Auftragsverarbeitungsvereinbarung (AVV / DPA)

Diese AVV regelt die Pflichten von RealHealers und Heiler:in bei der Verarbeitung personenbezogener Daten von Klient:innen, die Sitzungen über die Plattform buchen.

Sie gilt ab Annahme der Onboarding-Bedingungen ("AVV akzeptieren"-Checkbox) bis zur Kontoschließung der Heiler:in.

RealHealers (HealersTeam Witkowski, Schweiz) — Plattformbetreiber, Auftragsverarbeiter im Sinne des Art. 28 DSGVO bei der Bereitstellung von Buchung, Stripe Connect, Kalender und Kommunikation.

Heiler:in — selbständige:r Dienstleister:in, Verantwortliche:r für Klient:innendaten im Rahmen der erbrachten Sitzungen.

In Bereichen mit gemeinsamer Zweckbestimmung (z.B. Buchungssystem) kann eine Einstufung als gemeinsame Verantwortliche (Art. 26 DSGVO) zutreffen — finale Klassifizierung erfolgt nach anwaltlicher Prüfung.

Klient:innen-Identifikation (Name, E-Mail, optional Telefon), Buchungsdaten, optionaler "Behandlungsgrund" (Art. 9 DSGVO bei expliziter Einwilligung), plattforminterne Kommunikation.

Zwecke: Vertragsdurchführung (Art. 6 Abs. 1 lit. b), buchhalterische Pflichten (lit. c), Plattformsicherheit und Betrugsprävention (lit. f).

Heiler:in: Verarbeitung nur für Sitzungserbringung und Buchhaltung; keine Weitergabe an Dritte ohne Einwilligung; Sicherheitsmaßnahmen (starke Passwörter, kein PII über unverschlüsselte Kanäle); Meldung von Sicherheitsvorfällen an info@realhealers.com binnen 24h; Löschung auf Klient:innen-Wunsch (außer steuerliche Aufbewahrung).

RealHealers: technische Sicherheitsmaßnahmen (Verschlüsselung, TLS 1.2+, RLS, MFA), DPAs mit Subverarbeitern, Verzeichnis der Verarbeitungstätigkeiten, Unterstützung bei Betroffenenrechten (/api/data/export, /api/account/delete), Meldung an FDPIC binnen 72h gemäß Art. 33 DSGVO + revFADP Art. 24.

Liste der Subverarbeiter ist in der Datenschutzerklärung (Abschnitt 4) veröffentlicht; Änderungen werden 30 Tage im Voraus angekündigt.

Heiler:in kann begründeten Widerspruch gegen einen neuen Subverarbeiter einlegen und in diesem Fall die AVV mit 60-tägiger Frist kündigen.

Drittlandtransfers (Stripe, Resend, Anthropic, Mapbox in den USA) erfolgen auf Basis von Standardvertragsklauseln (EU-Beschluss 2021/914). Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission.

Bei Kontoschließung werden Heiler:in-Daten innerhalb von 30 Tagen gelöscht oder anonymisiert (außer steuerlich aufbewahrungspflichtige Datensätze).

Auf Wunsch erfolgt ein Export im JSON-Format (Art. 20 DSGVO).

Klient:innen mit anstehenden Buchungen werden über die Schließung informiert.