Recht · Auftragsverarbeitung
Auftragsverarbeitungsvertrag
Version 1.0.0 · Veröffentlicht 2026-05-26
zwischen
Auftraggeber: Die im Online-Onboarding angegebene Praxis (im Folgenden „Verantwortlicher" gemäß Art. 4 Nr. 7 DSGVO)
und
Auftragnehmer: Mosaic Medical UG (haftungsbeschränkt), Stubbenhof 16, 21147 Hamburg, vertreten durch Viktor Kessler, betrieben unter der Marke „Dermalia" (im Folgenden „Auftragsverarbeiter" gemäß Art. 4 Nr. 8 DSGVO)
§ 1 Gegenstand und Dauer
(1) Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Dienstleistung „Dermalia 3D-Hautbefund".
(2) Die Verarbeitung umfasst das Abrufen der Scan-Rohdaten aus dem Isemeco-3D-Hautscanner des Verantwortlichen, deren Speicherung, Aufbereitung in einen visuellen Hautbefund sowie den Versand des Befund-Links an Patient:innen per E-Mail.
(3) Dieser Vertrag tritt mit der elektronischen Annahme im Rahmen des Praxis-Onboardings in Kraft und gilt für die Dauer der Nutzung des Dienstes durch den Verantwortlichen.
§ 2 Art, Zweck und Umfang der Datenverarbeitung
(1) Art der Daten: - Gesichts-Scan-Bilder und 3D-Geometrie aus dem Isemeco-Gerät - Algorithmische Messwerte zu Hautmerkmalen (Falten, Poren, Pigmentierung, Rötungen, Hydration-Proxy) - Patient:innen-Vorname (optional) und E-Mail-Adresse (optional) - Erstellungsdatum, Mess-Algorithmus-Version, Geräte-Seriennummer
(2) Zweck: Erstellung und Versand eines visuellen 3D-Hautbefunds an die Patient:innen sowie Bereitstellung des Befunds im Praxis-Dashboard.
(3) Betroffene: Patient:innen, die in der Praxis des Verantwortlichen einen 3D-Hautscan durchführen lassen.
(4) Umfang: Beschränkt auf den minimal erforderlichen Datenumfang. Es werden insbesondere KEINE Geburtsdaten, Krankenakten, Versicherungs- oder Abrechnungsdaten verarbeitet.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich,
(1) personenbezogene Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
(2) zur Vertraulichkeit verpflichtete Personen einzusetzen (Art. 28 Abs. 3 lit. b DSGVO);
(3) angemessene technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO zu treffen, im Detail beschrieben in Anlage 1;
(4) den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO);
(5) Auskunfts-, Berichtigungs-, Lösch-, Einschränkungs-, Datenportabilitäts- und Widerspruchsrechte Betroffener durch geeignete technische und organisatorische Maßnahmen zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO);
(6) Datenpannen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme, dem Verantwortlichen zu melden (Art. 33 DSGVO);
(7) eine schriftliche Aufzeichnung aller Verarbeitungstätigkeiten zu führen (Art. 30 Abs. 2 DSGVO);
(8) nach Beendigung der Dienste sämtliche personenbezogenen Daten auf Wunsch des Verantwortlichen zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO).
§ 4 Pflichten des Verantwortlichen
Der Verantwortliche bleibt im Sinne der DSGVO für die Rechtmäßigkeit der Datenverarbeitung verantwortlich, insbesondere
(1) Einholung einer wirksamen Einwilligung der Patient:innen oder Sicherstellung einer anderen Rechtsgrundlage nach Art. 6 und 9 DSGVO vor Übermittlung des Scans an Dermalia;
(2) Information der Patient:innen gemäß Art. 13 DSGVO über den Einsatz von Dermalia als Auftragsverarbeiter;
(3) Erteilung schriftlicher Weisungen an den Auftragsverarbeiter, soweit diese über die vertraglich geregelten Tätigkeiten hinausgehen.
§ 5 Unterauftragsverhältnisse
(1) Der Auftragsverarbeiter darf folgende Unterauftragsverarbeiter einsetzen:
| Unterauftragsverarbeiter | Sitz | Zweck |
|---|---|---|
| Vercel Inc. | USA / EU (FRA1) | Web-Hosting + Serverless-Compute (EU-Region Frankfurt) |
| Neon Inc. | EU (eu-central-1, Frankfurt) | PostgreSQL-Datenbank |
| Resend Inc. | EU-Region | Transaktions-E-Mail-Versand |
| Cloudflare | Global / EU-Region | DNS + DDoS-Schutz |
| Meiquc / Isemeco | China (Datenabruf aus EU-Region Aliyun) | Quelle der Scan-Rohdaten |
(2) Auftragsdatenverarbeitung außerhalb der EU/EWR erfolgt ausschließlich auf Basis der EU-Standardvertragsklauseln (2021/914).
(3) Der Auftragsverarbeiter informiert den Verantwortlichen vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO).
§ 6 Datenlokation und Übermittlung
(1) Patient:innen-Daten und Scan-Rohdaten werden in Rechenzentren innerhalb der EU verarbeitet und gespeichert (Hauptregion: Frankfurt am Main).
(2) Eine Übermittlung in Drittländer findet nur statt, soweit dies durch die Architektur des Isemeco-Quellsystems (Aliyun, EU-Region) bedingt ist und entsprechend abgesichert über EU-Standardvertragsklauseln.
§ 7 Löschung und Aufbewahrung
(1) Patient:innen-Befunde werden für 24 Monate ab Erstellung aufbewahrt und danach automatisch gelöscht, sofern der Verantwortliche keine längere oder kürzere Frist schriftlich anweist.
(2) Der Verantwortliche kann jederzeit die sofortige Löschung einzelner Befunde oder seines gesamten Datenbestands verlangen.
(3) Bei Beendigung des Vertrags werden sämtliche Daten des Verantwortlichen innerhalb von 30 Tagen nach Vertragsende gelöscht oder dem Verantwortlichen herausgegeben.
§ 8 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, sich nach vorheriger Ankündigung von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.
(2) Auf Anforderung stellt der Auftragsverarbeiter dem Verantwortlichen die aktuellsten TOM-Dokumente und vorhandene Zertifizierungen zur Verfügung.
§ 9 Haftung
(1) Für Schäden, die durch die Verarbeitung personenbezogener Daten entstehen, haften die Parteien gemäß Art. 82 DSGVO.
(2) Die zivilrechtliche Haftung des Auftragsverarbeiters für vertragliche und außervertragliche Ansprüche bleibt unberührt.
§ 10 Schlussbestimmungen
(1) Änderungen oder Ergänzungen dieser Vereinbarung bedürfen der Textform (auch elektronisch). Eine neue Version wird durch elektronische Annahme im Praxis-Dashboard wirksam.
(2) Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(3) Es gilt deutsches Recht. Gerichtsstand ist Hamburg.
Anlage 1 — Technische und organisatorische Maßnahmen (TOM)
Die geltenden TOM sind in der jeweils aktuellen Version unter https://dermalia.de/sicherheit/tom abrufbar und Bestandteil dieses Vertrags.
Version 1.0.0 · Veröffentlicht am 2026-05-26