DSGVO Art. 28 Abs. 2 + 4: Transparenz-Pflicht

Sub-Processor-Liste BeautyFlow

Diese Liste benennt alle Unterauftragsverarbeiter (Sub-Processors), die die BeautyFlow GmbH (in Gründung) im Rahmen ihrer Auftragsverarbeitung für Praxis-Kunden einsetzt. Sie ist Teil jedes AVV zwischen BeautyFlow und einer Praxis-Kundin.

Stand: 16. Mai 2026, Änderungen werden Praxis-Kunden mindestens 14 Tage vor Inkrafttreten in Textform mitgeteilt. Praxen haben in diesem Zeitraum ein Sonderkündigungsrecht.

Aktive Sub-Processors

Hetzner Online GmbH
Zweck der Verarbeitung: Server-Hosting, Datenbank-Hosting, Backups. Verarbeitet alle Anwendungs-, Datenbank- und Backup-Inhalte.
Region: Rechenzentrum Nürnberg / Falkenstein, Deutschland (EU)
Rechtsgrundlage: DSGVO-AVV nach Art. 28 DSGVO
Zertifizierungen: ISO 27001, BSI C5 Type 2
AssemblyAI, Inc.
Optional: nur bei Nutzung des Features
Zweck der Verarbeitung: Sprach-zu-Text-Transkription und LLM-Gateway für Beratungsgespräch-Aufnahmen. Audio nach Transkription gelöscht.
Region: EU-Region Frankfurt (api.eu.assemblyai.com, llm-gateway.eu.assemblyai.com)
Rechtsgrundlage: DSGVO-AVV (DPA im AssemblyAI-Account), SCC 2021/914 für US-Mutter-Konzern
Zertifizierungen: SOC 2 Type II, HIPAA-fähig
Anthropic, PBC
Optional: nur bei Nutzung des Features
Zweck der Verarbeitung: KI-Zusammenfassung (Claude Haiku) der Transkripte aus Beratungsgesprächen. Klartext, ohne Audio. Kein Training auf Praxis-Daten.
Region: EU-Routing via AssemblyAI-LLM-Gateway bzw. direktes EU-Endpoint
Rechtsgrundlage: DSGVO-AVV (DPA mit Anthropic)
Zertifizierungen: SOC 2 Type II
Daily.co, Inc.
Optional: nur bei Nutzung des Features
Zweck der Verarbeitung: Video-Call-Infrastruktur für Online-Beratung. Live-Streams ohne persistente Mitschnitte. Räume nach max. 24 h beendet.
Region: EU-Geofence aktiv (geo: 'eu-central', Frankfurt)
Rechtsgrundlage: DSGVO-AVV (DPA im Pro-Plan-Compliance-Tab signierbar)
Zertifizierungen: HIPAA-fähig (BAA verfügbar), SOC 2

Geplante Sub-Processors (Phase 2)

Diese Dienste sind technisch vorbereitet, aber noch nicht aktiv im Einsatz. Bei Aktivierung erfolgt die 14-tägige Vorab-Information an alle Praxis-Kunden.

Google Ireland Limited
Geplant: noch nicht aktiv
Zweck der Verarbeitung: Gmail-API für optionale E-Mail-Ingest-Funktion (Premium). Nur Bestellbestätigungen via Heuristik gefiltert. OAuth-Refresh-Token.
Region: EU
Rechtsgrundlage: Praxis-eigener Google-Workspace-Vertrag bzw. Google-Privatnutzer-Bedingungen; BeautyFlow nutzt nur Praxis-OAuth-Token
Zertifizierungen: ISO 27001, SOC 2, BSI C5

Pflicht-Text für Praxis-Datenschutzerklärung

Beauftragte Dienstleister (Auftragsverarbeitung)

Zur Bereitstellung unserer Praxis-Software nutzen wir die Dienste der BeautyFlow GmbH, Deutschland. BeautyFlow verarbeitet alle in der Software erfassten Daten ausschließlich auf unsere Weisung im Rahmen eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

BeautyFlow setzt seinerseits folgende Unterauftragsverarbeiter ein:

  • Hetzner Online GmbH (Server-Hosting, Rechenzentrum Deutschland)
  • AssemblyAI, Inc. (Transkription für Beratungs­gespräche, EU-Region Frankfurt), nur wenn Sie der Aufnahme zustimmen
  • Anthropic, PBC (KI-Zusammenfassung der Transkripte, EU-Routing), nur wenn Sie der Aufnahme zustimmen
  • Daily.co, Inc. (Video-Call-Infrastruktur, EU-Geofence Frankfurt), nur bei Nutzung der Video-Sprechstunde

Eine vollständige Sub-Processor-Liste mit Sitz, verarbeiteten Daten und AVV-Status finden Sie unter dieser Seite.

Verantwortlich: BeautyFlow GmbH (in Gründung)

Kontakt für DSGVO-Anfragen: datenschutz@beautyflow.club