Da Wellnerapy personenbezogene Daten deiner Patient:innen in deinem Auftrag verarbeitet, schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag vor. Bitte lies ihn und bestätige unten. Du bist der oder die Verantwortliche, Hayek Digital Consulting ist Auftragsverarbeiter.
§ 1 Gegenstand und Dauer
Dieser Vertrag konkretisiert die Pflichten der Vertragsparteien zum Datenschutz, die sich aus der Nutzung von Wellnerapy ergeben. Er gilt für alle Tätigkeiten, bei denen der Auftragsverarbeiter (Hayek Digital Consulting, „Anbieter“) personenbezogene Daten im Auftrag des Verantwortlichen (Ihre Praxis bzw. Einrichtung) verarbeitet.
Der Vertrag wird mit Beginn der Nutzung wirksam und läuft für die Dauer des Nutzungsverhältnisses. Er endet automatisch mit Beendigung des Nutzungsverhältnisses, unabhängig von der Dauer der Testphase.
§ 2 Art und Zweck der Verarbeitung
Der Anbieter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung der vertraglich vereinbarten Leistungen: Verwaltung von Patient:innen, Erstellung und Zuweisung von Übungs- und Gesundheitsplänen, Erfassung von Check-ins und Fortschritten sowie Kommunikation zwischen Praxis und Patient:innen.
Eine Verarbeitung zu anderen Zwecken findet nicht statt. Der Anbieter verarbeitet die Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht nach Unionsrecht oder mitgliedstaatlichem Recht zur Verarbeitung verpflichtet ist.
§ 3 Art der Daten und Kreis der Betroffenen
Verarbeitet werden insbesondere: Stammdaten (Name, E-Mail-Adresse), Plan- und Übungsdaten, Check-in- und Fortschrittsdaten sowie Nachrichteninhalte. Gesundheitsbezogene Angaben (Art. 9 DSGVO) können enthalten sein und werden mit besonderer Sorgfalt behandelt.
Betroffene Personen sind die Patient:innen und Mitarbeitenden der Praxis, die die Anwendung nutzen.
§ 4 Pflichten des Anbieters
Der Anbieter verarbeitet Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen. Hält er eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.
Der Anbieter verpflichtet die zur Verarbeitung befugten Personen auf Vertraulichkeit, soweit diese nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Anbieter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Betroffenenrechte (Art. 12–23 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO).
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Anbieter trifft geeignete technische und organisatorische Maßnahmen zum Schutz der Daten. Dazu gehören insbesondere: verschlüsselte Datenübertragung (TLS), Zugriffsschutz über Authentifizierung und rollenbasierte Berechtigungen (Row-Level-Security je Praxis), getrennte Mandantendaten, regelmäßige Sicherungen sowie der Betrieb in Rechenzentren innerhalb der EU.
Gesundheits- und Check-in-Daten der Patient:innen sind technisch so abgesichert, dass nur die berechtigte Praxis und die betroffene Person selbst darauf zugreifen können.
§ 6 Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu. Der Anbieter stellt durch vertragliche Vereinbarungen sicher, dass diese ein angemessenes Datenschutzniveau gewährleisten.
Eingesetzte Unterauftragsverarbeiter: Supabase Inc. (Datenbank, Auth, Speicher; EU), Hetzner Online GmbH (Server-Hosting; Deutschland), Amazon Web Services EMEA SARL / AWS Bedrock (KI-Funktionen; Region Frankfurt, Deutschland), Stripe Payments Europe, Ltd. / Stripe, Inc. (Zahlungsabwicklung und Rechnungen; Irland / USA) sowie Resend, Inc. (E-Mail-Versand; USA).
Soweit Unterauftragsverarbeiter personenbezogene Daten außerhalb der EU/des EWR verarbeiten (insbesondere Stripe und Resend in den USA), erfolgt dies auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO, namentlich der EU-Standardvertragsklauseln und – soweit zertifiziert – des EU-U.S. Data Privacy Framework.
Über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern wird der Anbieter den Verantwortlichen vorab informieren.
§ 7 Meldung von Verletzungen
Der Anbieter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei den Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.
§ 8 Löschung und Rückgabe
Nach Abschluss der Verarbeitung löscht der Anbieter die Daten nach Wahl des Verantwortlichen oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann Patient:innen und deren Daten jederzeit über die Anwendung selbst löschen.
§ 9 Kontrollrechte
Der Anbieter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen in angemessenem Rahmen.
Anlage: Unterauftragsverarbeiter
- Supabase Inc. – Datenbank, Authentifizierung und Datei-Speicher (Hosting der Anwendungsdaten) (Rechenzentrum innerhalb der EU (Region Frankfurt/Zentraleuropa))
- Hetzner Online GmbH – Server-Hosting der Anwendung (Web-Application) (Deutschland (EU))
- Amazon Web Services EMEA SARL (AWS Bedrock) – KI-gestützte Funktionen (Übungsplan- und Antwortvorschläge) (Region Frankfurt, Deutschland (EU))
- Stripe Payments Europe, Ltd. (ggf. Stripe, Inc.) – Zahlungsabwicklung und Rechnungsstellung (Abonnement) (Irland (EU) / USA – Garantien: EU-Standardvertragsklauseln, EU-U.S. Data Privacy Framework)
- Resend, Inc. – Versand transaktionaler und automatisierter E-Mails (USA – Garantien: EU-Standardvertragsklauseln, EU-U.S. Data Privacy Framework)