Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
pflegeanruf.de – Digitale Plattform für Pflegeeinrichtungen
Stand: März 2026 · Version 2.0
Inhaltsverzeichnis
- Vertragsparteien
- Präambel
- Art. 1 – Gegenstand und Dauer der Verarbeitung
- Art. 2 – Art und Zweck der Verarbeitung
- Art. 3 – Art der Daten und betroffene Personengruppen
- Art. 4 – Weisungsgebundenheit
- Art. 5 – Pflichten des Auftragsverarbeiters
- Art. 6 – Pflichten des Verantwortlichen
- Art. 7 – Unterauftragsverarbeiter
- Art. 8 – Drittlandübermittlungen
- Art. 9 – Kontrollrechte des Verantwortlichen
- Art. 10 – Datenschutzbeauftragter
- Art. 11 – Löschung und Rückgabe von Daten
- Art. 12 – Haftung
- Art. 13 – Schlussbestimmungen
- Unterschriften
- Anlage 1 – Technische und organisatorische Maßnahmen (TOM)
- Anlage 2 – Genehmigte Unterauftragsverarbeiter
- Anlage 3 – Muster-Weisungsformular
Vertragsparteien
[Name der Pflegeeinrichtung / des Unternehmens]
[Straße, Hausnummer]
[PLZ Ort]
Vertreten durch: [Name Geschäftsführung]
E-Mail: [E-Mail]
(nachfolgend „Verantwortlicher")
Gerrit Brinkhaus, Inhaber pflegeanruf.de
Vollständige Angaben: Impressum
(nachfolgend „Auftragsverarbeiter")
(gemeinsam nachfolgend auch „Parteien" genannt)
Präambel
Dieser AVV regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Nutzung der digitalen Plattform pflegeanruf.de. Er ergänzt den zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung der Plattform (nachfolgend „Hauptvertrag") und ist dessen Bestandteil.
Der Auftragsverarbeiter setzt zur Leistungserbringung seinerseits Unterauftragsverarbeiter ein, insbesondere die smao GmbH (KI-Telefonsoftware) und die Hetzner Online GmbH (Hosting-Infrastruktur). Diese sind in Anlage 2 vollständig aufgeführt. Für beide bestehen eigene AVV-Vereinbarungen, die den Anforderungen des Art. 28 DSGVO entsprechen.
Der Verantwortliche bleibt alleinig Verantwortlicher im Sinne der DSGVO. Der Auftragsverarbeiter verarbeitet diese Daten ausschließlich auf Weisung des Verantwortlichen und im Rahmen dieses AVV.
Art. 1 – Gegenstand und Dauer der Verarbeitung
(1) Gegenstand der Auftragsverarbeitung ist die Erbringung der im Hauptvertrag beschriebenen Leistungen, insbesondere der Betrieb der digitalen Plattform pflegeanruf.de, einschließlich:
- KI-gestützte Telefonannahme: Entgegennahme eingehender Anrufe, Transkription von Gesprächsinhalten, Weiterleitung und Zusammenfassung – technisch realisiert durch die KI-Telefonsoftware smao (smao GmbH, Berlin)
- Dokumentenmanagementsystem (DMS) mit KI-Unterstützung: Klassifizierung, Verschlagwortung, Suche
- Hosting und Betrieb der Plattform auf Servern der Hetzner Online GmbH (Standort Deutschland/EU)
- Speicherung und Verwaltung von Pflege- und Kommunikationsdaten
- Bereitstellung von Auswertungen und Berichten auf Basis der verarbeiteten Daten
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages, vorbehaltlich der Regelungen zur Nachverarbeitung in Art. 11.
Art. 2 – Art und Zweck der Verarbeitung
(1) Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:
a) KI-gestützte Telefonannahme (via smao GmbH):
- Entgegennahme eingehender Telefonanrufe im Namen des Verantwortlichen
- Technische Verarbeitung (Transkription, Strukturierung, Zusammenfassung) von Gesprächsinhalten
- Weiterleitung von Gesprächsinformationen an berechtigte Mitarbeitende des Verantwortlichen
- Temporäre Speicherung von Audio, Transkripten und Metadaten (Zeitstempel, Anrufdauer, beteiligte Rufnummern) zur Betriebssicherstellung
b) Dokumentenmanagement mit KI-Unterstützung:
- Verarbeitung von Dokumenten zur strukturierten Ablage und Archivierung
- KI-basierte Klassifizierung, Verschlagwortung und Zusammenfassung von Dokumenten
- Unterstützung der internen Suche und Nutzung von Dokumenten des Verantwortlichen
c) Hosting und Infrastruktur (via Hetzner Online GmbH):
- Bereitstellung von Serverkapazitäten und Speicher für den Betrieb der Plattform
- Sicherstellung von Verfügbarkeit, Backup und technischer Sicherheit der Plattform
(2) Eine Verarbeitung zu anderen Zwecken ist ausgeschlossen. Insbesondere ist es dem Auftragsverarbeiter und allen Unterauftragsverarbeitern untersagt, Daten des Verantwortlichen für das Training externer oder eigener KI-Modelle zu verwenden oder an Dritte zu Werbezwecken weiterzugeben.
Art. 3 – Art der Daten und betroffene Personengruppen
(1) Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:
Reguläre personenbezogene Daten (Art. 4 Nr. 1 DSGVO):
- Stammdaten (Name, Adresse, Geburtsdatum, Kontaktdaten, Telefonnummern)
- Kommunikationsdaten (Gesprächsverläufe, Audio-Aufzeichnungen, Transkripte, E-Mail-Inhalte)
- Nutzungs- und Metadaten (Datum, Dauer, beteiligte Rufnummern, Dateitypen, Zugriffszeiten)
- Benutzer- und Kontodaten (Mitarbeitende des Verantwortlichen)
- Dokumenteninhalte (interne Dokumente, Schriftverkehr, Verträge)
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO):
Achtung: Im Pflegekontext können Gesundheitsdaten und Angaben zur Pflegebedürftigkeit verarbeitet werden. Diese unterliegen dem erhöhten Schutz nach Art. 9 DSGVO. Sofern solche Daten verarbeitet werden, ist der Verantwortliche verpflichtet, die Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO sicherzustellen und eine Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO zu prüfen.
- Gesundheitsdaten und Informationen zur Pflegebedürftigkeit (soweit in Gesprächen oder Dokumenten enthalten)
- Angaben zu Pflegegraden, Diagnosen, Medikation (soweit in Dokumenten oder Anrufen genannt)
(2) Betroffene Personengruppen:
- Pflegebedürftige und deren Angehörige
- Mitarbeitende des Verantwortlichen
- Bewerber des Verantwortlichen
- Sonstige Kontaktpersonen des Verantwortlichen (z. B. Ärzte, Behörden, Dienstleister)
- Gesprächsteilnehmende (Anrufer, Angerufene)
Art. 4 – Weisungsgebundenheit
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen, sofern er nicht durch EU-Recht oder nationales Recht hierzu verpflichtet ist.
(2) Weisungen können mündlich erteilt werden, sind jedoch unverzüglich in Textform zu bestätigen und zu dokumentieren. Das Muster-Weisungsformular (Anlage 3) ist zu verwenden. Die Konfiguration der Plattform durch den Verantwortlichen gilt als dokumentierte Weisung.
(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt, informiert er den Verantwortlichen unverzüglich. Der Auftragsverarbeiter ist berechtigt, die Durchführung einer nach seiner Einschätzung rechtswidrigen Weisung bis zur Klärung auszusetzen.
Art. 5 – Pflichten des Auftragsverarbeiters
(1) Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen, einschließlich Mitarbeitender und Unterauftragsverarbeiter, auf Vertraulichkeit verpflichtet wurden oder einer gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtung besteht nach Beendigung des AVV fort.
(2) Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO. Die konkreten TOM sind in Anlage 1 beschrieben. Der Auftragsverarbeiter ist berechtigt, die TOM weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dem Verantwortlichen mitgeteilt und dokumentiert. Die TOM werden mindestens jährlich überprüft.
(3) Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten gemäß Art. 12–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Eingehende Anfragen betroffener Personen werden unverzüglich an den Verantwortlichen weitergeleitet.
(4) Unterstützung bei Compliance-Pflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, DSFA, vorherige Konsultation) sowie bei behördlichen Kontrollverfahren nach besten Kräften.
(5) Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:
- Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Anzahl betroffener Personen und Datensätze
- Namen und Kontaktdaten einer Anlaufstelle für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen
Fehlende Informationen können nachgereicht werden, sofern sie noch nicht vorliegen. Der Verantwortliche trägt die Meldefrist von 72 Stunden gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) selbst.
(6) Datenschutz-Folgeabschätzung: Soweit eine DSFA gemäß Art. 35 DSGVO erforderlich ist, unterstützt der Auftragsverarbeiter den Verantwortlichen auf Anfrage mit den erforderlichen Informationen zur Verarbeitungstätigkeit.
(7) Zusammenarbeit mit Aufsichtsbehörden: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie diesen Auftrag betreffen und keine gesetzliche Verschwiegenheitspflicht entgegensteht.
Art. 6 – Pflichten des Verantwortlichen
(1) Der Verantwortliche stellt sicher, dass die Verarbeitung personenbezogener Daten über die Plattform auf einer geeigneten Rechtsgrundlage gemäß Art. 6 DSGVO (und ggf. Art. 9 Abs. 2 DSGVO) beruht. Für Gesprächsaufzeichnungen ist die Einwilligung der Gesprächsteilnehmenden gemäß Art. 6 Abs. 1 lit. a DSGVO einzuholen; Anrufer sind hierauf hinzuweisen (z. B. durch Ansage).
(2) Der Verantwortliche informiert die betroffenen Personen gemäß Art. 13/14 DSGVO über die Datenverarbeitung, einschließlich des Einsatzes von KI-Systemen und der Unterauftragsverarbeiter.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten feststellt.
(4) Der Verantwortliche benennt eine Ansprechperson für datenschutzrechtliche Fragen und teilt deren Kontaktdaten dem Auftragsverarbeiter mit.
(5) Der Verantwortliche prüft eigenverantwortlich, ob eine DSFA gemäß Art. 35 DSGVO erforderlich ist.
Art. 7 – Unterauftragsverarbeiter
(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger Genehmigung des Verantwortlichen in Textform einsetzen.
(2) Mit Abschluss dieses AVV erteilt der Verantwortliche die Genehmigung für alle in Anlage 2 aufgeführten Unterauftragsverarbeiter.
(3) Beabsichtigt der Auftragsverarbeiter, einen neuen Unterauftragsverarbeiter hinzuzuziehen oder einen bestehenden auszutauschen, informiert er den Verantwortlichen vorab in Textform mit einer Voranzeigefrist von mindestens 4 Wochen. Der Verantwortliche kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt die Genehmigung als erteilt. Bei begründetem Widerspruch ohne einvernehmliche Lösung steht dem Verantwortlichen ein Sonderkündigungsrecht zu. Die Frist von 14 Tagen kann sich bei außergewöhnlichen Umständen verkürzen.
(4) Der Auftragsverarbeiter verpflichtet alle Unterauftragsverarbeiter vertraglich zu denselben datenschutzrechtlichen Pflichten, die zwischen den Parteien dieses AVV vereinbart sind. Für smao GmbH und Hetzner Online GmbH bestehen solche AVV-Vereinbarungen bereits.
(5) Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Erfüllung der datenschutzrechtlichen Pflichten durch Unterauftragsverarbeiter vollumfänglich verantwortlich.
Art. 8 – Drittlandübermittlungen
(1) Die Erbringung der vertraglich vereinbarten Datenverarbeitung durch den Auftragsverarbeiter selbst und durch Hetzner Online GmbH findet ausschließlich in Mitgliedstaaten der EU oder des EWR statt.
(2) Im Rahmen des Einsatzes von smao GmbH als Unterauftragsverarbeiterin werden Daten an folgende Unterauftragsverarbeiter außerhalb der EU/des EWR übermittelt:
ElevenLabs Inc. (USA) – Text-to-Speech. Garantie: EU-SCCs gem. Art. 46 Abs. 2 lit. c DSGVO. DPA vorhanden.
Integration App Inc. (USA) – Integrationen/Connector. Garantie: EU-SCCs. DPA vorhanden.
Nebius Group N.V. (NL, LLM-Provider) – Sitz Amsterdam/EU, keine Drittlandübermittlung. Garantie: DSGVO-konform; Betrieb vollständig innerhalb EU; Sitz Amsterdam, Niederlande.
(3) Weitere Übermittlungen in Drittländer durch den Auftragsverarbeiter selbst sind nur mit vorheriger Zustimmung des Verantwortlichen in Textform und nur unter den Voraussetzungen der Art. 44 ff. DSGVO zulässig.
(4) Der Auftragsverarbeiter legt dem Verantwortlichen auf Anfrage die jeweils getroffenen Garantien (SCCs, Angemessenheitsbeschlüsse etc.) offen und stellt entsprechende Nachweise bereit.
(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass Rechtsvorschriften eines Drittlandes die Erfüllung seiner Pflichten beeinträchtigen könnten (vgl. Schrems-II-Rechtsprechung).
Art. 9 – Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorschriften und dieses AVV durch den Auftragsverarbeiter selbst oder durch einen beauftragten Dritten zu kontrollieren. Beauftragte Dritte sind zur Verschwiegenheit zu verpflichten; der Auftragsverarbeiter kann zusätzlich eine separate Verschwiegenheitserklärung verlangen, insbesondere wenn der Dritte in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht.
(2) Der Auftragsverarbeiter gewährt dem Verantwortlichen auf Anfrage Zugang zu Informationen, Dokumentationen und Überprüfungsmöglichkeiten. Inspektionen vor Ort sind mit einer Voranzeigefrist von mindestens 10 Werktagen anzukündigen, auf die üblichen Geschäftszeiten zu beschränken und dürfen den Betriebsablauf nicht stören.
(3) Der Auftragsverarbeiter kann dem Verantwortlichen anstelle einer Vor-Ort-Inspektion aktuelle Zertifizierungen, Audit-Berichte oder Testate unabhängiger Prüfer vorlegen (z. B. ISO 27001, SOC 2, BSI-Grundschutz), sofern diese die Prüfungsfälle des Verantwortlichen hinreichend abdecken. Für Hetzner Online GmbH sind Berichte abrufbar unter: https://accounts.hetzner.com/account/dpa.
(4) Kosten einer Inspektion trägt der Verantwortliche, es sei denn, die Inspektion ergibt einen begründeten Anlass für die Feststellung einer Pflichtverletzung des Auftragsverarbeiters.
Art. 10 – Datenschutzbeauftragter
(1) Der Auftragsverarbeiter benennt, sofern gesetzlich erforderlich, einen Datenschutzbeauftragten und teilt dessen Kontaktdaten dem Verantwortlichen mit.
(2) Aktueller Status: Nicht gesetzlich erforderlich gem. § 38 BDSG; Datenschutzverantwortlicher: Gerrit Brinkhaus (Kontakt via Impressum).
(3) Hetzner Online GmbH hat einen Datenschutzbeauftragten bestellt: dataprotection@hetzner.com, Tel. +49 9831 505-216.
(4) smao GmbH: Angaben zum DSB sind dem smao-AVV zu entnehmen bzw. bei smao anzufragen.
Art. 11 – Löschung und Rückgabe von Daten
(1) Nach Abschluss der Verarbeitungstätigkeit oder auf Weisung des Verantwortlichen löscht oder gibt der Auftragsverarbeiter sämtliche personenbezogenen Daten zurück und löscht bestehende Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Nach Beendigung des Hauptvertrages gilt folgendes Vorgehen:
- Der Verantwortliche kann innerhalb von 30 Tagen nach Vertragsende den Export seiner Daten in einem gängigen Format (CSV, JSON o. ä.) verlangen; der Auftragsverarbeiter stellt den Export unverzüglich und kostenfrei bereit.
- Nach Ablauf von 30 Tagen werden alle Daten des Verantwortlichen vollständig und unwiederbringlich gelöscht.
- Die Löschung wird dem Verantwortlichen in Textform bestätigt.
(3) Gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters (z. B. § 147 AO) bleiben unberührt; betroffene Daten werden bis zum Fristablauf gesperrt.
Art. 12 – Haftung
(1) Die Haftung der Parteien richtet sich nach den Regelungen des Hauptvertrages sowie den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.
(2) Im Verhältnis zwischen den Parteien haftet der Verantwortliche gegenüber betroffenen Personen für den gesamten Schaden, wenn der Auftragsverarbeiter seinen Pflichten aus diesem AVV nachgekommen ist. Hat der Auftragsverarbeiter seine Pflichten verletzt, haftet er im Verhältnis seiner Verantwortung.
(3) Dieser AVV begründet keine weitergehenden Haftungs-, Gewährleistungs- oder Leistungspflichten über die im Hauptvertrag vereinbarten hinaus. Der Auftragsverarbeiter schuldet insbesondere keinen bestimmten wirtschaftlichen Projekterfolg.
Art. 13 – Schlussbestimmungen
(1) Dieser AVV tritt mit Unterzeichnung oder elektronischer Bestätigung durch beide Parteien in Kraft und gilt für die Dauer des Hauptvertrages.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung des Textformerfordernisses.
(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt (salvatorische Klausel). Die unwirksame Bestimmung wird durch eine solche ersetzt, die dem wirtschaftlichen Zweck am nächsten kommt.
(4) Es gilt deutsches Recht. Ausschließlicher Gerichtsstand ist Frankfurt am Main.
(5) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV für datenschutzrechtliche Fragen vor.
(6) Mündliche Nebenabreden bestehen nicht.
Unterschriften
Die Parteien erklären ihre Zustimmung zu diesem Auftragsverarbeitungsvertrag durch Unterzeichnung oder elektronische Bestätigung.
Für den Verantwortlichen
Name, Funktion, Unternehmen
Für den Auftragsverarbeiter
Gerrit Brinkhaus, pflegeanruf.de
Anlage 1: Technische und organisatorische Maßnahmen (TOM)
Verweis auf das separate TOM-Dokument gemäß Art. 32 DSGVO.
Die technischen und organisatorischen Maßnahmen (TOM) des Auftragsverarbeiters sind in einem separaten, versionierten Dokument beschrieben:
Dokument: „Technisch-Organisatorische Maßnahmen (TOM) – pflegeanruf.de" · Version: 1.0 · Stand: März 2026 · Klassifizierung: Vertraulich – nur intern / für AVV
Das TOM-Dokument ist Bestandteil dieses AVV. → Zum TOM-Dokument
Zusätzlich gelten die TOM der Unterauftragsverarbeiter:
- Hetzner Online GmbH: abrufbar unter https://www.hetzner.com/de/AV/TOM.pdf (jährlich geprüft, ISO/IEC 27001-zertifiziert)
- smao GmbH: gemäß Anhang 1 des smao-AVV (separat abgeschlossen)
Anlage 2: Genehmigte Unterauftragsverarbeiter
Stand: März 2026 – Änderungen werden gem. Art. 7 Abs. 3 dieses AVV mit 4-Wochen-Voranzeige mitgeteilt.
| Anbieter | Sitz / Land | EU/EWR? | Zweck | Garantie (Art. 46) | AVV/DPA |
|---|---|---|---|---|---|
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen | Deutschland | ✅ EU/EWR | Hosting, Serverinfrastruktur, Backup | Nicht erforderlich (EU/EWR) | Ja (hetzner.com/AV) |
| smao GmbH, Glogauer Str. 5, 10999 Berlin | Deutschland | ✅ EU/EWR | KI-Telefonsoftware (Kernleistung) | Nicht erforderlich (EU/EWR) | Ja (smao-AVV) |
| netcup GmbH, Emmy-Noether-Str. 10, 76131 Karlsruhe | Deutschland | ✅ EU/EWR | Linux-Server (via smao) | Nicht erforderlich | Ja (via smao) |
| STACKIT GmbH & Co. KG, Stiftsbergstr. 1, 74172 Neckarsulm | Deutschland | ✅ EU/EWR | Server, S3-Storage (via smao) | Nicht erforderlich | Ja (via smao) |
| reventix GmbH, Landhausstr. 22, 10717 Berlin | Deutschland | ✅ EU/EWR | SIP-Carrier, Rufnummern (via smao) | Nicht erforderlich | Ja (via smao) |
| Nebius Group N.V., Gustav Mahlerlaan 300, 1082 ME Amsterdam | Niederlande | ✅ EU/EWR (Hinweis: ehem. Yandex-Gruppe) | LLM-Provider (via smao) | Nicht erforderlich (EU/EWR-Sitz) | Ja (via smao) |
| Mailjet GmbH, Alt Moabit 2, 10557 Berlin | Deutschland | ✅ EU/EWR | E-Mail-Versand (via smao) | Nicht erforderlich | Ja (via smao) |
| Spryng B.V., Frankenstr. 152, 90461 Nürnberg | Niederlande / DE | ✅ EU/EWR | SMS-Versand (via smao) | Nicht erforderlich | Ja (via smao) |
| ElevenLabs Inc., 228 Park Ave S, New York, NY 10003 | USA | ⚠️ Drittland | Text-to-Speech (via smao) | EU-SCCs (Art. 46 Abs. 2 lit. c) | Ja (via smao) |
| Cloudflare Germany GmbH, Rosental 7, 80331 München | Deutschland (Mutterges. USA) | ✅ EU/EWR (Datenverarb.) | IT-Security, CDN (via smao) | EU-SCCs für US-Transfer vorhanden | Ja (via smao) |
| Stripe Payments Europe Ltd., 1 Grand Canal St Lower, Dublin, Irland | Irland (EU) | ✅ EU/EWR | Zahlungsabwicklung | Nicht erforderlich | Ja (Stripe) |
| Integration App Inc., 651 N Broad St Suite 206, Middletown, DE 19709 | USA | ⚠️ Drittland | Integrationen / Connector (via smao) | EU-SCCs (Art. 46 Abs. 2 lit. c) | Ja (via smao) |
Drittland-Transfers: Für ElevenLabs (USA) und Integration App Inc. (USA) hat smao GmbH EU-Standardvertragsklauseln (SCCs) abgeschlossen. Der Auftragsverarbeiter stellt dem Verantwortlichen Nachweise auf Anfrage zur Verfügung.
Cloudflare: Datenverarbeitung erfolgt überwiegend in der EU; für etwaige US-Transfers bestehen SCCs.
Nebius: Gesellschaftssitz und Verarbeitung in den Niederlanden (EU); kein Drittlandtransfer, jedoch empfiehlt sich eine eigenständige Risikoprüfung aufgrund der Unternehmensgeschichte.
Anlage 3: Muster-Weisungsformular
Für dokumentierte Einzelweisungen gem. Art. 4 dieses AVV.
Weisungsformular – Auftragsverarbeitungsvertrag pflegeanruf.de
(Name, Funktion, Unternehmen)
(Kurzbeschreibung)
Inhalt der Weisung:
Bestätigung Auftragsverarbeiter