Zur Startseite
Beautyflow

Fassung 2026-06-06 · Die Datenschutzerklärung finden Sie hier, die eingesetzten Dienstleister in der Sub-Auftragsverarbeiter-Liste.

Allgemeine Geschäftsbedingungen (AGB)

Entwurf: der finale, rechtsverbindliche Wortlaut sowie die kommerziellen Konditionen (Preise, Laufzeiten) werden vor dem Produktivbetrieb juristisch geprüft und ergänzt. Diese Fassung dient der elektronischen Vertrags- und AVV-Begründung bei der Registrierung.

§ 1 Geltungsbereich und Anbieter

(1) Diese AGB gelten für die Nutzung der SaaS-Plattform "BeautyFlow" (nachfolgend "Plattform") der BeautyFlow GmbH (nachfolgend "Anbieter") durch gewerbliche Kunden, insbesondere Praxen und Heilberufler (nachfolgend "Kunde"). Sie richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB.

(2) Anbieter: BeautyFlow GmbH, [Anschrift], vertreten durch [Geschäftsführer], [Registergericht/HRB], [Kontakt].

(3) Abweichenden Bedingungen des Kunden wird widersprochen; sie werden nur bei ausdrücklicher Zustimmung in Textform Vertragsbestandteil.

§ 2 Vertragsschluss und Registrierung

(1) Der Vertrag kommt mit Abschluss der Registrierung zustande. Mit der Registrierung akzeptiert der Kunde diese AGB einschließlich der darin enthaltenen Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO).

(2) Die elektronische Zustimmung erfüllt das Formerfordernis des Art. 28 Abs. 9 DSGVO. Zeitpunkt und Version der Zustimmung werden dokumentiert.

(3) Die Datenschutzerklärung des Anbieters ist nicht Gegenstand der Zustimmung, sondern eine Information nach Art. 13 DSGVO und wird gesondert verlinkt.

§ 3 Leistungsbeschreibung

(1) Der Anbieter stellt die Plattform als Software-as-a-Service über das Internet bereit. Der Funktionsumfang umfasst je nach Tarif insbesondere: Praxis-/Team-Verwaltung, Patientenakten, Kalender und 4-Stufen-Behandlungs-Workflow, Beratungsgespräch-Aufzeichnung mit Transkription und KI-Zusammenfassung, Video-Sprechstunde, Anamnese-/Aufklärungsbögen, Foto-Dokumentation, Rechnungen/Angebote, Lager- und Bestellverwaltung, Online-Buchung/Widget sowie die Anbindung an die BeautyPass-App.

(2) Der Anbieter entwickelt die Plattform laufend weiter und kann einzelne Funktionen ändern, ergänzen oder einstellen, soweit der vertragliche Kernnutzen erhalten bleibt. Einzelne Funktionen können als Beta gekennzeichnet sein.

(3) Geschuldet ist die Bereitstellung der Plattform, nicht ein bestimmter wirtschaftlicher oder medizinischer Erfolg.

§ 4 Verfügbarkeit

(1) Der Anbieter ist um eine hohe Verfügbarkeit bemüht, schuldet jedoch, soweit nicht ausdrücklich ein Service-Level vereinbart ist, keine bestimmte Verfügbarkeit. Wartungsfenster, Störungen bei Drittanbietern und Ereignisse höherer Gewalt sind von der Verfügbarkeit ausgenommen.

(2) Der Kunde ist für eine geeignete eigene IT-Umgebung (Internetzugang, aktueller Browser/Gerät) verantwortlich.

§ 5 Pflichten und Verantwortung des Kunden

(1) Der Kunde ist datenschutzrechtlich Verantwortlicher für die von ihm in die Plattform eingestellten Patienten-/Endkundendaten. Er stellt die Rechtmäßigkeit der Verarbeitung sicher, holt erforderliche Einwilligungen (insb. für Audio-, Foto- und KI-Verarbeitung) ein und informiert seine Patienten/Endkunden (eigene Datenschutzerklärung, Benennung der Unterauftragsverarbeiter).

(2) Der Kunde hält seine Zugangsdaten geheim, sichert sie gegen unbefugten Zugriff und benennt nur berechtigte Nutzer. Er verantwortet die Handlungen seiner Nutzer.

(3) Der Kunde stellt keine rechtswidrigen, rechteverletzenden oder schädlichen Inhalte ein und nutzt die Plattform nicht missbräuchlich.

(4) Der Kunde ist für die Erfüllung seiner gesetzlichen Aufbewahrungs- und Dokumentationspflichten selbst verantwortlich und erstellt bei Bedarf eigene Datenexporte/Sicherungen.

§ 6 KI-gestützte Funktionen

(1) Die Plattform bietet KI-gestützte Funktionen (z. B. Transkription, Zusammenfassung von Beratungsgesprächen, Textvorschläge). Diese sind ein Hilfsmittel und können fehlerhafte, unvollständige oder unzutreffende Ergebnisse liefern.

(2) KI-Ergebnisse stellen keine medizinische, rechtliche oder steuerliche Empfehlung dar. Der Kunde prüft jedes Ergebnis vor Verwendung eigenverantwortlich. Eine Gewähr für Richtigkeit, Vollständigkeit oder Eignung der KI-Ergebnisse wird nicht übernommen.

§ 7 Drittanbieter und Unterauftragsverarbeiter

Der Anbieter setzt zur Leistungserbringung Drittanbieter/Unterauftragsverarbeiter ein (siehe AVV § 6 und die öffentliche Sub-Auftragsverarbeiter-Liste). Für deren eigenständige Dienste außerhalb der Auftragsverarbeitung gelten deren Bedingungen.

§ 8 Nutzungsrechte

(1) Der Anbieter räumt dem Kunden für die Vertragsdauer ein einfaches, nicht übertragbares Recht zur vertragsgemäßen Nutzung der Plattform ein.

(2) Alle Rechte an der Plattform, Software, Marken und Inhalten des Anbieters verbleiben beim Anbieter. An seinen eigenen Inhalten/Daten behält der Kunde alle Rechte.

§ 9 Preise und Zahlung

[Platzhalter: Tarife, Abrechnungszeitraum, Fälligkeit, Verzug, Preisanpassung werden ergänzt.]

§ 10 Laufzeit und Kündigung

[Platzhalter: Laufzeit und Kündigungsfristen werden ergänzt.] Nach Beendigung richtet sich die Rückgabe/Löschung der Daten nach § 9 der Auftragsverarbeitungsvereinbarung.

§ 11 Gewährleistung

(1) Der Anbieter gewährleistet die vertragsgemäße Funktion der Plattform im Rahmen des Standes der Technik. Unerhebliche Beeinträchtigungen bleiben außer Betracht.

(2) Mängel sind nachvollziehbar zu rügen. Der Anbieter beseitigt Mängel innerhalb angemessener Frist (Nacherfüllung).

§ 12 Haftung

(1) Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit, bei der Verletzung von Leben, Körper oder Gesundheit, bei arglistig verschwiegenen Mängeln, im Rahmen einer übernommenen Garantie sowie nach zwingenden gesetzlichen Vorschriften (insbesondere Produkthaftungsgesetz und Art. 82 DSGVO gegenüber betroffenen Personen).

(2) Bei einfacher Fahrlässigkeit haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertraut. In diesem Fall ist die Haftung auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden begrenzt.

(3) Im Übrigen ist die Haftung bei einfacher Fahrlässigkeit ausgeschlossen. Ausgeschlossen ist insbesondere, soweit gesetzlich zulässig, die Haftung für mittelbare Schäden, entgangenen Gewinn, ausgebliebene Einsparungen und Datenverlust, soweit der Kunde eine zumutbare, regelmäßige eigene Datensicherung unterlassen hat.

(4) Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der gesetzlichen Vertreter, Mitarbeiter und Erfüllungsgehilfen des Anbieters.

(5) Der Anbieter haftet nicht für Schäden, die aus einer rechtswidrigen oder vertragswidrigen Nutzung durch den Kunden, aus fehlenden Einwilligungen seiner Patienten/Endkunden oder aus der Verletzung der Kundenpflichten (§ 5) entstehen.

§ 13 Freistellung

Der Kunde stellt den Anbieter von allen Ansprüchen Dritter, insbesondere seiner Patienten/Endkunden, Mitarbeiter oder Aufsichtsbehörden, frei, die auf einer rechtswidrigen oder vertragswidrigen Nutzung der Plattform durch den Kunden, auf von ihm eingestellten Inhalten oder auf der Verletzung seiner Pflichten (§ 5) beruhen, einschließlich angemessener Kosten der Rechtsverteidigung.

§ 14 Höhere Gewalt

Wird der Anbieter durch höhere Gewalt (z. B. Naturereignisse, Streik, behördliche Maßnahmen, Ausfälle von Telekommunikations-/Drittanbieternetzen) an der Leistung gehindert, ist er für deren Dauer von der Leistungspflicht befreit.

§ 15 Änderungen der AGB

Der Anbieter kann diese AGB mit Wirkung für die Zukunft ändern, soweit dies erforderlich ist und den Kunden nicht unangemessen benachteiligt. Änderungen werden mindestens 30 Tage vor Inkrafttreten in Textform mitgeteilt. Widerspricht der Kunde nicht innerhalb der Frist, gelten sie als angenommen; auf diese Folge wird gesondert hingewiesen. Bei wesentlichen Änderungen besteht ein Sonderkündigungsrecht.

§ 16 Schlussbestimmungen

(1) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

(2) Ausschließlicher Gerichtsstand für Kaufleute ist der Sitz des Anbieters.

(3) Änderungen und Nebenabreden bedürfen der Textform.

(4) Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; an die Stelle der unwirksamen Regelung tritt die gesetzlich zulässige Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.


Auftragsverarbeitungsvereinbarung (AVV, Art. 28 DSGVO)

Mit der Registrierung schließt die Praxis (nachfolgend "Verantwortliche") mit der BeautyFlow GmbH (nachfolgend "Auftragsverarbeiter") die folgende Auftragsverarbeitungsvereinbarung. Sie ist Bestandteil dieser AGB und wird in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO geschlossen.

§ 1 Gegenstand und Dauer

(1) Gegenstand: Bereitstellung und Betrieb der SaaS-Plattform "BeautyFlow" einschließlich Datenhaltung in einer Supabase-Instanz in einem Rechenzentrum der Hetzner Online GmbH in Deutschland.

(2) Dauer: Die Auftragsverarbeitung beginnt mit Inkrafttreten des Nutzungsvertrags und endet mit dessen Beendigung. Anschließend gelten die Lösch-/Rückgabepflichten nach § 9.

§ 2 Art und Zweck der Verarbeitung

(1) Art: Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln an Unterauftragsverarbeiter (§ 6), Pseudonymisieren, Einschränken und Löschen.

(2) Zweck: Bereitstellung der vertraglich vereinbarten Funktionen, insbesondere:

Praxis-Stammdaten-, Team- und Rollenverwaltung
Patientenakten (Stammdaten, Anamnese, Aufklärung, Behandlungsverlauf)
Termin-Kalender und 4-Stufen-Behandlungs-Workflow
Aufzeichnung, Transkription und KI-gestützte Zusammenfassung von Beratungsgesprächen (optional, nur mit Patienteneinwilligung)
Video-Sprechstunden (optional)
Anamnese- und Aufklärungsbögen inkl. digitaler Signatur
Behandlungs-Dokumentation inkl. Vorher-/Nachher-Fotos, Produkt-/Chargen-Verbrauch
Rechnungen, Angebote, Wartelisten, Lager- und Bestellverwaltung
Online-Buchung/Buchungs-Widget
Anbindung an die BeautyPass-App (Anfragen, Terminabstimmung, Behandlungspass): Verarbeitung der von Endkunden an die Praxis gerichteten Anfrage- und Pass-Daten im Auftrag der Praxis

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

KategorieBeispiele
Patienten-/Endkunden-StammdatenName, Geburtsdatum, Adresse, Kontakt, Versicherten-Daten
Gesundheitsdaten (Art. 9 DSGVO)Anamnese, Diagnosen, Behandlungs-Historie, Fotos, Audio von Beratungsgesprächen
Biometrische Daten (Art. 9 DSGVO)Soweit aus der BeautyPass-Anbindung übermittelt (z. B. Scan-Ergebnisse)
Mitarbeiter-DatenName, E-Mail, Rolle, Login-Hash
Termin-/Abrechnungs-DatenDatum, Behandlungs-Code, Honorar, Rechnungsstatus
Kommunikations-DatenNachrichten/Chat im Anfrage-Workflow

Betroffene Personen: Patienten und Endkunden der Praxis, Praxis-Mitarbeiter sowie ggf. Geschäftspartner.

§ 4 Pflichten des Auftragsverarbeiters

(1) Verarbeitung ausschließlich auf dokumentierte Weisung der Verantwortlichen, sofern nicht eine gesetzliche Pflicht entgegensteht.

(2) Verpflichtung aller zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 b, Art. 29, Art. 32 Abs. 4 DSGVO).

(3) Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß § 7 (Anlage 1).

(4) Unterstützung der Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12-23 DSGVO), u. a. durch Auskunfts-Export, Lösch-/Anonymisierungs-Funktion und Berichtigung im Patientenprofil.

(5) Unterstützung der Verantwortlichen bei den Pflichten nach Art. 32-36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).

(6) Meldung von Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme.

(7) Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.

§ 5 Pflichten der Verantwortlichen

(1) Die Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich (insbesondere Vorliegen der Rechtsgrundlage, z. B. Patienteneinwilligung in Audio-/Foto-Aufnahmen).

(2) Sie informiert ihre Patienten/Endkunden über die Datenverarbeitung (eigene Datenschutzerklärung, Sub-Auftragsverarbeiter-Liste).

(3) Sie überträgt nur Daten, deren Verarbeitung sie für rechtmäßig hält, und erteilt Weisungen in Textform.

§ 6 Unterauftragsverarbeiter

(1) Die Verantwortliche stimmt der Inanspruchnahme der folgenden Unterauftragsverarbeiter zu:

Hetzner Online GmbH (Hosting/Datenbank/Backups, Deutschland)
Supabase (Backend-/Auth-/Storage-Schicht, EU)
Resend (transaktionaler E-Mail-Versand, EU)
AssemblyAI, Inc. (Transkription, EU-Region)
Anthropic, PBC (KI-Zusammenfassung, EU-Routing)
Daily.co, Inc. (Video-Sprechstunde, EU-Geofence)

(2) Geplant (mit gesonderter Vorabinformation und Widerspruchsmöglichkeit): Google Ireland Ltd. (Gmail-API für optionalen E-Mail-Ingest).

(3) Änderungen werden mindestens 14 Tage vor Inkrafttreten in Textform mitgeteilt; während dieser Frist besteht ein Sonderkündigungsrecht. Die jeweils aktuelle Liste ist öffentlich abrufbar (Sub-Auftragsverarbeiter-Liste).

(4) Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen inhaltlich gleichwertigen Vertrag und bleibt gegenüber der Verantwortlichen voll verantwortlich.

§ 7 Technische und organisatorische Maßnahmen (Anlage 1, Art. 32 DSGVO)

Hosting: Hetzner Online GmbH, Rechenzentrum Deutschland (ISO 27001, BSI C5)
Verschlüsselung: TLS 1.3 für alle Verbindungen; Verschlüsselung gespeicherter Daten (at rest)
Zugangs-/Zugriffskontrolle: Postgres-Row-Level-Security, Mandanten-Isolation pro Praxis, rollenbasierte Berechtigungen, Authentifizierung mit 2FA-Empfehlung
Trennungskontrolle: strikte Trennung der Praxis-Daten über die Mandanten-Kennung (practice_id)
Integrität: vollständiges Audit-Log aller schreibenden Vorgänge; unveränderbare Anamnese-PDFs; finalisierte Rechnungen nicht löschbar
Verfügbarkeit/Belastbarkeit: Health-Checks, automatischer Neustart, tägliche verschlüsselte Backups (30 Tage)
Wiederherstellbarkeit: dokumentierter Wiederherstellungsprozess
Sonderkategorien: Audio von Beratungsgesprächen wird nach Transkription gelöscht (Standard 24 Stunden, spätestens 30 Tage)

§ 8 Drittland-Übermittlungen

Soweit Unterauftragsverarbeiter in Drittländern (insbesondere USA) verarbeiten, erfolgt dies auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln (SCC, 2021/914) nebst Transfer Impact Assessment. Die Anbieter setzen EU-Region-Endpunkte bzw. EU-Geofencing ein.

§ 9 Beendigung, Rückgabe und Löschung

(1) Bei Beendigung wählt die Verantwortliche zwischen vollständigem Export aller Daten (innerhalb von 30 Tagen, danach Löschung) oder direkter Löschung.

(2) Gesetzliche Aufbewahrungspflichten (z. B. § 630f BGB, § 147 AO) gehen vor; entsprechende Daten werden für die Restdauer eingeschränkt aufbewahrt oder übergeben.

(3) Eine Löschbestätigung wird in Textform übermittelt.

§ 10 Kontroll- und Auditrechte

Die Verantwortliche kann die Einhaltung dieser Vereinbarung prüfen (Auskünfte/Belege, Online-Auditbericht, Vor-Ort-Audit mit mindestens 14 Tagen Vorankündigung). Der Auftragsverarbeiter stellt geeignete Nachweise/Zertifikate auf Anfrage bereit.