Anlage zur Mitgliedschaft

Auftragsverarbeitungsvereinbarung

gemäß Art. 28 DSGVO — zwischen dem Verein (Auftragsverarbeiter) und dem Mitglied (Verantwortlicher) · Stand: 06.06.2026

1Gegenstand & Rollenverteilung

Das Mitglied nutzt das vom Verein bereitgestellte Veridara-System, um für seine/ihre Klient:innen Persönlichkeitsprofile und Berichte erstellen zu lassen. Dabei verarbeitet der Verein personenbezogene Daten der Klient:innen im Auftrag und nach Weisung des Mitglieds. Das Mitglied ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO, der Verein ist Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO.

⚠ Diese Rollenzuordnung (Mitglied = Verantwortlicher, Verein = Auftragsverarbeiter) ist die kritische Grundannahme. Sie muss anwaltlich bestätigt werden — denkbar wäre auch gemeinsame Verantwortlichkeit (Art. 26). Davon hängt die ganze Vereinbarung ab.

2Art der Daten & Kategorien betroffener Personen

Betroffene	Datenarten
Klient:innen des Mitglieds	Stammdaten (Name, Kontakt), Geburtsdaten (Datum, Zeit, Ort), Angaben aus dem Erhebungsbogen, abgeleitete Auswertungsdaten

Besondere Kategorien (Art. 9): [prüfen — je nach Erhebungsbogen-Inhalt könnten Gesundheits-/Weltanschauungsdaten betroffen sein; falls ja, gesonderte Hinweise nötig]

3Dauer

Die Vereinbarung gilt für die Dauer der Mitgliedschaft. Nach Beendigung gelten die Löschpflichten gemäß § 8.

4Weisungsbindung

Der Verein verarbeitet die Daten ausschließlich im Rahmen der dokumentierten Weisungen des Mitglieds — diese ergeben sich aus der bestimmungsgemäßen Nutzung des Systems. Weisungen, die gegen das Datenschutzrecht verstoßen, wird der Verein nicht ausführen und das Mitglied darauf hinweisen.

5Pflichten des Auftragsverarbeiters

Vertraulichkeit: Verpflichtung aller mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4).
Datensicherheit nach Art. 32 (siehe § 6).
Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12–22), Meldepflichten (Art. 33–34) und Datenschutz-Folgenabschätzung (Art. 35–36), soweit dem Verein möglich.
Unverzügliche Information bei Verletzungen des Schutzes personenbezogener Daten.
Nachweis der Einhaltung dieser Pflichten; Ermöglichung von Überprüfungen (Art. 28 Abs. 3 lit. h).

6Technisch-organisatorische Maßnahmen (Art. 32)

Der Verein trifft angemessene Maßnahmen, insbesondere:

Pseudonymisierung by Design: Bei der Berichtserstellung werden identifizierende Daten (Name, Kontaktdaten) systemseitig entfernt; die Weiterverarbeitung (auch durch KI-Dienste) erfolgt nur mit pseudonymisierten Auswertungsdaten.
Verschlüsselung bei Übertragung (TLS) und Zugriffsschutz über rollenbasierte Berechtigungen und Authentifizierung.
Hosting in der EU; Zugriffskontrolle, Protokollierung, regelmäßige Sicherungen.
Trennung der Daten verschiedener Mitglieder durch serverseitige, rollenbasierte Zugriffskontrolle — jedes Mitglied hat ausschließlich Zugriff auf die eigenen Klient:innen-Daten.

7Unterauftragsverarbeiter

Das Mitglied erteilt die allgemeine Genehmigung zum Einsatz folgender Unterauftragsverarbeiter. Der Verein informiert über beabsichtigte Änderungen und ermöglicht Widerspruch.

Dienstleister	Zweck	Standort / Transfer
Hetzner Online GmbH [Firmierung prüfen]	Hosting / Infrastruktur	EU (DE/FI)
Anthropic [Entität/Adresse prüfen]	KI-Berichtserstellung (nur pseudonymisierte Daten)	USA — [SCC/DPF]
OpenAI [Entität prüfen]	KI-Berichtserstellung (nur pseudonymisierte Daten)	USA — [SCC/DPF]
Mistral AI [Entität prüfen]	KI-Berichtserstellung (nur pseudonymisierte Daten)	EU (FR)
Stripe Payments Europe, Ltd.	Zahlungsabwicklung	EU (IE) [Zahlungsdaten: Mitglied, nicht Klient:in — Einordnung prüfen]

⚠ Diese Liste ist sicherheitskritisch und muss exakt dem tatsächlichen Einsatz entsprechen. Für jeden Drittland-Dienst (USA) ist die Transfergrundlage (Standardvertragsklauseln / Data Privacy Framework) zu dokumentieren. Mit jedem Unterauftragsverarbeiter muss seinerseits ein AVV bestehen.

8Löschung & Rückgabe

Nach Beendigung der Mitgliedschaft löscht der Verein die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht; im Übrigen spätestens ein Jahr nach Beendigung der Mitgliedschaft.

9Haftung & Schlussbestimmungen

Es gilt österreichisches Recht. Im Übrigen gelten die DSGVO und das DSG. Sollten Bestimmungen unwirksam sein, bleibt die Vereinbarung im Übrigen wirksam. Diese Vereinbarung wird im Rahmen des Beitritts elektronisch geschlossen; der Abschluss wird mit Zeitpunkt und Version dokumentiert.