Vertrag über die Auftragsbearbeitung (ADV)
Anlage zu den AGB für Therapeutinnen und Therapeuten. Regelt die Bearbeitung von Personendaten der Nutzer durch die RealHealers GmbH (Auftragsbearbeiterin) im Auftrag der Therapeutin oder des Therapeuten (Verantwortliche/r) nach Art. 9 des Schweizer Datenschutzgesetzes (nDSG). Fassung vom 5. Juli 2026.
Letzte Aktualisierung: 05.07.2026
Parteien und Präambel
Was das für dich heisst: Dieser Vertrag gilt automatisch, sobald du die AGB als Therapeut:in akzeptierst — er regelt, was RealHealers mit den Daten deiner Klient:innen in deinem Auftrag tun darf.
Dieser Vertrag über die Auftragsbearbeitung («Vertrag») ist eine Anlage zu den Allgemeinen Geschäftsbedingungen für Therapeutinnen und Therapeuten («AGB») und wird geschlossen zwischen: der RealHealers GmbH, Glatthof 6, 9245 Oberbüren, Schweiz, eingetragen im Handelsregister des Kantons St. Gallen, UID CHE-294.364.545 (nachfolgend «Auftragsbearbeiterin» oder «RealHealers»), und der Therapeutin oder dem Therapeuten (nachfolgend «Verantwortliche/r» oder «Therapeut/in»). Er kommt mit der Annahme der AGB durch den Therapeuten zustande. Die Identifikationsdaten des Therapeuten sind die im Registrierungsformular oder im Konto-Bereich angegebenen Daten.
In Erwägung, dass: RealHealers die Plattform unter https://realhealers.com («Plattform») betreibt, über die sie elektronische Dienste für Therapeuten und Nutzer erbringt, einschliesslich Funktionen zum Anbieten, Buchen, Abwickeln, Durchführen und Dokumentieren von Sitzungen;
zwischen dem Therapeuten und RealHealers ein Vertrag über die Nutzung der Plattform besteht, auf dessen Grundlage der Therapeut die Funktionen der Plattform nutzt, um Leistungen für Nutzer anzubieten und zu erbringen;
der Therapeut seine Leistungen gegenüber den Klientinnen und Klienten der Plattform («Nutzer») auf Grundlage eines gesondert und unmittelbar mit dem Nutzer geschlossenen Vertrags über die Durchführung einer Sitzung erbringt;
der Therapeut im Zusammenhang mit seinen Leistungen Personendaten der Nutzer erhebt und bearbeitet, einschliesslich besonders schützenswerter Personendaten im Sinne von Art. 5 lit. c nDSG, insbesondere Daten über die körperliche und psychische Gesundheit sowie weitere in der Sitzung offengelegte Informationen;
RealHealers, soweit der Therapeut die Plattformdienste nutzt, Personendaten der Nutzer im Auftrag des Therapeuten als Auftragsbearbeiterin im Sinne von Art. 9 nDSG bearbeiten kann;
ausserhalb des Anwendungsbereichs dieses Vertrags diejenigen Tätigkeiten bleiben, bei denen RealHealers Personendaten als eigenständige Verantwortliche bearbeitet, insbesondere im Zusammenhang mit dem Betrieb der Plattform, der Konto-, Zahlungs- und Abrechnungsverwaltung, der Sicherheit der Plattform, der Statistik, der Missbrauchsbekämpfung, der Behandlung von Beanstandungen, der Verfolgung von Ansprüchen sowie der Erfüllung eigener gesetzlicher Pflichten;
die Parteien die Bearbeitung der vom Verantwortlichen der Auftragsbearbeiterin übertragenen Personendaten im Einklang mit dem Schweizer Bundesgesetz über den Datenschutz vom 25. September 2020 (nDSG; SR 235.1) und der Datenschutzverordnung (DSV; SR 235.11) regeln wollen — schliessen die Parteien in Erfüllung der Anforderungen von Art. 9 nDSG diesen Vertrag mit folgendem Inhalt.
§ 1 Vertragsgegenstand und Begriffe
Was das für dich heisst: Hier steht, worum es geht und was die zentralen Begriffe bedeuten — von «Personendaten» bis «Plattformdienste».
Der Verantwortliche überträgt der Auftragsbearbeiterin die Bearbeitung von Personendaten nach Massgabe und zu den Zwecken dieses Vertrags (Art. 9 Abs. 1 nDSG). Die Übertragung ist zulässig, weil die Daten so bearbeitet werden, wie es der Verantwortliche selbst tun dürfte, und keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet; der Verantwortliche bestätigt dies mit der Annahme dieses Vertrags.
Die Auftragsbearbeiterin erklärt, dass sie die ihr übertragenen Personendaten im Einklang mit diesem Vertrag, dem nDSG, der DSV und den weiteren anwendbaren Datenschutzvorschriften bearbeitet.
Für die Zwecke dieses Vertrags vereinbaren die Parteien folgende Begriffsbedeutungen: Personendaten — alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (Art. 5 lit. a nDSG), soweit sie der Auftragsbearbeiterin nach diesem Vertrag im Umfang von § 3 übertragen werden; Besonders schützenswerte Personendaten — Daten nach Art. 5 lit. c nDSG, insbesondere Daten über die Gesundheit und die Intimsphäre; Vertrauliche Daten — sämtliche Informationen, Daten, Materialien, Dokumente und Personendaten, die vom Verantwortlichen oder von mit ihm zusammenarbeitenden Personen erhalten oder auf andere Weise erlangt wurden, in mündlicher, schriftlicher, elektronischer oder anderer Form; Unterauftragsbearbeiter — ein Dritter, dem RealHealers die weitere Bearbeitung der von diesem Vertrag erfassten Personendaten ausschliesslich im für die Erbringung der Plattformdienste erforderlichen Umfang überträgt (insbesondere Hosting, Datenspeicherung, Kommunikation, Transkription, Notizenerstellung oder KI-Werkzeuge), auf Grundlage eines Vertrags, der den Anforderungen von Art. 9 nDSG entspricht; Bearbeiten — jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren (Art. 5 lit. d nDSG); AGB — das Dokument, das die Erbringung elektronischer Dienste durch RealHealers gegenüber Therapeuten und die Bedingungen der Nutzung der Plattform regelt; Plattformdienste — Funktionen der Plattform zur Vorbereitung, Abwicklung, Durchführung oder Dokumentation der vom Therapeuten für den Nutzer erbrachten Sitzung (unter anderem Kommunikation, Buchungsabwicklung, Speicherung von Materialien, Aufzeichnungen, automatische Transkription, Erstellung von Notizen oder Zusammenfassungen sowie KI-Werkzeuge), soweit verfügbar und vom Therapeuten genutzt.
§ 2 Erklärungen der Parteien
Was das für dich heisst: Du bist und bleibst für die Daten deiner Klient:innen verantwortlich — RealHealers arbeitet in deinem Auftrag; für den Betrieb der Plattform selbst ist RealHealers eigenständig verantwortlich.
Der Verantwortliche erklärt, dass er Verantwortlicher im Sinne von Art. 5 lit. j nDSG ist, das heisst, dass er allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung der Personendaten entscheidet.
Die Auftragsbearbeiterin erklärt, dass sie Auftragsbearbeiterin im Sinne von Art. 5 lit. k nDSG ist, das heisst, dass sie Personendaten im Auftrag des Verantwortlichen bearbeitet.
Der Therapeut nimmt zur Kenntnis, dass RealHealers Personendaten der Nutzer auch als eigenständige Verantwortliche bearbeiten kann, im in den AGB und in der Datenschutzerklärung von RealHealers beschriebenen Umfang.
Der Verantwortliche bestätigt, dass der Übertragung der Bearbeitung keine gesetzliche oder vertragliche Geheimhaltungspflicht entgegensteht (Art. 9 Abs. 1 lit. b nDSG). Soweit der Therapeut einem Berufsgeheimnis untersteht (insbesondere Art. 321 StGB), prüft er in eigener Verantwortung, ob und in welchem Umfang die Nutzung der Plattformdienste damit vereinbar ist, und holt erforderlichenfalls die Zustimmung der betroffenen Personen ein.
§ 3 Umfang und Zweck der Bearbeitung
Was das für dich heisst: RealHealers bearbeitet in deinem Auftrag nur die Klient:innendaten, die durch deine Nutzung der Plattformdienste anfallen — und nur, damit diese Dienste funktionieren.
Die Auftragsbearbeitung umfasst ausschliesslich Personendaten der Nutzer, die von RealHealers im Auftrag des Therapeuten im Zusammenhang mit dessen Nutzung der Plattformdienste bearbeitet werden.
Ausserhalb des Anwendungsbereichs dieses Vertrags bleibt die Bearbeitung von Personendaten durch RealHealers als eigenständige Verantwortliche, insbesondere für den Betrieb der Plattform, die Einrichtung und Verwaltung von Konten, die Darstellung der Therapeuten-Profile, die Sicherheit der Plattform, die Missbrauchsbekämpfung, die Behandlung von Beanstandungen, die Verfolgung von Ansprüchen, die Erfüllung gesetzlicher Pflichten, die Produktstatistik, die Weiterentwicklung der Plattform sowie die Leistungen Dritter, einschliesslich der Zahlungsabwicklung.
Der Umfang der übertragenen Personendaten umfasst insbesondere: (a) Identifikationsdaten der Nutzer (Vor- und Nachname, Geburtsdatum, Geschlecht); (b) Kontaktdaten der Nutzer (Telefonnummer, E-Mail-Adresse, Korrespondenzadresse, soweit angegeben); (c) vor der Sitzung übermittelte Daten, einschliesslich Video- und Sprachaufnahmen oder anderer vom Nutzer freiwillig übermittelter Materialien; (d) Daten aus der vor der Sitzung über die Plattform geführten Kommunikation zwischen Therapeut und Nutzer; (e) während der Sitzung übermittelte Daten; (f) Daten aus Sprachnotizen des Therapeuten, Transkriptionen oder mit KI-Werkzeugen erstellten Kurznotizen, sofern der Nutzer ausdrücklich eingewilligt hat.
Die in Abs. 3 lit. c–f genannten Daten können besonders schützenswerte Personendaten im Sinne von Art. 5 lit. c nDSG umfassen, insbesondere Daten über die psychische und körperliche Gesundheit, das Befinden, die Intimsphäre, religiöse oder weltanschauliche Ansichten, familiäre Beziehungen, persönliche Erfahrungen, Lebenskrisen, Traumata oder andere besonders sensible Informationen.
Die übertragenen Personendaten werden von RealHealers ausschliesslich im für die Bereitstellung, den Betrieb und die technische Abwicklung der vom Therapeuten genutzten Plattformdienste erforderlichen Umfang bearbeitet.
Der Verantwortliche ist allein dafür verantwortlich, die Einwilligung des Nutzers nach Abs. 3 lit. f einzuholen und deren Erteilung nachzuweisen.
Der Therapeut ist als Verantwortlicher für die Rechtmässigkeit der Bearbeitung verantwortlich, insbesondere für die Einhaltung der Bearbeitungsgrundsätze nach Art. 6 nDSG, die Erfüllung der Informationspflichten gegenüber den Nutzern nach Art. 19 nDSG sowie die Einholung der erforderlichen — bei besonders schützenswerten Personendaten ausdrücklichen (Art. 6 Abs. 7 nDSG) — Einwilligungen, einschliesslich für Aufzeichnung, Transkription, Notizenerstellung oder den Einsatz von KI-Werkzeugen, soweit erforderlich.
Der Therapeut ist verantwortlich für den Inhalt der Daten und Materialien, die er in die Plattform eingibt oder über sie übermittelt, sowie für die Vereinbarkeit seiner Weisungen mit dem nDSG und den übrigen Rechtsvorschriften.
Dokumentierte Weisungen des Therapeuten sind: die AGB, dieser Vertrag, die vom Therapeuten auf der Plattform gewählten Einstellungen sowie die von ihm im Rahmen der Nutzung der Plattformdienste vorgenommenen Handlungen.
§ 4 Pflichten der Auftragsbearbeiterin
Was das für dich heisst: RealHealers hält sich an deine Weisungen, sichert die Daten, verpflichtet alle Beteiligten zur Vertraulichkeit und unterstützt dich, wenn Klient:innen ihre Rechte geltend machen.
Die Auftragsbearbeiterin verpflichtet sich: die Personendaten ausschliesslich auf dokumentierte Weisung des Verantwortlichen und nur so zu bearbeiten, wie es der Verantwortliche selbst tun dürfte (Art. 9 Abs. 1 lit. a nDSG), es sei denn, eine Bearbeitungspflicht ergibt sich aus dem für die Auftragsbearbeiterin geltenden Recht; in diesem Fall informiert sie den Verantwortlichen vor der Bearbeitung über diese Pflicht, sofern das Recht eine solche Information nicht verbietet;
den Verantwortlichen zu informieren, wenn eine erteilte Weisung nach ihrer Einschätzung gegen das nDSG oder andere Datenschutzvorschriften verstösst;
durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten (Art. 8 nDSG in Verbindung mit Art. 1 ff. DSV) und dabei dem Stand der Technik, der Art und dem Umfang der Bearbeitung sowie dem Risiko für die betroffenen Personen Rechnung zu tragen;
sicherzustellen, dass die zur Bearbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterstehen;
den Zugang zu den Personendaten auf Personen und Stellen zu beschränken, die ihn für die Erbringung der Plattformdienste benötigen;
ein Verzeichnis der Bearbeitungstätigkeiten zu führen, soweit sie dazu nach Art. 12 Abs. 3 nDSG verpflichtet ist;
den Verantwortlichen unter Berücksichtigung der Art der Bearbeitung und der ihr verfügbaren Informationen dabei zu unterstützen, Begehren betroffener Personen zu beantworten — insbesondere Auskunftsbegehren nach Art. 25 nDSG und Begehren um Datenherausgabe oder -übertragung nach Art. 28 nDSG — und die Pflichten bei Verletzungen der Datensicherheit (Art. 24 nDSG) sowie eine allfällige Datenschutz-Folgenabschätzung (Art. 22 nDSG) zu erfüllen; erreicht ein Begehren einer betroffenen Person die Auftragsbearbeiterin direkt, leitet sie es unverzüglich an den Verantwortlichen weiter;
den Verantwortlichen über den Einsatz von Automatisierungs- oder KI-Werkzeugen zu informieren, soweit dies für die Erfüllung seiner datenschutzrechtlichen Pflichten erforderlich ist.
Die Pflichten der Auftragsbearbeiterin zum Einsatz von Unterauftragsbearbeitern, zur Meldung von Verletzungen der Datensicherheit, zum Nachweis der Einhaltung, zum Audit und zur Beendigung der Auftragsbearbeitung regeln die weiteren Bestimmungen dieses Vertrags.
§ 5 Unterauftragsbearbeitung
Was das für dich heisst: RealHealers darf technische Dienstleister einsetzen (Liste im Anhang) — bei Wechseln wirst du informiert und kannst aus Datenschutzgründen widersprechen.
Die Auftragsbearbeiterin darf Unterauftragsbearbeiter im für die Erbringung der Plattformdienste erforderlichen Umfang einsetzen. Der Verantwortliche erteilt hierzu seine vorgängige generelle Genehmigung im Sinne von Art. 9 Abs. 3 nDSG.
Die aktuelle Liste der Unterauftragsbearbeiter ist Anhang 1 zu diesem Vertrag oder wird dem Verantwortlichen auf der Plattform, im Konto-Bereich oder auf andere von der Auftragsbearbeiterin angegebene Weise zugänglich gemacht.
Die Auftragsbearbeiterin stellt durch Vertrag sicher, dass die Unterauftragsbearbeiter zum Schutz der Personendaten in dem Umfang verpflichtet sind, der den Anforderungen von Art. 9 nDSG entspricht, einschliesslich der Gewährleistung der Datensicherheit nach Art. 8 nDSG.
Die Auftragsbearbeiterin informiert den Verantwortlichen über einen geplanten Wechsel oder eine geplante Ergänzung der Unterauftragsbearbeiter auf die für die Kommunikation mit Therapeuten übliche Weise. Der Verantwortliche kann innert 14 Tagen nach Erhalt der Information einen begründeten Widerspruch gegen die Änderung erheben, ausschliesslich aus Gründen des Datenschutzes.
Bleibt ein Widerspruch innert der Frist nach Abs. 4 aus, gilt die Änderung als genehmigt.
Ein Widerspruch hindert die Auftragsbearbeiterin nicht daran, eine Änderung vorzunehmen, wenn diese für die Kontinuität, die Sicherheit oder die Rechtskonformität der Plattform erforderlich ist. In diesem Fall kann der Verantwortliche die Nutzung der betroffenen Plattformdienste beenden oder den Vertrag über die Nutzung der Plattform kündigen.
§ 6 Meldung von Verletzungen der Datensicherheit
Was das für dich heisst: Passiert eine Datenpanne, erfährst du es von RealHealers so schnell wie möglich, spätestens innert 48 Stunden — mit allen Informationen, die du für deine eigenen Pflichten brauchst.
Die Auftragsbearbeiterin meldet dem Verantwortlichen eine festgestellte Verletzung der Datensicherheit, welche die von diesem Vertrag erfassten Personendaten betrifft, so rasch als möglich (Art. 24 Abs. 3 nDSG), spätestens jedoch innert 48 Stunden nach ihrer Feststellung.
Die Meldung umfasst die der Auftragsbearbeiterin verfügbaren Informationen, die der Verantwortliche für die Beurteilung der Verletzung und die Erfüllung seiner Pflichten nach Art. 24 nDSG benötigt, insbesondere und soweit möglich: die Art der Verletzung; die Kategorien und die ungefähre Zahl der betroffenen Personen; die Kategorien und die ungefähre Zahl der betroffenen Datensätze; die möglichen Folgen der Verletzung; die ergriffenen oder vorgesehenen Massnahmen zur Behebung der Verletzung oder zur Minderung ihrer Folgen; eine Kontaktstelle für weitere Informationen.
Die Auftragsbearbeiterin kann die Informationen schrittweise übermitteln, wenn zum Zeitpunkt der ersten Meldung noch nicht alle Informationen vorliegen.
Die Beurteilung, ob die Verletzung dem EDÖB zu melden ist und ob die betroffenen Personen zu informieren sind (Art. 24 Abs. 1 und 4 nDSG), obliegt dem Verantwortlichen. Die Auftragsbearbeiterin unterstützt ihn dabei im zumutbaren Umfang.
§ 7 Nachweis und Kontrollrecht
Was das für dich heisst: Du kannst dir jährlich kostenlos nachweisen lassen, dass RealHealers die Datenschutzpflichten einhält; aufwendigere Audits sind möglich, aber kostenpflichtig.
Die Auftragsbearbeiterin stellt dem Verantwortlichen die Informationen zur Verfügung, die für den Nachweis der Einhaltung der Pflichten aus Art. 8 und 9 nDSG erforderlich sind, soweit sie die im Auftrag des Verantwortlichen bearbeiteten Personendaten betreffen. Dies dient auch der Pflicht des Verantwortlichen, sich zu vergewissern, dass die Auftragsbearbeiterin die Datensicherheit gewährleisten kann (Art. 9 Abs. 2 nDSG).
Ein standardmässiges Dokumenten-Audit, das höchstens einmal pro Kalenderjahr durchgeführt wird und keinen ausserordentlichen Aufwand der Auftragsbearbeiterin erfordert, ist kostenlos.
Erfordert ein Audit einen ausserordentlichen Aufwand der Auftragsbearbeiterin — etwa die Erstellung zusätzlicher Unterlagen, den Einbezug von Mitarbeitenden oder externen Beratern, Übersetzungen, Besprechungen, zusätzliche technische Analysen oder Datenexporte —, kann die Auftragsbearbeiterin die Durchführung von der Übernahme der angemessenen Kosten durch den Verantwortlichen abhängig machen.
Ein Audit am Sitz der Auftragsbearbeiterin oder an einem anderen von ihr genutzten Standort ist nur in aussergewöhnlichen und begründeten Fällen möglich, nach vorgängiger Abstimmung von Termin, Umfang, Ablauf und Kosten, unter Wahrung der Vertraulichkeit und ohne Zugang zu Daten anderer Kunden, Nutzer oder Therapeuten oder zu Geschäftsgeheimnissen der Auftragsbearbeiterin.
Der Verantwortliche trägt seine eigenen Auditkosten sowie die angemessenen Kosten der Auftragsbearbeiterin, soweit das Audit über das standardmässige Dokumenten-Audit nach Abs. 2 hinausgeht.
Die Auftragsbearbeiterin kann ein Audit verweigern oder einschränken, wenn das Begehren übermässig oder unverhältnismässig ist, die Sicherheit der Plattform gefährdet, Rechte Dritter verletzt oder zur Offenlegung von Geschäftsgeheimnissen führen könnte.
§ 8 Bekanntgabe ins Ausland
Was das für dich heisst: Einige Dienstleister sitzen im Ausland — Übermittlungen erfolgen nur in Länder mit angemessenem Schutz oder mit anerkannten Vertragsklauseln.
Die Auftragsbearbeiterin hat ihren Sitz in der Schweiz. Die Bearbeitung der übertragenen Personendaten erfolgt teilweise durch Unterauftragsbearbeiter mit Sitz oder Bearbeitungsstandorten im Ausland (Anhang 1).
Eine Bekanntgabe von Personendaten ins Ausland erfolgt nur, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 nDSG in Verbindung mit Anhang 1 DSV — dazu gehören die Staaten der EU und des EWR sowie, für zertifizierte Organisationen nach dem Datenschutzrahmen Schweiz–USA, die USA), oder wenn ein geeigneter Datenschutz auf andere Weise gewährleistet ist, insbesondere durch Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat (Art. 16 Abs. 2 lit. d nDSG).
In Einzelfällen kann sich eine Bekanntgabe zusätzlich auf eine Ausnahme nach Art. 17 nDSG stützen, insbesondere auf den unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags.
Der Verantwortliche nimmt zur Kenntnis, dass die Erbringung der Plattformdienste den Einsatz von Unterauftragsbearbeitern mit Sitz oder Datenbearbeitung ausserhalb der Schweiz erfordern kann, nach Massgabe dieses Paragrafen und des Anhangs 1.
§ 9 Haftung
Was das für dich heisst: RealHealers haftet für eigene Fehler bei der Auftragsbearbeitung — nicht aber für Pflichten, die bei dir liegen, etwa fehlende Einwilligungen deiner Klient:innen.
Die Haftung der Auftragsbearbeiterin gegenüber dem Verantwortlichen aus diesem Vertrag ist auf den tatsächlichen Schaden beschränkt, den der Verantwortliche durch ein ausschliessliches Verschulden der Auftragsbearbeiterin erleidet, unter Vorbehalt zwingender gesetzlicher Bestimmungen (insbesondere Art. 100 OR) und der in den AGB vorgesehenen Haftungsgrenzen.
Die Auftragsbearbeiterin haftet nicht für Verletzungen, die aus Handlungen oder Unterlassungen des Verantwortlichen resultieren, insbesondere aus der Missachtung der Bearbeitungsgrundsätze nach Art. 6 nDSG, der Nichterfüllung von Informationspflichten nach Art. 19 nDSG, fehlenden oder ungültigen Einwilligungen, rechtswidrigen Weisungen, dem Inhalt der vom Verantwortlichen eingegebenen Daten oder einer nicht vertragsgemässen Nutzung der Plattform.
Wird die Auftragsbearbeiterin wegen einer Pflichtverletzung des Verantwortlichen in Anspruch genommen oder entstehen ihr daraus Kosten, Bussen, Entschädigungen oder andere Aufwendungen, so hält der Verantwortliche die Auftragsbearbeiterin im gesetzlich zulässigen Umfang schadlos und erstattet ihr die angemessenen Kosten und Aufwendungen.
Keine Bestimmung dieses Vertrags schliesst die Haftung gegenüber den betroffenen Personen aus oder beschränkt sie, soweit ein solcher Ausschluss oder eine solche Beschränkung nach dem anwendbaren Recht unzulässig wäre.
§ 10 Dauer der Auftragsbearbeitung; Rückgabe und Löschung
Was das für dich heisst: Der Vertrag läuft, solange du die Plattform nutzt — danach werden die Daten nach deiner Wahl zurückgegeben oder gelöscht, mit einer technischen Nachfrist für Backups.
Dieser Vertrag tritt mit der Annahme der AGB durch den Therapeuten in Kraft und gilt für die Dauer des zwischen dem Therapeuten und RealHealers bestehenden Vertrags über die Nutzung der Plattform.
Die Auftragsbearbeitung dauert so lange, wie der Verantwortliche die Plattformdienste nutzt, und nach deren Ende ausschliesslich für den Zeitraum, der für die Löschung, Rückgabe, Anonymisierung oder Sicherung der Personendaten nach den technischen Verfahren der Auftragsbearbeiterin erforderlich ist — es sei denn, eine weitere Aufbewahrung ist gesetzlich vorgeschrieben, für die Feststellung, Ausübung oder Abwehr von Rechtsansprüchen, für die Sicherheit der Plattform oder für die Erfüllung der Pflichten der Auftragsbearbeiterin als eigenständige Verantwortliche erforderlich.
Nach Beendigung der Plattformdienste löscht die Auftragsbearbeiterin die von der Auftragsbearbeitung erfassten Personendaten oder gibt sie nach Wahl des Verantwortlichen zurück, soweit eine weitere Aufbewahrung nicht nach Abs. 2 zulässig ist. Erteilt der Verantwortliche innert der von der Auftragsbearbeiterin angesetzten Frist keine abweichende Weisung, kann die Auftragsbearbeiterin die Personendaten nach ihren technischen und Aufbewahrungsverfahren löschen oder anonymisieren.
Die Löschung aus Sicherungskopien kann zu einem späteren, sich aus dem Backup-Zyklus und den Sicherheitsverfahren der Auftragsbearbeiterin ergebenden Zeitpunkt erfolgen, sofern die Daten bis dahin gegen unbefugten Zugriff gesichert bleiben und nicht aktiv verwendet werden.
§ 11 Beendigung
Was das für dich heisst: Dieser Vertrag hängt an deinem Plattform-Vertrag — endet der eine, endet auch der andere.
Dieser Vertrag endet mit der Beendigung des zwischen dem Verantwortlichen und der Auftragsbearbeiterin bestehenden Vertrags über die Nutzung der Plattform, es sei denn, eine weitere Bearbeitung ist nach § 10 zulässig.
Der Verantwortliche kann diesen Vertrag nicht getrennt vom Vertrag über die Nutzung der Plattform kündigen, unter Vorbehalt der Rechte aus zwingenden gesetzlichen Bestimmungen.
Verletzt die Auftragsbearbeiterin ihre Pflichten aus diesem Vertrag, kann der Verantwortliche die in den AGB oder in zwingenden gesetzlichen Bestimmungen vorgesehenen Rechtsbehelfe nutzen.
§ 12 Vertraulichkeit
Was das für dich heisst: Alles, was RealHealers über deine Klient:innen und deine Praxis erfährt, bleibt vertraulich — Ausnahmen gibt es nur, wo das Gesetz es verlangt.
Die Auftragsbearbeiterin verpflichtet sich, die Vertraulichen Daten geheim zu halten und sie Dritten nicht offenzulegen, mit Ausnahme der Unterauftragsbearbeiter und der von der Auftragsbearbeiterin zur Bearbeitung befugten Personen.
Die Auftragsbearbeiterin erklärt, dass die Vertraulichen Daten ohne schriftliche Zustimmung des Verantwortlichen zu keinem anderen Zweck als der Erfüllung dieses Vertrags verwendet, offengelegt oder zugänglich gemacht werden.
Die Geheimhaltungspflicht gilt nicht für Informationen, die: allgemein bekannt sind, sofern sie diesen Status nicht durch eine Verletzung dieser Vertraulichkeitsklausel erlangt haben; aufgrund gesetzlicher Vorschriften offenzulegen sind, ausschliesslich im erforderlichen Umfang; von einer zuständigen Behörde in der gesetzlich vorgesehenen Form verlangt werden, ausschliesslich im verlangten Umfang.
Die Offenlegung Vertraulicher Daten bedarf der vorgängigen schriftlichen Zustimmung des Verantwortlichen; in den Fällen nach Abs. 3 tritt an die Stelle der Zustimmung die schriftliche Information des Verantwortlichen über die erfolgte Offenlegung, soweit gesetzlich zulässig.
Diese Vertraulichkeitspflichten bestehen über die Beendigung dieses Vertrags hinaus fort.
§ 13 Schlussbestimmungen
Was das für dich heisst: Es gilt Schweizer Recht; ändert RealHealers diesen Vertrag, läuft das nach denselben Regeln wie eine AGB-Änderung.
Soweit in diesem Vertrag nicht geregelt, gelten die Bestimmungen des nDSG, der DSV sowie das übrige materielle Schweizer Recht. Gerichtsstand und weitere allgemeine Bestimmungen richten sich nach den AGB.
Sollte eine Bestimmung dieses Vertrags unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien ersetzen die unwirksame oder undurchführbare Bestimmung durch eine wirksame Regelung, die dem wirtschaftlichen Zweck der zu ersetzenden Bestimmung am nächsten kommt.
Die Auftragsbearbeiterin kann diesen Vertrag nach den für die Änderung der AGB vorgesehenen Regeln ändern.
Bei Widersprüchen zwischen diesem Vertrag und den AGB geht dieser Vertrag vor, ausschliesslich im Bereich der Auftragsbearbeitung von Personendaten.
Anhang 1 — Liste der Unterauftragsbearbeiter — ist integraler Bestandteil dieses Vertrags.
Anhang 1 — Liste der Unterauftragsbearbeiter
Was das für dich heisst: Das sind die technischen Dienstleister, die RealHealers heute einsetzt — mit Zweck, Standort und Absicherung der Auslandsübermittlung.
Der Verantwortliche genehmigt den Einsatz der folgenden Unterauftragsbearbeiter für die Erbringung der Plattformdienste (Name — Bearbeitungszweck — Standort/Grundlage der Auslandsbekanntgabe):
Supabase Inc. — Hosting von Datenbanken, Dateien und Anwendungslogik — Frankfurt, Deutschland (EU; angemessenes Schutzniveau gemäss Anhang 1 DSV).
Stripe Payments Europe Ltd. — Zahlungsabwicklung (Zahlungen für Leistungen der Therapeuten an Nutzer, Abonnements), Abrechnung der Provisionen — Dublin, Irland (EU; angemessenes Schutzniveau gemäss Anhang 1 DSV). Daten können an Stripe, Inc. in die USA übermittelt werden, gestützt auf die Zertifizierung nach dem Datenschutzrahmen Schweiz–USA sowie auf vom EDÖB anerkannte Standarddatenschutzklauseln.
Resend, Inc. — Versand transaktionaler E-Mails — USA; vom EDÖB anerkannte Standarddatenschutzklauseln.
Cloudflare, Inc. — Netzwerksicherheit, DDoS-Schutz, CDN, Traffic-Routing — USA; Zertifizierung nach dem Datenschutzrahmen Schweiz–USA, Standarddatenschutzklauseln.
Vercel, Inc. — Hosting und Betrieb der Plattform — USA; Zertifizierung nach dem Datenschutzrahmen Schweiz–USA, Standarddatenschutzklauseln.
Anthropic, PBC — KI-Funktionen, Erstellung von Notizen und Sitzungszusammenfassungen, Verarbeitung von Transkriptionen — USA; vom EDÖB anerkannte Standarddatenschutzklauseln.
Mapbox, Inc. — Karten, Standorte und Ortssuche — USA; vom EDÖB anerkannte Standarddatenschutzklauseln.
PostHog, Inc. — Produktanalytik, Nutzungsstatistiken, Ereignisanalyse — EU oder USA; bei Bearbeitung in den USA vom EDÖB anerkannte Standarddatenschutzklauseln.
Sentry (Functional Software, Inc.) — Fehlerüberwachung, Diagnostik, Sicherheit und Stabilität der Plattform — USA; Zertifizierung nach dem Datenschutzrahmen Schweiz–USA, Standarddatenschutzklauseln.