe.
Häufigkeit der Übermittlung	Kontinuierlich, für die Dauer der Vereinbarung.
Art der Verarbeitung	Erhebung, Speicherung, Ordnung, Auslesen, Abfrage, Verwendung, Offenlegung durch Übermittlung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung.
Zweck der Verarbeitung	Bereitstellung des Coach-Portal-Dienstes: Verwaltung der Athletenliste, Compliance-Überwachung, Abrechnungsvorgänge über Stripe Connect, organisationsbezogene Analysen, Audit-Protokollierung, administrative Impersonation zu Supportzwecken und Transaktionskommunikation.
Aufbewahrungsfrist	Wie in Abschnitt 5 (Datenkategorien) dieses DPA festgelegt: Identitätsdaten und Aktivitätsdaten für die Dauer des Kontos zuzüglich 30 Tage; Beziehungs- und Organisationsdaten für die Dauer zuzüglich 90 Tage; Abrechnungsdaten für 7 Jahre; Audit-Daten unbefristet (Grundlage Artikel 17(3)(e)); Compliance-Daten in Echtzeit berechnet und nicht dauerhaft gespeichert.

C. Zuständige Aufsichtsbehörde

Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der SCCs bestimmt. Ist der Datenexporteur in einem EU-Mitgliedstaat niedergelassen, ist die Aufsichtsbehörde dieses Mitgliedstaats die zuständige Behörde. Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber gemäß Artikel 3(2) in den räumlichen Anwendungsbereich der GDPR, so ist die Aufsichtsbehörde des vom Datenexporteur auf der Unterschriftenseite benannten Mitgliedstaats die zuständige Behörde. In Ermangelung einer solchen Benennung dient die Irish Data Protection Commission als zuständige Aufsichtsbehörde.

Anhang 2: Liste der Unterauftragsverarbeiter

Dieser Anhang ist Bestandteil dieses DPA und erfüllt die Anforderungen von Anhang III der Standardvertragsklauseln (Modul 2: Verantwortlicher an Auftragsverarbeiter).

Unterauftragsverarbeiter	Anschrift	Beschreibung der Verarbeitung	Standort
Google LLC (Google Cloud Platform, Firebase, Firestore, Cloud Functions, Cloud Secret Manager)	1600 Amphitheatre Parkway, Mountain View, CA 94043, Vereinigte Staaten	Cloud-Infrastruktur: Datenspeicherung (Firestore), Nutzerauthentifizierung (Firebase Auth), serverlose Datenverarbeitung (Cloud Functions), Geheimnisverwaltung (Cloud Secret Manager) und Hosting.	Vereinigte Staaten (us-central1)
Stripe, Inc.	354 Oyster Point Blvd, South San Francisco, CA 94080, Vereinigte Staaten	Zahlungsabwicklung: Stripe Connect für die Coach-Athlet-Abrechnung, Abonnementverwaltung, Erfassung von Abrechnungen, Rückerstattungsabwicklung und Identitätsprüfung (KYC) für Coaches.	Vereinigte Staaten
Sendinblue SAS (d/b/a Brevo)	106 boulevard Haussmann, 75008 Paris, Frankreich	Transaktions-E-Mail: Benachrichtigungen über Coach-Einladungen, Benachrichtigungen über Impersonation-Ereignisse und systemgenerierte Mitteilungen.	Europäische Union (Frankreich)
Klaviyo, Inc.	125 Summer Street, Boston, MA 02110, Vereinigte Staaten	Marketing-E-Mail: Lebenszyklus-Kommunikation für Coaches, Zustellung von Einlösungscodes und Onboarding-E-Mail-Sequenzen.	Vereinigte Staaten
Cloudflare, Inc.	101 Townsend Street, San Francisco, CA 94107, Vereinigte Staaten	Bereitstellung von Inhalten, DNS-Auflösung, DDoS-Schutz und Edge-Hosting der Frontend-Anwendung des Coach Portals.	Globales Edge-Netzwerk

Anhang 3: Technische und organisatorische Maßnahmen

Dieser Anhang ist Bestandteil dieses DPA und erfüllt die Anforderungen von Anhang II der Standardvertragsklauseln (Modul 2: Verantwortlicher an Auftragsverarbeiter). Die folgenden Maßnahmen beschreiben die von Saturday (Datenimporteur) implementierten technischen und organisatorischen Sicherheitsmaßnahmen.

Verschlüsselung personenbezogener Daten

• Alle Daten während der Übertragung werden mit TLS 1.3 verschlüsselt.
• Alle ruhenden Daten werden mit AES-256 über die Standardverschlüsselung von Google Cloud Platform verschlüsselt. Google verwaltet die Verschlüsselungsschlüssel gemäß dem Key Management Service von Google.

Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit

• Firestore Security Rules setzen eine dokumentbezogene Zugriffskontrolle durch und beschränken den Coach-Zugriff auf Athleten innerhalb der aktiven Liste des Coaches.
• Neun (9) definierte Rollen und dreiundzwanzig (23) einzelne Berechtigungen regeln den Zugriff auf Anwendungsebene.
• Google Cloud Platform bietet Redundanz, Sicherung und Notfallwiederherstellung auf Infrastrukturebene.
• Saturday unterhält Verfahren zur Reaktion auf Vorfälle zur zeitnahen Identifizierung und Behebung von Verfügbarkeitsstörungen.

Fähigkeit zur Wiederherstellung der Verfügbarkeit und des Zugangs

• Saturday stützt sich auf die Sicherungs- und Wiederherstellungsmechanismen von Google Cloud Platform auf Infrastrukturebene, einschließlich der automatischen Replikation von Firestore über mehrere Verfügbarkeitszonen.

Regelmäßige Überprüfung und Bewertung

• Saturday führt jährliche Sicherheitsüberprüfungen seiner technischen und organisatorischen Maßnahmen durch.
• Saturday führt regelmäßige Schwachstellenbewertungen der Coach-Portal-Infrastruktur durch.
• Saturday testet seine Verfahren zur Reaktion auf Vorfälle, um die Bereitschaft für Szenarien einer Verletzung des Schutzes personenbezogener Daten sicherzustellen.

Identifizierung und Autorisierung von Nutzern

• Die Authentifizierung wird über Firebase Authentication verwaltet und unterstützt die Anmeldung per E-Mail/Passwort sowie OAuth-basierte Anmeldung.
• Die Multi-Faktor-Authentifizierung (MFA) ist verfügbar und pro Organisation für Kunden der Enterprise-Stufe durchsetzbar, mit konfigurierbaren Übergangsfristen und zulässigen Methoden (TOTP, SMS).
• Die API-Middleware setzt rollenbasierte Berechtigungen an jedem Endpunkt durch und gibt bei unbefugten Zugriffsversuchen HTTP 403 zurück.
• Die Sitzungsverwaltung umfasst die Aufzählung von Sitzungen, den Widerruf einzelner Sitzungen und den Widerruf aller anderen Sitzungen.

Schutz von Daten während der Übertragung und Speicherung

• TLS 1.3-Verschlüsselung für den gesamten API- und Web-Verkehr zwischen Clients und den Diensten von Saturday.
• AES-256-Verschlüsselung im Ruhezustand für alle Firestore-Sammlungen, Cloud-Storage-Objekte und andere GCP-Speicherdienste.
• Stripe verarbeitet Zahlungskartendaten in einer PCI-DSS-konformen Infrastruktur; Saturday speichert, verarbeitet oder übermittelt keine Karteninhaberdaten.

Physische Sicherheit der Verarbeitungsstandorte

• Alle personenbezogenen Daten werden in Rechenzentren von Google Cloud Platform gespeichert. Google unterhält nach SOC 2 Type II und ISO 27001 zertifizierte physische Sicherheitskontrollen, einschließlich Zugangsbeschränkungen, Überwachung und Umgebungskontrollen.

Protokollierung von Ereignissen

• Saturday unterhält ein ausschließlich anfügbares Audit-Protokoll, das alle administrativen Vorgänge (40+ definierte Vorgangstypen), Impersonation-Ereignisse (mit Begründung), Identität des Akteurs, Ziel, Vorher-/Nachher-Zustandsschnappschüsse, IP-Adresse, User-Agent und Zeitstempel erfasst.
• Einträge im Audit-Protokoll werden niemals aktualisiert oder gelöscht.
• Google Cloud Logging erfasst alle strukturierten Protokolle, einschließlich Ereignissen auf Anwendungs- und Infrastrukturebene.

Datenminimierung

• Compliance-Indikatoren (Aktivitätsaktualität, Aktivitätszahl) werden in Echtzeit berechnet und nicht dauerhaft gespeichert.
• Coaches können nicht auf Integrationstokens von Athleten (OAuth-Anmeldedaten für Drittanbieterdienste wie TrainingPeaks und Intervals.icu), biometrische Rohdaten, detaillierte Gesundheitsverordnungen oder Zahlungsanmeldedaten zugreifen.

Datenaufbewahrung und -löschung

• Die Aufbewahrungsfristen sind je Datenkategorie in Abschnitt 5 dieses DPA festgelegt.
• Die Kontolöschung löst die sofortige Zugangsentfernung und eine 30-tägige Datenlöschung aus.
• Der Widerruf der Beziehung durch einen Athleten beendet den Coach-Zugriff sofort über die Firestore Security Rules, wobei historische Aufzeichnungen gemäß der geltenden Aufbewahrungsfrist aufbewahrt werden.

Rechenschaftspflicht

• Saturday unterhält diesen DPA, die Datenschutzrichtlinie für Coaches und die Coach Terms of Service als dokumentierte Aufzeichnungen seiner Datenschutzverpflichtungen.
• Der Annahmeprozess der Terms of Service von Saturday erfasst die Annahme der aktuellen ToS-Version durch jeden Nutzer, einschließlich Zeitstempel, IP-Adresse und User-Agent.

Sicherheit der Unterauftragsverarbeiter

• Jeder Unterauftragsverarbeiter ist vertraglich durch Datenschutzpflichten gebunden, die im Wesentlichen den in diesem DPA enthaltenen entsprechen.
• Google Cloud Platform unterhält Zertifizierungen nach SOC 2 Type II, ISO 27001 und ISO 27017.
• Stripe unterhält die Zertifizierung nach PCI-DSS Level 1 und SOC 2 Type II-Berichte.
• Brevo unterhält eine GDPR-konforme Infrastruktur innerhalb der Europäischen Union.
• Cloudflare unterhält Zertifizierungen nach SOC 2 Type II und ISO 27001.

19. Allgemeine Bestimmungen

19.1 Gesamte Vereinbarung. Dieser DPA stellt zusammen mit der Vereinbarung die gesamte Vereinbarung zwischen den Parteien in Bezug auf die Verarbeitung personenbezogener Daten dar und ersetzt alle vorherigen oder gleichzeitigen Vereinbarungen, Absprachen oder Zusicherungen in Bezug darauf.

19.2 Änderungen. Dieser DPA kann nur durch ein von beiden Parteien unterzeichnetes schriftliches Instrument geändert werden. Ungeachtet des Vorstehenden kann Saturday die in Abschnitt 7 und Anhang 3 beschriebenen technischen und organisatorischen Maßnahmen von Zeit zu Zeit aktualisieren, sofern solche Aktualisierungen das Gesamtniveau des für personenbezogene Daten gewährten Schutzes nicht wesentlich mindern.

19.3 Salvatorische Klausel. Sollte eine Bestimmung dieses DPA für ungültig oder undurchsetzbar befunden werden, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft und wirksam.

19.4 Keine Drittbegünstigten. Dieser DPA dient ausschließlich dem Nutzen der Parteien und ihrer jeweiligen Rechtsnachfolger und zulässigen Abtretungsempfänger, mit der Ausnahme, dass betroffene Personen Drittbegünstigte der in diesen DPA aufgenommenen SCCs sind.

19.5 Mitteilungen. Alle Mitteilungen im Rahmen dieses DPA erfolgen schriftlich und werden an die in der Vereinbarung angegebenen Adressen oder, im Fall von Saturday, an alex@saturdaymorning.fit gesendet.

20. Zusammenarbeit mit Aufsichtsbehörden

20.1 Saturday arbeitet auf Anfrage mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen, gemäß Artikel 31 der GDPR.

20.2 Saturday informiert den Kunden unverzüglich, wenn es eine Anfrage, Beschwerde oder Untersuchung einer Aufsichtsbehörde erhält, die sich auf die Verarbeitung personenbezogener Daten im Rahmen dieses DPA bezieht.

21. Verhältnis zur Vereinbarung

21.1 Nichts in diesem DPA mindert die Pflichten von Saturday im Rahmen der Vereinbarung in Bezug auf den Schutz personenbezogener Daten oder gestattet Saturday, personenbezogene Daten auf eine Weise zu verarbeiten, die im Rahmen der Vereinbarung nicht zulässig wäre.

21.2 Mit Ausnahme der durch diesen DPA vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft und wirksam.

22. Anwendbares Recht

22.1 Dieser DPA und alle außervertraglichen Verpflichtungen, die sich aus oder im Zusammenhang mit ihm ergeben, unterliegen dem Recht des Staates Delaware, Vereinigte Staaten, und sind nach diesem auszulegen, ohne Berücksichtigung seiner Kollisionsnormen.

22.2 Ungeachtet von Abschnitt 22.1 unterliegen die SCCs, soweit von den SCCs gefordert, dem in Klausel 17 der SCCs angegebenen Recht (dem Recht Irlands) und sind nach diesem auszulegen, und Streitigkeiten aus den SCCs werden vor den in Klausel 18 der SCCs angegebenen Gerichten (den Gerichten Irlands) beigelegt.

22.3 Soweit vom UK Addendum gefordert, unterliegt das UK Addendum dem Recht von England und Wales und ist nach diesem auszulegen.