It's Complicated
It's Complicated
Zuletzt aktualisiert: März 2026

Auftragsverarbeitungsvertrag für Therapeut:innen

Dieser Auftragsverarbeitungsvertrag („AVV“) wird zwischen It’s Complicated (Mittelweg 50 Berlin GmbH) und dem Therapeuten, der die It’s Complicated-Plattform und -Dienste nutzt („Therapeut“), geschlossen. Er regelt die Verarbeitung personenbezogener Daten durch It’s Complicated im Auftrag des Therapeuten gemäß Art. 28 DS-GVO und ist Bestandteil der Vereinbarung zwischen den Parteien; er ist in die Nutzungsbedingungen einbezogen (verfügbar unter https://complicated.life/de/rechtliches/agb). Mit der Erstellung eines Therapeutenkontos und der Annahme der Nutzungsbedingungen tritt der Therapeut automatisch diesem AVV bei und erklärt sich mit dessen Bedingungen einverstanden.

Standardvertragsklauseln

ABSCHNITT I

Klausel 1 – Zweck und Anwendungsbereich

  1. Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung sichergestellt werden.
  2. Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
  3. Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
  4. Die Anhänge I bis IV sind Bestandteil der Klauseln.
  5. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
  6. Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

Klausel 2 – Unabänderbarkeit der Klauseln

  1. Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
  2. Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3 – Auslegung

  1. Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
  2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.
  3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4 – Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5 – fakultativ
Kopplungsklausel

  1. Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.
  2. Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.
  3. Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 6 – Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7 – Pflichten der Parteien

7.1. Weisungen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
  2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2. Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3. Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4. Sicherheit der Verarbeitung

  1. Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
  2. Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5. Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6. Dokumentation und Einhaltung der Klauseln

  1. Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
  2. Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
  3. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
  4. Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
  5. Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7. Einsatz von Unterauftragsverarbeitern

  1. Der Auftragsverarbeiter darf keinen seiner Verarbeitungsvorgänge, die er im Auftrag des Verantwortlichen gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Auftragsverarbeiter reicht den Antrag auf die gesonderte Genehmigung mindestens 4 Wochen vor der Beauftragung des betreffenden Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Die Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter findet sich in Anhang IV. Die Parteien halten Anhang IV jeweils auf dem neuesten Stand.
  2. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
  3. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
  4. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
  5. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8. Internationale Datenübermittlungen

  1. Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.
  2. Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8 – Unterstützung des Verantwortlichen

  1. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
  2. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
  3. Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
    1. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
    2. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
    3. Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
    4. Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.
  4. Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9 – Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1. Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

  1. bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
  2. bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
    1. die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

  1. bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2. Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

  1. eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
  2. Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
  3. die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

ABSCHNITT III – SCHLUSSBESTIMMUNGEN

Klausel 10 – Verstöße gegen die Klauseln und Beendigung des Vertrags

  1. Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
  2. Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
    1. der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
    2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
    3. der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.
  3. Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
  4. Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

ANHANG I
Liste der Parteien

Verantwortliche(r):

Der Therapeut, der ein Konto auf der It’s Complicated-Plattform registriert hat („Therapeut“). Die Kontaktdaten werden vom Therapeuten bei der Kontoregistrierung angegeben.

Auftragsverarbeiter:

Name: Mittelweg 50 Berlin GmbH (Markenname „It’s Complicated“)

Anschrift: Mittelweg 50, 12053 Berlin, Deutschland

E-Mail: privacy@complicated.life

Website: www.complicated.life

Datenschutzbeauftragter:

Name: DataCo GmbH (als externer Datenschutzbeauftragter)

Anschrift: Sandstraße 33, 80335 München, Deutschland

E-Mail: datenschutz@dataguard.de

Website: www.dataguard.de

Inkrafttreten:

Dieser AVV bedarf keiner handschriftlichen oder elektronischen Unterschrift. Er kommt automatisch zustande, wenn der Therapeut ein Konto auf der It’s Complicated-Plattform erstellt und die Nutzungsbedingungen akzeptiert. Mit dem Abschluss der Registrierung bestätigt der Therapeut, dass er diesen AVV gelesen, verstanden und akzeptiert hat.

Bearbeitung von Betroffenenanfragen:

Wenn eine betroffene Person bei It’s Complicated einen Antrag auf Ausübung ihrer Rechte stellt (einschließlich Löschanträgen), wird It’s Complicated den Therapeuten unverzüglich informieren, soweit der Antrag Daten betrifft, für die der Therapeut als Verantwortlicher handelt. Der Therapeut bleibt verantwortlich für die Beantwortung und Erfüllung solcher Anträge hinsichtlich der unter seiner Kontrolle stehenden Daten innerhalb der gesetzlichen Frist von 30 Tagen. It’s Complicated bearbeitet Anträge, die Daten unter seiner eigenen Kontrolle betreffen, eigenständig.

ANHANG II
Beschreibung der Verarbeitung

Beschreibung der Verarbeitung

1. Kategorien betroffener Personen

Dieser AVV gilt für personenbezogene Daten, für die Sie (der Therapeut) als Verantwortlicher handeln. Dies umfasst Daten über:

  • Ihre Klienten (Personen, die Therapie von Ihnen erhalten)
  • Sie selbst (soweit relevant für die Erbringung von Therapiedienstleistungen)
  • Alle sonstigen Endnutzer unserer Plattform

2. Kategorien personenbezogener Daten

Zu den über unsere Plattform verarbeiteten personenbezogenen Daten können gehören:

  • Kontaktdaten des Klienten (z. B. Name, E-Mail, Telefon, Adresse)
  • Sitzungs- und Termindetails (z. B. Datum, Uhrzeit, Format, Status)
  • Nachrichten und Kommunikation zwischen Ihnen und Ihren Klienten
  • Sitzungsnotizen, die Sie über Therapiesitzungen erstellen
  • Zahlungs- und Rechnungsinformationen im Zusammenhang mit Ihren Dienstleistungen
  • Klienten-Metadaten (z. B. Videoanrufdauer, Zeitstempel)

Hinweis: Dies umfasst nicht Ihre eigenen Kontodaten (z. B. Anmeldedaten oder Profilinformationen), da diese Daten von It’s Complicated kontrolliert werden.

3. Sensible Daten und Schutzmaßnahmen

Die von Ihnen verarbeiteten Daten können sensible Daten gemäß Art. 9 DS-GVO umfassen, wie z. B. gesundheitsbezogene Daten (z. B. Therapienotizen oder Sitzungsinhalte zu psychischer Gesundheit).

Wir schützen diese Daten durch:

  • Verwendung der Daten ausschließlich für Therapiedienstleistungen (Zweckbindung)
  • Beschränkung des Zugangs (nur Sie und Ihr Klient sowie ausgewählte technische Mitarbeiter von It’s Complicated auf einer „Need-to-know“-Basis)
  • Verschlüsselung aller Daten bei der Übertragung und Speicherung
  • Protokollierung des Datenzugangs
  • Verpflichtung unserer Unterauftragsverarbeiter zur Einhaltung derselben Regeln

4. Art der Verarbeitung

  • Speicherung Ihrer Kundendaten auf sicheren Servern
  • Ermöglichung der Kommunikation zwischen Ihnen und Ihren Klienten (Chat und Video)
  • Abwicklung von Zahlungen für Ihre Dienstleistungen
  • Unterstützung der Terminplanung und -verwaltung

5. Zweck(e) der Verarbeitung

Wir verarbeiten Ihre Kundendaten, damit Sie:

  • Therapiesitzungen durchführen können (video- und textbasiert)
  • Termine mit Klienten planen und verwalten können
  • Rechnungen stellen und Zahlungen erhalten können
  • Therapieunterlagen und Sitzungsnotizen führen können

6. Dauer der Verarbeitung

  • It’s Complicated verarbeitet personenbezogene Daten im Auftrag des Therapeuten für die Dauer der Nutzung der It’s Complicated-Plattform durch den Therapeuten.
  • Nach Beendigung des Therapeutenkontos behält It’s Complicated die Daten nur so lange, wie es zur Erfüllung der in diesem Anhang beschriebenen Zwecke erforderlich ist, es sei denn, eine längere Aufbewahrungsfrist ist gesetzlich vorgeschrieben oder wird vom Therapeuten als Verantwortlichem angewiesen. Finanzdaten werden gemäß deutschem Steuerrecht (HGB § 257, AO § 147) 10 Jahre aufbewahrt.

ANHANG III
Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten

Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten

  • Alle Nutzerpasswörter werden vor der Speicherung mit bcrypt gehasht. Passwörter werden niemals im Klartext gespeichert oder protokolliert.
  • Alle Sitzungstoken, Passwort-Reset-Token und Verifizierungscodes werden als kryptografische Hashes gespeichert. Ein Datenbankeinbruch legt keine verwendbaren Token offen.
  • Alle Daten werden bei der Übertragung über SSL/TLS verschlüsselt. Die Plattform erzwingt ausschließlich HTTPS-Verbindungen.
  • Alle Daten im Ruhezustand werden mit AWS-verwalteter Verschlüsselung (RDS-Speicherverschlüsselung, S3 serverseitige Verschlüsselung) in der Region EU-Central-1 (Frankfurt) verschlüsselt.
  • Videositzungen verwenden WebRTC mit obligatorischer Verschlüsselung, die eine verschlüsselte Video- und Audioübertragung zwischen den Teilnehmern gewährleistet.
  • Alle primären Datenspeicher befinden sich in EU-Rechenzentren (AWS EU-Central-1, Frankfurt). Wenn personenbezogene Daten von Unterauftragsverarbeitern außerhalb der EU verarbeitet werden (siehe Abschnitt 18), sind geeignete DSGVO-Schutzmaßnahmen, einschließlich Standardvertragsklauseln, vorhanden.
  • Wenn Nutzer ihre Konten löschen, werden personenbezogene Daten nach einer Karenzzeit anonymisiert. Die Anonymisierung ersetzt identifizierbare Felder durch zufällige Bezeichner.

2. Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit

  • Die Infrastruktur wird auf AWS Elastic Beanstalk mit verwalteter Skalierung, Zustandsmonitoring und automatisiertem Instanzaustausch gehostet.
  • Die primäre Datenbank läuft auf Amazon RDS mit Multi-AZ-Deployment für automatisches Failover und hohe Verfügbarkeit.
  • Der Anwendungszugang wird über rollenbasierte Autorisierung gesteuert. Nutzer werden Rollen (Klient, Therapeut, Administrator) mit unterschiedlichen Berechtigungsstufen zugewiesen.
  • API-Zugang wird über OAuth 2.0-Scopes gesteuert.
  • Alle Authentifizierungsendpunkte sind durch mehrschichtige Rate-Limiting-Maßnahmen geschützt.
  • Bot-Schutz wird über verwaltete CAPTCHA-Lösungen implementiert.
  • Betrugserkennungssystem bei der Registrierung: Echtzeit-E-Mail-Reputationüberprüfung, Erkennung von Wegwerf-E-Mails und IP-Risikobewertung.
  • Ein administrativ steuerbarer Registrierungsschalter ermöglicht die sofortige Deaktivierung aller neuen Registrierungen im Angriffsfall.

3. Maßnahmen zur Sicherstellung der Wiederherstellbarkeit

  • Amazon RDS automatische Backups sind mit Point-in-Time-Recovery aktiviert.
  • Dateispeicher (S3) verwendet Versionierung, die die Wiederherstellung versehentlich gelöschter oder überschriebener Dateien ermöglicht.
  • Die Infrastruktur wird von AWS verwaltet, das redundante Stromversorgung, Netzwerk und Kühlung über Verfügbarkeitszonen innerhalb der Region EU-Central-1 bereitstellt.
  • Das Engineering-Team arbeitet vollständig remote, wodurch die Reaktionsfähigkeit bei Vorfällen nicht von einem einzelnen physischen Standort abhängt.

4. Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Sicherheitsmaßnahmen

  • Externe Sicherheitsberater werden regelmäßig zur Überprüfung des Authentifizierungssystems und der Gesamtsicherheitslage engagiert.
  • Automatisierte Testsuiten decken Authentifizierungsabläufe, Autorisierungsprüfungen, Rate-Limiting und Datenschutzlöschungsworkflows ab.
  • Staging- und Produktionsumgebungen sind vollständig getrennt.
  • Anwendungsfehler und Ausnahmen werden in Echtzeit überwacht.
  • Infrastrukturmetriken werden über AWS CloudWatch mit konfigurierten Alarmen überwacht.
  • Ein dokumentiertes Bedrohungsmodell identifiziert Angriffsvektoren und ordnet sie den vorhandenen Schutzmaßnahmen zu.

5. Maßnahmen zur Identifizierung und Autorisierung der Nutzer

  • Authentifizierung ist innerhalb der EU selbst gehostet. Nutzeranmeldedaten werden in der eigenen Datenbank der Plattform gespeichert.
  • Passwortrichtlinie erzwingt Komplexitätsanforderungen. Passwörter werden gegen eine Datenbank bekannter kompromittierter Passwörter mit k-Anonymität validiert.
  • Zwei-Faktor-Authentifizierung ist für alle Nutzer verfügbar.
  • WebAuthn-Passkeys werden für phishing-resistente Authentifizierung unterstützt.
  • OAuth 2.0 wird für das Sitzungsmanagement mit kurzlebigen Zugriffstoken und rotierenden Aktualisierungstoken verwendet.
  • Konfigurierbares Leerlauftimeout meldet Nutzer nach einer Inaktivitätsperiode automatisch ab.

6. Maßnahmen zum Schutz der Daten während der Übertragung

  • Alle Kommunikationen zwischen Clients und Servern sind über SSL/TLS verschlüsselt.
  • Authentifizierungstoken werden in httpOnly-Cookies gespeichert.
  • Videositzungen verwenden WebRTC mit obligatorischer Verschlüsselung.
  • Transaktionale E-Mails werden über TLS-verschlüsselte SMTP-Verbindungen gesendet.
  • Alle API-Kommunikationen mit Drittanbieterdiensten verwenden HTTPS.

7. Maßnahmen zum Schutz der Daten während der Speicherung

  • Die gesamte Infrastruktur wird in AWS EU-Central-1 (Frankfurt) Rechenzentren gehostet.
  • Datenbankspeicher ist mit Amazon RDS-Verschlüsselung im Ruhezustand verschlüsselt.
  • Dateispeicher ist mit Amazon S3 serverseitiger Verschlüsselung im Ruhezustand verschlüsselt.
  • Passwörter werden mit bcrypt gehasht, einem rechenintensiven Algorithmus.
  • Daten werden in Ebenen klassifiziert: klinische Daten, personenbezogene Daten, operative Daten und öffentliche Daten.

8. Maßnahmen zur physischen Sicherheit

  • It’s Complicated ist ein vollständig remote arbeitendes Unternehmen ohne physische Büroräumlichkeiten.
  • Alle personenbezogenen Daten werden in AWS EU-Central-1 (Frankfurt) Rechenzentren gespeichert. AWS verwaltet alle physischen Sicherheitsmaßnahmen. AWS-Rechenzentren sind nach ISO 27001, SOC 1/2/3 zertifiziert.
  • Mitarbeitergeräte sind mit Zugangsperren und Festplattenverschlüsselung gesichert.

9. Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen

  • Ein umfassendes Sicherheitsereignis-Prüfprotokoll zeichnet Authentifizierungs- und Kontosicherheitsereignisse auf.
  • Protokollierte Ereignisse umfassen: Anmeldung, Abmeldung, Registrierung, Passwortänderungen, Passwort-Resets, E-Mail-Verifizierung, Zwei-Faktor-Authentifizierungsereignisse und weitere sicherheitsrelevante Aktionen.
  • Administratoraktivitäten werden über das Administrationspanel-Prüfprotokoll aufgezeichnet.
  • Ein Löschungsprüfprotokoll zeichnet alle Kontolöschungen und Anonymisierungen auf.

10. Maßnahmen zur Systemkonfiguration

  • Infrastruktur wird mit versionskontrollierter Konfiguration bereitgestellt.
  • Standardkonfigurationen folgen sicheren Standardprinzipien: CAPTCHA aktiviert, Betrugserkennung aktiviert, Prüfung auf kompromittierte Passwörter aktiviert.
  • Alle sensiblen Konfigurationswerte werden in verschlüsselten Anmeldedaten oder Umgebungsvariablen gespeichert.

11. Maßnahmen für die interne IT-Governance

  • Ein dokumentiertes Bedrohungsmodell identifiziert und kategorisiert Angriffsvektoren.
  • Ein dokumentierter Reaktionsplan für Vorfälle definiert Schweregrade, Reaktionsziele und schrittweise Verfahren.
  • Alle Codeänderungen werden vor der Bereitstellung überprüft.
  • Nach-Vorfall-Verfahren umfassen Ursachenanalyse und DSGVO-Benachrichtigungen (72 Stunden).

12. Maßnahmen zur Zertifizierung und Qualitätssicherung

  • Die Plattform operiert innerhalb eines DSGVO-Compliance-Rahmens.
  • Externe Sicherheitsbewertungen werden regelmäßig durchgeführt.
  • Ein Responsible-Disclosure-Programm ist vorhanden. Sicherheitsforscher können Schwachstellen an security@complicated.life melden.
  • AWS-Infrastruktur verlässt sich auf AWS-Zertifizierungen: ISO 27001, SOC 1/2/3.

13. Maßnahmen zur Datenminimerung

  • Personenbezogene Daten werden nur im notwendigen Umfang erhoben.
  • Automatisierte Bereinigungsaufträge entfernen abgelaufene Authentifizierungsartefakte.
  • Bei der Anonymisierung werden plattformkontrollierte Daten dauerhaft gelöscht.

14. Maßnahmen zur Datenqualität

  • E-Mail-Adressen werden bei der Registrierung verifiziert.
  • Eingabevalidierung wird an allen nutzerorientierten Formularen und API-Endpunkten durchgesetzt.
  • Datenintegrität wird durch Datenbankbeschränkungen und anwendungsseitige Validierungen aufrechterhalten.

15. Maßnahmen zur begrenzten Vorratsdatenspeicherung

Eine dreistufige Löschstrategie wird implementiert:

  • Stufe 1 – Kontodeaktivierung (Soft Delete): Nutzer klickt auf „Konto löschen“. Konto wird sofort deaktiviert. Wiederherstellung ist innerhalb einer Karenzzeit möglich.
  • Stufe 2 – Anonymisierung (dauerhaft): Ein automatisierter Auftrag anonymisiert Konten nach der Karenzzeit. Personen-identifizierbare Daten werden durch anonyme Bezeichner ersetzt.
  • Stufe 3 – Recht auf Vergessenwerden (DSGVO): Auf explizite DSGVO-Anfrage werden alle Stufe-2-Aktionen sofort ausgeführt.
  • Finanzdaten werden gemäß deutschem Steuerrecht (HGB § 257, AO § 147) 10 Jahre aufbewahrt.

16. Maßnahmen zur Rechenschaftspflicht

  • Ein Löschungsprüfprotokoll zeichnet alle Kontolöschungen auf, einschließlich Art der Löschung, Antragsteller, Zeitstempel und rechtlicher Grundlage für aufbewahrte Daten.
  • Sicherheitsereignisprotokollierung erfasst alle authentifizierungsbezogenen Aktionen.
  • DSGVO-Compliance-Dokumentation umfasst Datenklassifizierung, Verantwortlichen-/Auftragsverarbeiter-Grenzen und Rechtsgrundlagen.

17. Maßnahmen zur Datenübertragbarkeit und Löschung

  • DSGVO-Anfragen auf Vergessenwerden werden innerhalb von 30 Tagen bearbeitet. Nutzer stellen Anfragen an support@complicated.life.
  • Ein Anonymisierungsdienst entfernt personenbezogene Daten dauerhaft aus der Plattformdatenbank.
  • Wenn ein Klient die DSGVO-Löschung beantragt, werden seine Therapeuten per E-Mail über ihre unabhängigen Verantwortlichenpflichten informiert.
  • Nutzer erhalten eine detaillierte Bestätigungs-E-Mail mit Angabe der gelöschten und aufbewahrten Daten sowie der Rechtsgrundlage.

18. Unterauftragsverarbeiter-Maßnahmen

  • Auftragsverarbeitungsverträge (AVV) sind mit allen Unterauftragsverarbeitern geschlossen. Die vollständige Liste der Unterauftragsverarbeiter ist hier verfügbar.
  • Alle Unterauftragsverarbeiter verarbeiten Daten auf Weisung von It’s Complicated.
  • Unterauftragsverarbeiter-Konten werden im Rahmen der Nutzer-Datenschutzlöschungsverfahren gelöscht oder anonymisiert.

19. Maßnahmen zur Unterstützung des Verantwortlichen

  • Ein dokumentierter Reaktionsplan für Vorfälle gewährleistet rechtzeitige Benachrichtigung bei Datenschutzverletzungen. DSGVO-Meldefristen (72 Stunden) sind in die Reaktionsverfahren integriert.
  • DSGVO-Löschungsverfahren sind mit schrittweisen Anweisungen dokumentiert.
  • Umfassende Prüfprotokollierung liefert Belege für Compliance-Anfragen und Datenschutz-Folgenabschätzungen.
  • Datenexportmöglichkeiten erlauben die Bereitstellung personenbezogener Daten auf Datenübertragbarkeitsanfragen.
  • Die Plattformarchitektur trennt Verantwortlichkeiten: Die Plattform kontrolliert Konto- und Marketingdaten, während Therapeuten klinische Daten eigenständig kontrollieren.

ANHANG IV
Liste der Unterauftragsverarbeiter

Liste der Unterauftragsverarbeiter

Dieser Anhang listet die Unterauftragsverarbeiter auf, die It’s Complicated einsetzt, um personenbezogene Daten im Auftrag von Therapeuten gemäß diesem Auftragsverarbeitungsvertrag (AVV) zu verarbeiten. Diese Unterauftragsverarbeiter verarbeiten Daten, für die Therapeuten als Verantwortliche handeln, wie z. B. Kundensitzungsdaten, Termindetails und Zahlungsinformationen.

Name

Daten

Verarbeitungszweck

Land

Postmark (ActiveCampaign, LLC)

E-Mail-Adressen, Namen der Empfänger, E-Mail-Inhalt (Termindetails, Nachrichtenbenachrichtigungen, Rechnungsinformationen)

Transaktionale E-Mail-Benachrichtigungen (z. B. Terminerinnerungen, Nachrichtenbenachrichtigungen, Rechnungsbenachrichtigungen)

USA*

AWS (Amazon Web Services EMEA SARL)

Kundendaten, Sitzungsnotizen, Termindetails, Nachrichten

Cloud-Hosting und Datenbankspeicherung

Deutschland

Stream (Stream.io, Inc.)

Videoanruf-Metadaten, Chat-Nachrichten zwischen Therapeut und Klient

Video- und Chat-Infrastruktur für Therapiesitzungen

USA*

Stripe (Stripe Payments Europe, Limited)

Zahlungsinformationen des Klienten, Rechnungsinformationen des Therapeuten, Transaktionsdaten

Zahlungsabwicklung für Therapiesitzungen

Irland (USA)*

*Hinweis: Entitäten mit einem Sternchen (*) haben ihren Sitz in einem Land mit einem EU-Angemessenheitsbeschluss (Irland) oder sind nach dem EU-US-Datenschutzrahmen zertifiziert und können Daten an mehreren Standorten einschließlich der USA verarbeiten. Alle internationalen Datenübermittlungen sind durch Standardvertragsklauseln (SCC), genehmigt von der Europäischen Kommission, geschützt.

Eine vollständige Liste aller von It’s Complicated genutzten Drittanbieter (einschließlich derjenigen, bei denen It’s Complicated als Verantwortlicher handelt) ist hier verfügbar.

Logo
Built with care in Berlin.
© 2026 It's Complicated
DSGVO
DSGVOKonform
DataGuard
Als ausgezeichnet<br/>bewertet
Als ausgezeichnet
bewertet

It's Complicated

Ressourcen

Kontakt & Rechtliches

Psycholog:innen nach Stadt

Psycholog:innen nach Sprache

Psycholog:innen nach Spezialgebiet

Psycholog:innen nach Ansatz

It's Complicated ist nicht geeignet für akute psychologische oder medizinische Krisen oder Notfälle.Wenn du dich in einer ernsten Krise befindest und dringend Hilfe benötigst, kontaktiere bitte einen lokalen Notdienst oder nutze eine dieser Ressourcen.
    AVV für Therapeut:innen | It's Complicated