Rechtsdokument · Stand: April 2026
gemäß Art. 28 DS-GVO
Hinweis zur Nutzung dieses Dokuments
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch mein-nutrikompass.de im Auftrag Ihrer Einrichtung. Er ist gemäß Art. 28 DSGVO verpflichtend, bevor Bewohner:innendaten in den Dienst eingegeben werden.
Bitte senden Sie eine ausgefüllte und unterzeichnete Version an c.lengowski@yahoo.de. Sie erhalten eine gegengezeichnete Ausfertigung in der Regel innerhalb von 2 Werktage.
Auftraggeber (Verantwortlicher)
Name/Bezeichnung der Einrichtung:
Adresse:
Vertreten durch (Name, Funktion):
E-Mail:
(nachfolgend „Auftraggeber“)
Auftragnehmer (Auftragsverarbeiter)
LengAI – Digitale Lösungen
Inhaber: Christoph Lengowski
Adreystraße 116
44225 Dortmund
E-Mail: c.lengowski@yahoo.de
(nachfolgend „Auftragnehmer“ oder „mein-nutrikompass.de“)
Auftraggeber und Auftragnehmer schließen folgenden Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DS-GVO ab (nachfolgend „Vertrag“):
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung und Nutzung des webbasierten SaaS-Dienstes mein-nutrikompass.de (nachfolgend „Dienst“) gemäß den zugrunde liegenden Allgemeinen Geschäftsbedingungen (AGB) sowie den vertraglichen Vereinbarungen zwischen den Parteien.
(2) Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages (über die Nutzung des Dienstes). Er endet automatisch mit Beendigung des Hauptvertrages, es sei denn, die Parteien haben eine gesonderte Regelung zur Datenlöschung oder –rückgabe vereinbart.
(1) Art der Verarbeitung: Erhebung, Speicherung, Verarbeitung, Übermittlung an KI-Dienste (pseudonymisiert), Strukturierung und Löschung personenbezogener Daten.
(2) Zweck: KI-gestützte Erstellung von Ernährungsplänen, Generierung von Einkaufslisten, PDF-Export sowie Handover-Dokumentation im Rahmen der Betreuung von Personen mit Essstörungen in der jeweiligen Einrichtung des Auftraggebers.
(3) Kategorien betroffener Personen: Bewohner:innen der Einrichtung des Auftraggebers (ausschließlich in pseudonymisierter Form ohne Klarnamen).
(4) Kategorien personenbezogener Daten:
Nicht alle im Dienst gespeicherten Datenkategorien werden an KI-Dienste übermittelt. Für die KI-gestützte Planerstellung wird ausschließlich ein pseudonymisierter, strukturierter Mindestdatensatz verwendet.
(5) Besondere Kategorien (Art. 9 DSGVO): Die verarbeiteten Diagnosedaten können Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO darstellen. Der Auftraggeber ist verpflichtet, sicherzustellen, dass die Verarbeitung dieser Daten auf einer geeigneten Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO beruht. Es dürfen ausschließlich pseudonymisierte Daten ohne direkte Identifizierungsmerkmale eingegeben werden.
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation –, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet.
(2) Weisungen erteilt der Auftraggeber grundsätzlich schriftlich. In dringenden Fällen können Weisungen mündlich erteilt werden; diese sind unverzüglich schriftlich zu bestätigen.
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, eine Weisung verstößt gegen datenschutzrechtliche Bestimmungen. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung so lange auszusetzen, bis der Auftraggeber sie bestätigt oder geändert hat.
(1) Der Auftragnehmer gewährleistet, dass alle Personen, die mit der Verarbeitung der personenbezogenen Daten des Auftraggebers betraut sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Der Auftragnehmer trifft alle nach Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherung der Verarbeitung. Die zum Zeitpunkt des Vertragsschlusses implementierten TOMs sind in Anlage 2 dieses Vertrages aufgeführt. Der Auftragnehmer ist berechtigt, die Maßnahmen fortzuschreiben und anzupassen, sofern das Sicherheitsniveau nicht unterschritten wird.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen dabei, seinen Verpflichtungen zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Personen nachzukommen.
(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung und vorherige Konsultation).
(5) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht oder gibt der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
Der Auftraggeber hat nach Vertragsbeendigung 30 Tage Zeit, seine Daten über die Export-Funktion des Dienstes selbst zu exportieren. Danach werden die personenbezogenen Daten gemäß dem Lösch- und Aufbewahrungskonzept gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(6) Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die zur Nachweisführung der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind, und ermöglicht Audits einschließlich Inspektionen, die vom Auftraggeber oder einem anderen vom Auftraggeber beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei.
(1) Der Auftraggeber ist im Verhältnis zum Auftragnehmer allein Verantwortlicher für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten, insbesondere für die Beurteilung der Zulässigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen.
(2) Der Auftraggeber ist verpflichtet, ausschließlich pseudonymisierte Daten ohne Klarnamen in den Dienst einzugeben. Die fachliche Verantwortung für alle generierten Ernährungspläne liegt beim qualifizierten Fachpersonal des Auftraggebers.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich und vollständig, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO. Er meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, sobald er davon Kenntnis erhält, spätestens jedoch innerhalb von 72 Stunden.
(2) Die Meldung erfolgt per E-Mail an die vom Auftraggeber hinterlegte Kontaktadresse und enthält mindestens:
(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung zur Hinzuziehung der in Anlage 1 aufgeführten weiteren Auftragsverarbeiter (Unterauftragnehmer). Der Auftragnehmer informiert den Auftraggeber rechtzeitig über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter, damit der Auftraggeber die Möglichkeit hat, Einwände zu erheben.
(2) Der Auftragnehmer legt seinen Unterauftragnehmern vergleichbare datenschutzrechtliche Verpflichtungen auf, wie sie in diesem Vertrag enthalten sind.
(3) Werden Daten in Drittländer übermittelt (insbesondere an OpenAI, USA), erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder anderer geeigneter Garantien.
(1) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang zu kontrollieren oder durch im Einzelfall zu benennende Prüfer kontrollieren zu lassen.
(2) Der Auftragnehmer kann als gleichwertigen Nachweis aktuelle Zertifizierungen, Auditberichte oder Eigenauskünfte vorlegen. Umfassendere Vor-Ort-Prüfungen sind nach vorheriger Ankündigung von mindestens 14 Tagen möglich und dürfen den Geschäftsbetrieb nicht unzumutbar beeinträchtigen.
(3) Kosten einer Prüfung trägt der Auftraggeber, es sei denn, die Prüfung ergibt wesentliche Pflichtverletzungen des Auftragnehmers.
(1) Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Erfüllungsort und Gerichtsstand ist, soweit gesetzlich zulässig, Dortmund.
(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform oder einer gleichwertigen elektronischen Form. Dies gilt auch für das Abweichen vom Schriftformerfordernis selbst.
(3) Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam oder undurchführbar sein oder werden, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.
Auftraggeber (Einrichtung)
Ort, Datum, Unterschrift, Name in Druckschrift
Auftragnehmer – mein-nutrikompass.de
Ort, Datum, Unterschrift, Christoph Lengowski
Anlage 1
Stand: April 2026 – Der Auftragnehmer wird den Auftraggeber über Änderungen informieren.
Supabase Inc.
970 Trestle Glen Rd, Oakland, CA 94610, USA
Zweck: Datenbankhosting, Authentifizierung, Datenspeicherung
Serverstandort: EU (Frankfurt am Main, Deutschland) via AWS
Rechtsgrundlage: AVV gem. Art. 28 DSGVO mit Supabase abgeschlossen; EU-Server
Datenkategorien: Alle im Dienst gespeicherten personenbezogenen Daten (pseudonymisiert)
OpenAI, L.L.C.
3180 18th Street, San Francisco, CA 94110, USA
Zweck: KI-gestützte Generierung von Ernährungsplänen via API (GPT-4)
Serverstandort: USA
Rechtsgrundlage: EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO; OpenAI verpflichtet sich, API-Daten nicht für Modelltraining zu verwenden
Datenkategorien: Ausschließlich pseudonymisierte, strukturierte Mindestdaten (z. B. Altersgruppe, Allergien oder Unverträglichkeiten, Essensvorlieben, Mahlzeitenstruktur, abstrakte Planungsmerkmale). Keine Klarnamen, keine direkten Identifikationsmerkmale und keine Freitext-Aktennotizen.
Resend Inc.
2261 Market Street #4008, San Francisco, CA 94114, USA
Zweck: Transaktionale E-Mails (Registrierung, Passwort-Reset, Benachrichtigungen)
Rechtsgrundlage: EU-Standardvertragsklauseln; DSGVO-konformer E-Mail-Dienstleister
Datenkategorien: E-Mail-Adressen der Nutzer (Mitarbeiter der Einrichtung), kein Bewohner:innenbezug
Netlify Inc.
44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA
Zweck: Hosting der Webanwendung (Next.js), Serverless Functions, CDN
Rechtsgrundlage: EU-Standardvertragsklauseln; Netlify DPA abgeschlossen
Datenkategorien: Log-Daten, IP-Adressen (transient), keine Bewohner:innendaten direkt
Stripe Payments Europe, Ltd. / Stripe, Inc.
1 Grand Canal Street Lower, Dublin, Irland / 510 Townsend Street, San Francisco, CA 94103, USA
Zweck: Abonnementverwaltung und Zahlungsabwicklung (Kreditkarte, SEPA) für den SaaS-Dienst
Serverstandort: EU (Irland) und USA
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO; Stripe DPA (Data Processing Agreement) abgeschlossen
Datenkategorien: Rechnungsadresse, Zahlungsmitteldaten (Kreditkartendaten werden nicht beim Auftragnehmer gespeichert, sondern direkt von Stripe verarbeitet); keine Bewohner:innendaten
Anlage 2
gemäß Art. 32 DSGVO – Stand: April 2026
1. Zugangskontrolle (Unbefugte Nutzung verhindern)
2. Zugriffskontrolle (Nur berechtigte Zugriffe auf Daten)
3. Weitergabekontrolle (Unbefugte Übermittlung verhindern)
4. Eingabekontrolle (Nachvollziehbarkeit)
5. Verfügbarkeitskontrolle (Datensicherung)
6. Pseudonymisierung und Datensparsamkeit
7. Trennungsgebot (Mandantentrennung)
8. Organisatorische Maßnahmen
Stand: April 2026 · mein-nutrikompass.de ·LengAI – Digitale Lösungen (Inhaber: Christoph Lengowski), Dortmund