Auftragsverarbeitungsvertrag

2.1 VitaFlow Care als Verantwortlicher

VitaFlow Care handelt als Verantwortlicher für: Plattformbenutzerkonten, Plattformnutzungsdaten und Analysen, Kommunikation über unsere Systeme, Abrechnung und Abonnementverwaltung, Marketingkommunikation (mit Einwilligung).

Unsere Verantwortlichkeiten: Zwecke und Mittel der Verarbeitung bestimmen, Rechtsgrundlage sicherstellen, angemessene Maßnahmen implementieren, auf Anfragen betroffener Personen reagieren, belgische GBA über Verstöße innerhalb von 72 Stunden informieren, Verarbeitungsaufzeichnungen führen.

2.2 Praktiker als Verantwortliche

Praktiker handeln als Verantwortliche für: Gesundheitsdaten von Klienten, die während Terminen erhoben werden, Fragebogenantworten, klinische Notizen und Behandlungsunterlagen, außerhalb der Plattform erhobene Daten.

Verantwortlichkeiten der Praktiker: DSGVO und belgische Gesundheitsgesetze einhalten, ausdrückliche Einwilligung für Gesundheitsdaten einholen, berufliche Vertraulichkeit wahren, Rechtsgrundlage für Verarbeitung haben, Rechte betroffener Personen respektieren, Versicherung und Compliance aufrechterhalten.

2.3 VitaFlow Care als Auftragsverarbeiter

VitaFlow Care handelt als Auftragsverarbeiter im Auftrag der Praktiker für: Speicherung von Kliententermindaten, Nachrichtenübermittlung, Speicherung von Fragebogenantworten, Verwaltung von Klientenakten.

Unsere Verantwortlichkeiten: Nur gemäß dokumentierten Anweisungen des Praktikers verarbeiten, Vertraulichkeit des Personals sicherstellen, Sicherheitsmaßnahmen implementieren, bei Anfragen betroffener Personen unterstützen, bei Verstößmeldungen unterstützen, Daten auf Anfrage löschen oder zurückgeben.

2.4 Gemeinsam Verantwortliche

VitaFlow Care und Praktiker können gemeinsam Verantwortliche sein für: Terminbuchungen und -verwaltung, automatische Terminerinnerungen, Wartelistenverwaltung.

Gemeinsame Verantwortlichkeiten: Wir bestimmen gemeinsam Zwecke und Mittel, informieren betroffene Personen transparent über unsere jeweiligen Rollen, haben eine Vereinbarung über unsere jeweiligen Verantwortlichkeiten.

3.1 Genehmigte Verarbeitung

Durch die Nutzung der Plattform weisen Praktiker VitaFlow Care an: Klientenprofile und Terminhistorie zu speichern, Terminbuchungen zu ermöglichen, Nachrichten zu übermitteln, Fragebogenantworten zu speichern, Erinnerungen und Benachrichtigungen zu senden, Wartelisten zu verwalten, Praxisanalysen bereitzustellen.

Verbotene Verarbeitung

VitaFlow Care wird NICHT: Klientendaten für nicht autorisierte Zwecke verarbeiten, Klientendaten außer an Unterauftragsverarbeiter weitergeben, Klientendaten ohne Einwilligung für Marketing verwenden, Daten außerhalb der EU/EWR ohne angemessene Garantien verarbeiten.

3.2 Änderungen der Anweisungen

Praktiker können Anweisungen über Dashboard-Einstellungen oder per E-Mail an [email protected] ändern. Wir bestätigen die Durchführbarkeit innerhalb von 10 Werktagen.

4.1 Genehmigte Unterauftragsverarbeiter

VitaFlow Care beauftragt folgende Unterauftragsverarbeiter:

• Supabase: Datenbank, Auth, Speicher - EU (Frankfurt, Deutschland)
• Hetzner: Backend-Hosting - EU-Infrastruktur
• Vercel: Frontend-Hosting - EU Edge
• Cloudflare: CDN, Speicher & DNS - Global (EU-Residenz)
• Resend: E-Mail-Zustellung - EU-konform
• Polar: Zahlungsverarbeitung - EU
• Google/Microsoft: Kalender-APIs - Global (DSGVO-konform)

4.2 Anforderungen an Unterauftragsverarbeiter

Wir stellen sicher, dass alle Unterauftragsverarbeiter: Daten nur gemäß unseren Anweisungen verarbeiten, Vertraulichkeit wahren, angemessene Sicherheit implementieren, bei Anfragen betroffener Personen unterstützen, uns sofort über Verstöße informieren, Audits ermöglichen.

4.3 Änderungen bei Unterauftragsverarbeitern

Wir informieren Praktiker mindestens 30 Tage vor der Beauftragung neuer Unterauftragsverarbeiter. Praktiker können innerhalb von 15 Tagen widersprechen; wenn wir nicht entgegenkommen können, können sie ohne Strafe kündigen.

5.1 Technische Maßnahmen

Verschlüsselung: TLS 1.3 für Daten während der Übertragung, AES-256 für Daten im Ruhezustand, Verschlüsselung auf Datenbankebene, Ende-zu-Ende verschlüsselte Backups.

Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), MFA für Administratorkonten, eindeutige Benutzeranmeldedaten, automatisches Sitzungs-Timeout, regelmäßige Zugriffsüberprüfungen.

Netzwerksicherheit: Firewall-Schutz, Intrusion Detection und Prevention, DDoS-Mitigation (Cloudflare), VPC-Isolation, regelmäßige Schwachstellenscans.

Anwendungssicherheit: Eingabevalidierung, SQL-Injection-Prävention, XSS-Schutz, CSRF-Schutz, Sicherheits-Header, regelmäßige Code-Reviews.

5.2 Organisatorische Maßnahmen

Personalsicherheit: Hintergrundüberprüfungen, Vertraulichkeitsvereinbarungen, regelmäßige Sicherheitsschulungen, dokumentierte Richtlinien, Prinzip der minimalen Rechte.

Physische Sicherheit: ISO 27001 zertifizierte Rechenzentren, 24/7 Sicherheit und Überwachung, biometrischer Zugang, Umgebungskontrollen.

Betriebssicherheit: Änderungsmanagement, Incident-Response-Plan, Business Continuity und Disaster Recovery, regelmäßige Audits und Penetrationstests.

5.3 Tests und Audits

Regelmäßige Tests: Jährliche Penetrationstests, vierteljährliche Schwachstellenbewertungen, kontinuierliche Überwachung, halbjährliche Disaster-Recovery-Tests. Compliance-Audits: Jährlich SOC 2 Type 2, DSGVO-Bewertungen, vierteljährliche interne Audits.

6.1 Unterstützung bei Anfragen betroffener Personen

Auskunftsrecht (Artikel 15): Datenexportfunktion, maschinenlesbares Format (JSON, CSV) innerhalb von 30 Tagen.

Recht auf Berichtigung (Artikel 16): Aktualisierungen ermöglichen, Ungenauigkeiten innerhalb von 5 Werktagen korrigieren.

Recht auf Löschung (Artikel 17): Löschung auf Anweisung innerhalb von 30 Tagen, Löschung aus Backups innerhalb von 90 Tagen (außer gesetzlich vorgeschriebene Aufzeichnungen).

Recht auf Datenübertragbarkeit (Artikel 20): Strukturiertes, maschinenlesbares Format, Übertragung an anderen Verantwortlichen ermöglichen.

Widerspruchsrecht (Artikel 21): Verarbeitung bei Widerspruch einstellen, soweit gesetzlich zulässig.

Recht auf Einschränkung der Verarbeitung (Artikel 18): Verarbeitung vorübergehend aussetzen, Daten als eingeschränkt markieren.

6.2 Antwortfristen

Erste Antwort: Anfrage innerhalb von 5 Werktagen bestätigen.

Vollständige Antwort: Innerhalb von 30 Tagen (kann für komplexe Anfragen auf 60 Tage verlängert werden).

Dringende Anfragen: Priorisiert für Situationen mit potenziellem Schaden.

7.1 Meldepflichten

An belgische GBA: Meldung innerhalb von 72 Stunden mit Beschreibung der Verletzung, betroffenen Kategorien und Umfang, wahrscheinlichen Folgen, Minderungsmaßnahmen, Kontaktstelle.

An betroffene Praktiker: Meldung ohne unangemessene Verzögerung (typischerweise innerhalb von 24 Stunden), Bereitstellung von Verletzungsdetails und Minderungsschritten.

An betroffene Personen (falls erforderlich): Direkte Benachrichtigung bei hohem Risiko, klare Beschreibung, Schritte zum Selbstschutz.

7.2 Reaktionsprozess bei Verletzungen

Erkennung & Eindämmung (0-2 Stunden): Betroffene Systeme identifizieren und isolieren, weiteren Zugriff verhindern, Beweise sichern.

Bewertung (2-24 Stunden): Umfang und Schwere bestimmen, betroffene Daten und Personen identifizieren, Risiko bewerten.

Meldung (24-72 Stunden): Belgische GBA benachrichtigen (falls erforderlich), Praktiker und betroffene Personen (bei hohem Risiko).

Untersuchung & Behebung (72 Stunden - 30 Tage): Ursachenanalyse, Korrekturmaßnahmen implementieren, Sicherheit aktualisieren.

7.3 Pflichten der Praktiker

Wenn Praktiker von einer Verletzung erfahren, müssen sie: Uns sofort über [email protected] informieren, Vorfallsdetails bereitstellen, bei der Untersuchung kooperieren, Anforderungen zur Verletzungsmeldung an ihre Klienten befolgen, falls zutreffend.

8.1 Datenstandort

Alle personenbezogenen Daten werden auf EU-Servern gespeichert (Deutschland: Supabase). Backups werden in der EU gespeichert. Keine regelmäßigen Übertragungen außerhalb der EU/EWR.

8.2 Übertragungen in Drittländer

Wenn eine Übertragung außerhalb der EU/EWR erforderlich ist, übertragen wir nur in Länder mit angemessenem Schutz über: Angemessenheitsbeschluss der Europäischen Kommission (Artikel 45), Standardvertragsklauseln (Artikel 46), Verbindliche interne Datenschutzvorschriften, EU-US-Datenschutzrahmen.

9.1 Aufbewahrungsfristen

Kontodaten: Aufbewahrt während aktiv; innerhalb von 90 Tagen nach Schließung gelöscht.

Termindaten: Vergangene Termine werden 7 Jahre aufbewahrt (belgische Anforderung für medizinische Unterlagen).

Gesundheitsdaten (Fragebögen): 7 Jahre nach dem letzten Termin aufbewahrt oder gemäß beruflichen Verpflichtungen.

Nachrichten: 5 Jahre für rechtliche Compliance aufbewahrt.

Finanzunterlagen: 7 Jahre aufbewahrt (belgisches Steuerrecht).

Analysedaten: Individuelle Daten nach 2 Jahren anonymisiert; aggregierte Daten unbegrenzt aufbewahrt.

Backups: 90 Tage aufbewahrt.

9.2 Löschverfahren

Bei Kontolöschung: Zugang sofort deaktivieren, personenbezogene Daten innerhalb von 30 Tagen löschen, aus Backups innerhalb von 90 Tagen löschen, nur gesetzlich vorgeschriebene Aufzeichnungen aufbewahren. Sichere Löschmethoden einschließlich kryptografischer Löschung.

9.3 Rückgabe oder Löschung bei Beendigung

Bei Beendigung können Praktiker anfordern: Rückgabe aller Klientendaten (innerhalb von 30 Tagen bereitgestellt), oder Löschung aller Klientendaten (innerhalb von 90 Tagen abgeschlossen). Schriftliche Bestätigung der Löschung wird bereitgestellt.

10.1 Haftung von VitaFlow Care

Wir haften für Verstöße, die durch unsere Fahrlässigkeit oder vorsätzliches Fehlverhalten verursacht werden. Die Gesamthaftung übersteigt nicht den höheren Betrag von 100.000 € pro Vorfall oder den in den vorangegangenen 12 Monaten gezahlten Betrag. Dies gilt nicht für grobe Fahrlässigkeit, vorsätzliches Fehlverhalten oder nicht beschränkbare Haftung nach belgischem Recht.

10.2 Haftung der Praktiker

Praktiker haften für die Erteilung rechtswidriger Verarbeitungsanweisungen, das Nichteinholen erforderlicher Einwilligungen und die Nichteinhaltung der DSGVO-Pflichten als Verantwortlicher.

10.3 Gegenseitige Freistellung

Jede Partei wird die andere von regulatorischen Bußgeldern, Ansprüchen Dritter und Kosten der Verletzungsbehebung freistellen, die aus Datenschutzverstößen der anderen Partei entstehen.

12.1 Auditrechte der Praktiker

Praktiker können Informationen, Auditberichte (SOC 2) anfordern und Audits durchführen, um die DSGVO-Konformität zu überprüfen. Anforderungen: 30 Tage schriftliche Vorankündigung, auf einmal pro Jahr begrenzt, sofern keine Verletzung vermutet wird, Praktiker trägt Kosten. Wir stellen jährliche SOC 2 Type 2 Berichte kostenlos zur Verfügung.

12.2 Regulatorische Audits

Wir kooperieren vollständig bei Audits durch die belgische GBA und andere zuständige Aufsichtsbehörden.

13.1 Eskalationsprozess

Bei Streitigkeiten: Zunächst informelle Lösung versuchen, dann Eskalation an Management und Mediation. Wenn nicht innerhalb von 60 Tagen gelöst, rechtliche Schritte vor belgischen Gerichten.

13.2 Aufsichtsbehörde

Beide Parteien können eine Beschwerde bei der Belgischen Datenschutzbehörde einreichen.