Auftragsverarbeitungsvertrag (AVV)

1. Gegenstand und Dauer des Auftrags

(1) Gegenstand: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erbringung der Software-as-a-Service-Leistungen "KundenLoop" (Verwaltung von Patienten, Buchungen, Treuepunkten, automatisierten Kampagnen und Gesundheitsbögen).

(2) Dauer: Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des zugrundeliegenden Hauptvertrages (Nutzung der SaaS-Plattform).

2. Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erheben, Speichern, Verändern, Auslesen, Verwenden und Löschen von Daten (Hosting der Datenbank, Hosting und Auslieferung von Mediendateien via Object Storage, Versand von Push- und SMS-Nachrichten, Fehlerprotokollierung, Bereitstellung von Schnittstellen).

(2) Zweck: Ermöglichung einer Patienten-App für die Klinik des Verantwortlichen, inkl. Terminverwaltung, Transaktions-, Loyalty-Management, medizinischer Anamnese und visueller Profilierung (Team-Fotos).

3. Kreis der Betroffenen & Art der Daten

(1) Betroffene Personen: Endkunden (Patienten) des Verantwortlichen sowie Mitarbeiter (Behandler/Admins) des Verantwortlichen.

(2) Art der Daten: Bestandsdaten (Vorname, Nachname, Geburtsdatum), Kontaktdaten (Telefonnummer, E-Mail), Vertrags- und Abrechnungsdaten (Transaktionssummen, Zahlungsstatus sowie kryptografische Zahlungs-Tokens via Stripe), Nutzungsdaten (Loyalty-Punkte, Termine, Geräte- und Crash-Informationen), sowie Bilddaten (z.B. Portraitfotos der Mitarbeiter für die Behandlerauswahl). Ferner werden im Rahmen der digitalen Gesundheitsfragebögen (Anamnese) besondere Kategorien personenbezogener Daten (Gesundheitsdaten gem. Art. 9 DSGVO, z. B. Angaben zu Allergien, Schwangerschaften oder Medikamenteneinnahme) verarbeitet.

4. Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter ergreift die erforderlichen Maßnahmen nach Art. 32 DSGVO zur Gewährleistung der Datensicherheit.

(2) Wesentliche Maßnahmen umfassen:
- Zugangskontrolle: Passwortlose Auth via SMS-OTP für Patienten, starke Passwörter für Admins (bcrypt-Hashing).
- Weitergabekontrolle: Durchgehende SSL/TLS-Verschlüsselung der Plattform (HTTPS).
- Verfügbarkeitskontrolle: Automatische Backups der PostgreSQL-Datenbank & sichere S3-Speicherung sowie aktives Fehler-Monitoring.
- Trennungsgebot: Mandantenfähigkeit in der Datenbank und logische Speichertrennung (Präfix nach `clinic_id`).

5. Unterauftragsverhältnisse

Der Verantwortliche stimmt der Beauftragung folgender Subunternehmer zur Verarbeitung der Daten zu:

• Hetzner Online GmbH (DE): Server-Hosting, Datenbank & S3 Object Storage (für Uploads von Medien).
• Stripe Inc. (USA) / Stripe Europe (EU): Zahlungsabwicklung & Klarna Integration.
• Twilio Inc. (USA): SMS-Versand (OTP-Authentifizierung).
• Expo / Exponent Inc. (USA): Versand von nativen Push-Benachrichtigungen.
• Functional Software, Inc. / Sentry (USA/EU): Erfassung und Auswertung von Systemfehlern (Crash-Tracking) in der Mobile-App und dem Dashboard.

Datenübermittlungen in Drittstaaten (wie die USA) werden durch das Data Privacy Framework (DPF) oder von der EU-Kommission genehmigte Standardvertragsklauseln (SCC) abgesichert.

6. Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen Mitteln bei der Erfüllung der Anfragen von Betroffenen (Art. 15 bis 22 DSGVO).

(2) KundenLoop stellt dem Verantwortlichen und dem Endkunden Funktionen in der App bereit (z. B. "Meine Daten anfordern" oder "Account löschen"), um Anfragen zur Datenübertragbarkeit und Löschung automatisiert nachzukommen.

7. Löschung und Rückgabe von Daten

(1) Nach Abschluss der vertraglichen Arbeiten oder auf Verlangen des Verantwortlichen wird der Auftragsverarbeiter alle im Rahmen des Auftrags in seinen Besitz gelangten personenbezogenen Daten löschen, es sei denn, dass nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.

(2) Unwiderrufliche Löschung von Gesundheitsdaten (Art. 9 DSGVO):
Wird ein Patienten-Account durch den Patienten selbst (über die in der App bereitgestellte Self-Service-Löschfunktion) oder auf Anweisung des Verantwortlichen gelöscht, werden alle mit dem Profil verknüpften besonderen Kategorien personenbezogener Daten (insbesondere beantwortete Gesundheits- und Anamnesebögen) systemseitig sofort und unwiderruflich physisch aus der Datenbank gelöscht (Hard-Delete). Für diese sensiblen Daten greifen aus Sicherheitsgründen bewusst keine verzögerten Löschfristen oder Soft-Delete-Mechanismen.