RealHealers

Vertrag zur Auftragsverarbeitung personenbezogener Daten (AVV/DPA)

Anlage zu den Bedingungen für Wegbegleiter:innen. Regelt die Auftragsverarbeitung personenbezogener Daten der Nutzer:innen durch den/die Wegbegleiter:in (Verantwortlicher) durch RealHealers GmbH (Auftragsverarbeiter) gemäß Art. 28 DSGVO. Verbindlich ist die polnische Fassung.

Letzte Aktualisierung: 2026-06-28

Parteien und Präambel

Dieser Vertrag zur Auftragsverarbeitung personenbezogener Daten ist eine Anlage zu den Bedingungen für Wegbegleiter:innen und wird geschlossen zwischen: RealHealers GmbH mit Sitz unter der Adresse Glatthof 6, 9245 Oberbüren, Schweiz, eingetragen im Handelsregister des Kantons St. Gallen (nachfolgend „Auftragsverarbeiter” oder „RealHealers”) und dem/der Wegbegleiter:in (nachfolgend „Verantwortlicher” oder „Wegbegleiter:in”) mit der Annahme der Bedingungen durch den/die Wegbegleiter:in. Die Identifikationsdaten des/der Wegbegleiter:in sind die im Registrierungsformular oder im Konto-Panel angegebenen Daten.

In der Erwägung, dass: RealHealers eine Website unter https://realhealers.com/ („Dienst”) betreibt, über die elektronische Dienste für Wegbegleiter:innen und Nutzer:innen erbracht werden, einschließlich Funktionen zum Anbieten, Buchen, Abwickeln, Durchführen oder Dokumentieren von Sitzungen;

zwischen dem/der Wegbegleiter:in und RealHealers ein Vertrag über die Nutzung des Dienstes geschlossen wurde, auf dessen Grundlage der/die Wegbegleiter:in die Funktionen des Dienstes nutzt, um Leistungen für Nutzer:innen anzubieten und zu erbringen;

der/die Wegbegleiter:in Leistungen für Kund:innen des Dienstes („Nutzer:in”) auf Grundlage eines gesondert, unmittelbar mit dem/der Nutzer:in geschlossenen Vertrags über die Durchführung einer Sitzung erbringt;

der/die Wegbegleiter:in im Zusammenhang mit der Leistungserbringung personenbezogene Daten der Nutzer:innen erhebt und verarbeitet, einschließlich besonderer Kategorien gemäß Art. 9 DSGVO, insbesondere Daten zur körperlichen und psychischen Gesundheit sowie weitere in der Sitzung offengelegte Informationen;

RealHealers, soweit der/die Wegbegleiter:in die Servicedienste nutzt, personenbezogene Daten der Nutzer:innen im Namen des/der Wegbegleiter:in als Auftragsverarbeiter verarbeiten kann;

außerhalb des Anwendungsbereichs dieses Vertrags Tätigkeiten verbleiben, in deren Rahmen RealHealers personenbezogene Daten als eigenständig Verantwortlicher verarbeitet, insbesondere im Zusammenhang mit dem Betrieb des Dienstes, der Konto-, Zahlungs- und Abrechnungsverwaltung, der Sicherheit des Dienstes, Analytik, Missbrauchsbekämpfung, Beschwerdebearbeitung, Anspruchsverfolgung sowie der Erfüllung eigener gesetzlicher Pflichten;

die Parteien die Regeln der Verarbeitung der vom Verantwortlichen dem Auftragsverarbeiter übertragenen personenbezogenen Daten gemäß der Verordnung (EU) 2016/679 (DSGVO) regeln möchten. In Erfüllung der Pflicht aus Art. 28 DSGVO haben die Parteien einvernehmlich diesen Vertrag mit folgendem Inhalt geschlossen.

§1 Vertragsgegenstand

Der Verantwortliche überträgt dem Auftragsverarbeiter personenbezogene Daten zur Verarbeitung nach den Regeln und zu dem Zweck, die in diesem Vertrag festgelegt sind.

Der Auftragsverarbeiter erklärt, dass er die ihm übertragenen personenbezogenen Daten gemäß diesem Vertrag, der DSGVO und anderen Datenschutzvorschriften verarbeiten wird.

Für die Zwecke dieses Vertrags legen die Parteien folgende Begriffsbedeutungen fest: Personenbezogene Daten — Informationen über eine identifizierte oder identifizierbare natürliche Person im Sinne von Art. 4 Nr. 1 DSGVO, die dem Auftragsverarbeiter auf Grundlage dieses Vertrags im in §3 festgelegten Umfang übertragen werden; Vertrauliche Daten — alle Informationen, Daten, Materialien, Dokumente und personenbezogenen Daten, die vom Verantwortlichen und von mit ihm zusammenarbeitenden Personen erhalten oder auf andere Weise erlangt wurden, in mündlicher, schriftlicher, elektronischer oder anderer Form; Unterauftragsverarbeiter — ein Dritter, dem RealHealers die weitere Verarbeitung der vom Vertrag erfassten personenbezogenen Daten ausschließlich im für die Erbringung der Servicedienste erforderlichen Umfang überträgt (insbesondere Hosting, Datenspeicherung, Kommunikation, Transkription, Notizenerstellung oder KI-Tools), auf Grundlage eines Vertrags, der die Anforderungen von Art. 28 DSGVO erfüllt; Verarbeitung personenbezogener Daten — jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten; Bedingungen — das Dokument, das die Regeln der elektronischen Diensterbringung durch RealHealers für Wegbegleiter:innen sowie die Nutzungsbedingungen des Dienstes festlegt; Servicedienste — Funktionen des Dienstes zur Vorbereitung, Abwicklung, Durchführung oder Dokumentation der vom/von der Wegbegleiter:in für den/die Nutzer:in erbrachten Sitzung (u. a. Kommunikation, Buchungsabwicklung, Speicherung von Materialien, Aufzeichnungen, automatische Transkription, Erstellung von Notizen oder Zusammenfassungen sowie KI-Tools), sofern verfügbar und vom/von der Wegbegleiter:in genutzt.

§2 Erklärungen der Parteien

Der Verantwortliche erklärt, dass er Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.

Der Auftragsverarbeiter erklärt, dass er Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO ist, d. h. dass er die personenbezogenen Daten im Namen und auf Weisung des Verantwortlichen verarbeitet.

Der/die Wegbegleiter:in nimmt zur Kenntnis, dass RealHealers personenbezogene Daten der Nutzer:innen auch als eigenständig Verantwortlicher verarbeiten kann, im in den Bedingungen und der Datenschutzerklärung von RealHealers angegebenen Umfang.

§3 Umfang und Zweck der Datenverarbeitung

Die Übertragung der Verarbeitung umfasst ausschließlich personenbezogene Daten der Nutzer:innen, die von RealHealers im Namen des/der Wegbegleiter:in im Zusammenhang mit der Nutzung der Servicedienste verarbeitet werden.

Außerhalb des Anwendungsbereichs dieses Vertrags verbleibt die Verarbeitung personenbezogener Daten durch RealHealers als eigenständig Verantwortlicher, insbesondere zum Betrieb des Dienstes, zur Konto-Einrichtung und -Verwaltung, zur Darstellung der Profile, zur Sicherheit, Missbrauchsbekämpfung, Beschwerdebearbeitung, Anspruchsverfolgung, Erfüllung gesetzlicher Pflichten, Produktanalytik, Weiterentwicklung des Dienstes sowie Leistungen Dritter, einschließlich der Zahlungsabwicklung.

Der Umfang der übertragenen Daten umfasst insbesondere: Identifikationsdaten der Nutzer:innen (Vor- und Nachname, Geburtsdatum, Geschlecht); Kontaktdaten der Nutzer:innen (Telefonnummer, E-Mail-Adresse, Postanschrift, sofern angegeben); vor der Sitzung übermittelte Daten, einschließlich Sprachaufnahmen oder anderer freiwillig übermittelter Materialien; Daten aus der vor der Sitzung über den Dienst geführten Kommunikation zwischen Wegbegleiter:in und Nutzer:in; während der Sitzung übermittelte Daten; Daten aus Sprachnotizen des/der Wegbegleiter:in, Transkriptionen oder mit KI-Tools erstellten Kurznotizen, sofern der/die Nutzer:in ausdrücklich eingewilligt hat.

Die in Abs. 3 lit. c–f genannten Daten können besondere Kategorien im Sinne von Art. 9 DSGVO umfassen, insbesondere Daten zur psychischen und körperlichen Gesundheit, zum Wohlbefinden, zum Sexualleben, zu religiösen oder weltanschaulichen Überzeugungen, zu familiären Beziehungen, persönlichen Erfahrungen, Lebensschwierigkeiten, Traumata oder anderen besonders sensiblen Informationen.

Die übertragenen Daten werden von RealHealers ausschließlich im für die Bereitstellung, den Betrieb und die technische Abwicklung der genutzten Servicedienste erforderlichen Umfang verarbeitet.

Der Verantwortliche ist allein für die Einholung der Einwilligung nach Abs. 3 lit. f sowie deren Nachweis verantwortlich.

Der/die Wegbegleiter:in ist als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung verantwortlich, insbesondere für eine geeignete Rechtsgrundlage, die Erfüllung der Informationspflichten gegenüber den Nutzer:innen sowie die Einholung erforderlicher Einwilligungen, einschließlich für Aufzeichnung, Transkription, Notizenerstellung oder KI-Tools, sofern erforderlich.

Der/die Wegbegleiter:in haftet für den Inhalt der in den Dienst eingegebenen oder über ihn übermittelten Daten und Materialien sowie für die Konformität seiner/ihrer Weisungen mit der DSGVO und anderen Rechtsvorschriften.

Dokumentierte Weisungen des/der Wegbegleiter:in sind: die Bedingungen, dieser Vertrag, die vom/von der Wegbegleiter:in im Dienst gewählten Einstellungen sowie die im Rahmen der Nutzung der Servicedienste vorgenommenen Handlungen.

§4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich zur: Verarbeitung der personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, die Verarbeitungspflicht ergibt sich aus dem Recht der EU, eines Mitgliedstaats oder dem für den Auftragsverarbeiter geltenden Recht (in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor Beginn der Verarbeitung über diese Pflicht, sofern das Recht eine solche Information nicht aus Gründen eines wichtigen öffentlichen Interesses verbietet);

Information des Verantwortlichen, wenn nach Einschätzung des Auftragsverarbeiters eine erteilte Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt;

Anwendung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten;

Sicherstellung, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

Beschränkung des Zugangs zu den Daten auf Personen und Stellen, deren Zugang für die Erbringung der Servicedienste erforderlich ist;

Führung eines Verzeichnisses der Verarbeitungskategorien, soweit eine solche Pflicht aus Art. 30 Abs. 2 DSGVO folgt;

Unterstützung des Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter verfügbaren Informationen bei der Erfüllung der Pflicht zur Beantwortung von Anträgen betroffener Personen sowie der Pflichten nach Art. 32–36 DSGVO;

Information des Verantwortlichen über den Einsatz von Automatisierungs- oder KI-Tools, soweit dies für die Erfüllung der datenschutzrechtlichen Pflichten des Verantwortlichen erforderlich ist.

Die Pflichten des Auftragsverarbeiters zur Nutzung von Unterauftragsverarbeitern, zur Meldung von Datenschutzverletzungen, zum Konformitätsnachweis, zum Audit und zur Beendigung der Auftragsverarbeitung regeln die weiteren Bestimmungen dieses Vertrags.

§5 Unterauftragsverarbeitung

Der Auftragsverarbeiter darf Unterauftragsverarbeiter im für die Erbringung der Servicedienste erforderlichen Umfang einsetzen. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern.

Die aktuelle Liste der Unterauftragsverarbeiter ist Anlage Nr. 1 zu diesem Vertrag oder wird dem Verantwortlichen im Dienst, im Konto-Panel oder auf andere vom Auftragsverarbeiter angegebene Weise zur Verfügung gestellt.

Der Auftragsverarbeiter stellt sicher, dass die Unterauftragsverarbeiter zum Schutz der personenbezogenen Daten im von Art. 28 DSGVO geforderten Umfang verpflichtet sind.

Der Auftragsverarbeiter informiert den Verantwortlichen über einen geplanten Wechsel eines Unterauftragsverarbeiters auf die für die Kommunikation mit Wegbegleiter:innen übliche Weise. Der Verantwortliche kann innerhalb von 14 Tagen nach Erhalt der Information einen begründeten Widerspruch gegen den Wechsel einlegen, ausschließlich aus datenschutzrechtlichen Gründen.

Bleibt der Widerspruch innerhalb der in Abs. 4 genannten Frist aus, gilt dies als Zustimmung zum Wechsel des Unterauftragsverarbeiters.

Die Einlegung eines Widerspruchs beschränkt nicht das Recht des Auftragsverarbeiters, einen Wechsel vorzunehmen, wenn dieser für die Kontinuität, Sicherheit oder Konformität des Dienstes erforderlich ist. In diesem Fall kann der Verantwortliche die Nutzung der betroffenen Servicedienste beenden oder den Vertrag über die Nutzung des Dienstes kündigen.

§6 Meldung von Verletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen eine festgestellte Verletzung des Schutzes der von diesem Vertrag erfassten personenbezogenen Daten unverzüglich, spätestens innerhalb von 48 Stunden nach ihrer Feststellung.

Die Meldung umfasst die dem Auftragsverarbeiter verfügbaren und dem Verantwortlichen zur Bewertung der Verletzung sowie zur Erfüllung seiner DSGVO-Pflichten erforderlichen Informationen, insbesondere soweit möglich: Beschreibung der Art der Verletzung; Kategorien und ungefähre Zahl der betroffenen Personen; Kategorien und ungefähre Zahl der betroffenen Datensätze; mögliche Folgen der Verletzung; ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung oder Abmilderung ihrer Folgen; Kontaktstelle für weitere Informationen.

Der Auftragsverarbeiter kann die Informationen über die Verletzung schrittweise übermitteln, wenn zum Zeitpunkt der ersten Meldung keine vollständigen Informationen vorliegen.

§7 Kontrollrecht

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Erfüllung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen bezüglich der im Namen des Verantwortlichen verarbeiteten Daten zur Verfügung.

Ein standardmäßiges Dokumenten-Audit, das höchstens einmal pro Kalenderjahr durchgeführt wird und keinen außergewöhnlichen Aufwand des Auftragsverarbeiters erfordert, wird ohne zusätzliche Gebühren durchgeführt.

Erfordert ein Audit außergewöhnlichen Aufwand des Auftragsverarbeiters, die Erstellung zusätzlicher Materialien, die Beteiligung von Mitarbeitenden oder Mitarbeitern, externen Berater:innen, Übersetzungen, Treffen, zusätzliche technische Analysen, Datenexporte oder andere über ein standardmäßiges Dokumenten-Audit hinausgehende Tätigkeiten, kann der Auftragsverarbeiter solche Tätigkeiten von der Übernahme der angemessenen Kosten durch den Verantwortlichen abhängig machen.

Ein Audit am Sitz des Auftragsverarbeiters oder an einem anderen von ihm genutzten Standort darf nur in außergewöhnlichen und begründeten Fällen erfolgen, nach vorheriger Abstimmung von Termin, Umfang, Regeln und Kosten, unter Wahrung der Vertraulichkeit und ohne Zugang zu Daten anderer Kund:innen, Nutzer:innen, Wegbegleiter:innen oder Geschäftsgeheimnissen des Auftragsverarbeiters.

Der Verantwortliche trägt seine eigenen Auditkosten sowie die angemessenen Kosten des Auftragsverarbeiters, soweit das Audit über das in Abs. 2 genannte standardmäßige Dokumenten-Audit hinausgeht.

Der Auftragsverarbeiter kann ein Audit verweigern oder einschränken, wenn das Verlangen übermäßig oder unverhältnismäßig ist, die Sicherheit des Dienstes gefährdet, Rechte Dritter verletzt oder zur Offenlegung von Geschäftsgeheimnissen des Auftragsverarbeiters führen könnte.

§8 Übermittlung außerhalb des Europäischen Wirtschaftsraums

Der Auftragsverarbeiter hat seinen Sitz in der Schweiz. Die Europäische Kommission hat einen Angemessenheitsbeschluss für die Schweiz erlassen, der die Übermittlung personenbezogener Daten ohne zusätzliche Transfermechanismen ermöglicht.

Bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, wendet der Auftragsverarbeiter einen geeigneten Transfermechanismus der DSGVO an, insbesondere die von der Europäischen Kommission genehmigten Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, einen geeigneten Zertifizierungsmechanismus (sofern anwendbar) oder eine andere zulässige Transfergrundlage der DSGVO.

Der Verantwortliche nimmt zur Kenntnis, dass die Erbringung der Servicedienste den Einsatz von Unterauftragsverarbeitern mit Sitz oder Datenverarbeitung außerhalb des EWR erfordern kann, gemäß den Regeln dieses Paragraphen sowie der Anlage Nr. 1.

§9 Haftung

Die Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen aus diesem Vertrag ist auf den vom Verantwortlichen ausschließlich durch Verschulden des Auftragsverarbeiters erlittenen tatsächlichen Schaden beschränkt, vorbehaltlich zwingender Rechtsvorschriften und der in den Bedingungen vorgesehenen Haftungsgrenzen.

Der Auftragsverarbeiter haftet nicht für Verletzungen, die aus Handlungen oder Unterlassungen des Verantwortlichen resultieren, insbesondere aus fehlender Rechtsgrundlage, Nichterfüllung von Informationspflichten, fehlenden Einwilligungen, rechtswidrigen Weisungen, dem Inhalt der vom Verantwortlichen eingegebenen Daten oder einer nicht vertragsgemäßen Nutzung des Dienstes.

Trägt der Auftragsverarbeiter eine Haftung, Kosten, Strafe, Entschädigung oder andere Aufwendungen im Zusammenhang mit einer Pflichtverletzung des Verantwortlichen, erstattet der Verantwortliche dem Auftragsverarbeiter die angemessenen Kosten, Entschädigungen und Aufwendungen, soweit gesetzlich zulässig.

Keine Bestimmung dieses Vertrags schließt die Haftung gegenüber den betroffenen Personen aus oder beschränkt sie, soweit ein Ausschluss oder eine Beschränkung nach der DSGVO unzulässig wäre.

§10 Vertragsdauer

Der Vertrag tritt mit dem Tag der Annahme der Bedingungen durch den/die Wegbegleiter:in in Kraft und gilt für die Dauer des zwischen dem/der Wegbegleiter:in und RealHealers geschlossenen Vertrags über die Nutzung des Dienstes.

Die Auftragsverarbeitung gilt für den Zeitraum der Nutzung der Servicedienste durch den Verantwortlichen und nach deren Ende ausschließlich für den zur Löschung, Rückgabe, Anonymisierung oder Sicherung erforderlichen Zeitraum gemäß den technischen Verfahren des Auftragsverarbeiters, es sei denn, eine weitere Speicherung ist gesetzlich erforderlich, zur Feststellung, Geltendmachung oder Verteidigung von Ansprüchen, zur Sicherheit des Dienstes oder zur Erfüllung der Pflichten des Auftragsverarbeiters als eigenständig Verantwortlicher notwendig.

Nach Beendigung der Servicedienste löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen die erfassten Daten zurück, es sei denn, eine weitere Speicherung ist nach Abs. 2 zulässig. Erteilt der Verantwortliche innerhalb der vom Auftragsverarbeiter angegebenen Frist keine abweichenden Anweisungen, kann der Auftragsverarbeiter die Daten gemäß seinen technischen und Aufbewahrungsverfahren löschen oder anonymisieren.

Die Löschung der Daten aus Backups kann zu einem späteren, sich aus dem Backup-Zyklus und den Sicherheitsverfahren des Auftragsverarbeiters ergebenden Zeitpunkt erfolgen, sofern die Daten gegen unbefugten Zugriff gesichert bleiben und nicht aktiv genutzt werden.

§11 Bedingungen der Vertragsbeendigung

Dieser Vertrag erlischt mit der Beendigung des zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossenen Vertrags über die Nutzung des Dienstes, es sei denn, eine weitere Verarbeitung ist gemäß §10 zulässig.

Der Verantwortliche kann diesen Vertrag nicht gesondert vom Vertrag über die Nutzung des Dienstes kündigen, vorbehaltlich der Rechte aus zwingenden Rechtsvorschriften.

Bei Verletzung der Pflichten aus diesem Vertrag durch den Auftragsverarbeiter kann der Verantwortliche die in den Bedingungen oder in zwingenden Rechtsvorschriften vorgesehenen Mittel nutzen.

§12 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich, die Vertraulichen Daten geheim zu halten und sie nicht an Dritte weiterzugeben, mit Ausnahme der Unterauftragsverarbeiter oder der vom Auftragsverarbeiter zur Verarbeitung befugten Personen.

Der Auftragsverarbeiter erklärt, dass die Vertraulichen Daten im Zusammenhang mit der Geheimhaltungspflicht ohne schriftliche Zustimmung des Verantwortlichen zu keinem anderen Zweck als der Vertragserfüllung genutzt, offengelegt oder zugänglich gemacht werden.

Die Geheimhaltungspflicht umfasst keine Informationen: die allgemein bekannt sind, sofern sie diesen Status nicht durch eine Verletzung dieser Vertraulichkeitsklausel erlangt haben; deren Offenlegung gesetzlich vorgeschrieben ist, ausschließlich im erforderlichen Umfang; deren Offenlegung eine befugte Behörde in der gesetzlich vorgesehenen Form und Inhalt verlangt, ausschließlich im verlangten Umfang.

Die Offenlegung von Vertraulichen Daten erfordert die vorherige schriftliche Zustimmung des Verantwortlichen; in den in Abs. 3 genannten Fällen ist anstelle der Zustimmung die schriftliche Information des Verantwortlichen über die Offenlegung erforderlich.

§13 Schlussbestimmungen

Soweit in diesem Vertrag nicht geregelt, gelten die Vorschriften der DSGVO sowie die einschlägigen Vorschriften des polnischen Rechts.

Sollte eine Bestimmung des Vertrags unwirksam oder undurchführbar sein, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen. Die Parteien verpflichten sich, unwirksame oder undurchführbare Bestimmungen durch solche zu ersetzen, die den ersetzten am nächsten kommen und rechtskonform sind.

Der Auftragsverarbeiter kann diesen Vertrag nach den für die Änderung der Bedingungen vorgesehenen Regeln ändern.

Im Falle eines Widerspruchs zwischen diesem Vertrag und den Bedingungen hat dieser Vertrag Vorrang, ausschließlich im Bereich der Auftragsverarbeitung personenbezogener Daten.

Integraler Bestandteil des Vertrags ist Anlage Nr. 1 — Liste der Unterauftragsverarbeiter.

Anlage Nr. 1 — Liste der Unterauftragsverarbeiter

Der Verantwortliche akzeptiert, dass der Auftragsverarbeiter die folgenden Stellen zur Erbringung der Servicedienste nutzt (Name — Verarbeitungszweck — Standort/Transfergrundlage):

Supabase Inc. — Hosting von Datenbanken, Dateien, Logik — Frankfurt, Deutschland (EU/EWR).

Stripe Payments Europe Limited — Zahlungsabwicklung (Abonnements, Zahlungen für Leistungen der Wegbegleiter:innen an Nutzer:innen), Provisionsabrechnung — Dublin, Irland (EU/EWR). Daten können in die USA (Stripe, Inc.) übermittelt werden auf Grundlage des Angemessenheitsbeschlusses EU-U.S. Data Privacy Framework (DPF) sowie der Standardvertragsklauseln (SCC).

Resend, Inc. — Versand transaktionaler E-Mails — USA; SCC.

Cloudflare, Inc. — Netzwerksicherheit, DDoS-Schutz, CDN, Traffic-Routing — USA; SCC, DPF.

Vercel, Inc. — Hosting und Betrieb des Dienstes — USA; SCC, DPF.

Anthropic, PBC — KI-Funktionen, Erstellung von Notizen und Sitzungszusammenfassungen, Verarbeitung von Transkriptionen — USA; SCC.

Mapbox — Karten, Standorte und Ortssuche — USA; SCC.

PostHog, Inc. — Produktanalytik, Nutzungsstatistiken, Ereignisanalyse — EU oder USA.

Sentry — Fehlerüberwachung, Diagnostik, Sicherheit und Stabilität des Dienstes — USA; SCC, DPF.

Data Processing Agreement (DPA) — RealHealers.com | RealHealers