vynora

Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO)

Stand: Mai 2026 · Version 1

Diese Vereinbarung ergänzt den Partner-Vertrag (Reseller) und regelt die DSGVO-konforme Verarbeitung personenbezogener Daten der vom Partner vermittelten Praxen. Patientendaten sind ausdrücklich nicht Gegenstand dieser Vereinbarung.

§ 1 Vertragsparteien

Diese Vereinbarung gilt zwischen der Vynora UG (haftungsbeschränkt) i. G., Heerstraße 29, 31079 Sibbesse („Vynora") und der natürlichen oder juristischen Person, die den Partner-Vertrag akzeptiert hat („Partner"). Beide Parteien sind gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO für die in § 2 genannten Datenverarbeitungen.

§ 2 Gegenstand und Datenkategorien

Gegenstand dieser Vereinbarung ist die Verarbeitung folgender personenbezogener Daten der vom Partner vermittelten Praxen und ihrer Inhaber/Mitarbeiter:

  • Praxis-Name, Anschrift, Telefonnummer
  • Name, E-Mail-Adresse und Funktion der Ansprechperson
  • Abonnement-Tarif, Vertragsstatus, Aktivierungsdatum
  • Abrechnungs-Metadaten (anteilige Provisionssumme, Fälligkeitsdatum)

Ausdrücklich nicht Gegenstand dieser Vereinbarung sind:

  • Patientendaten und Gesundheitsdaten (Art. 9 DSGVO)
  • Login-Credentials, Passwörter, API-Keys
  • Inhalte der TV-Aufrufe, Wartelisten, Notizen

§ 3 Zwecke der Verarbeitung

  • Vertriebsanbahnung und Betreuung vermittelter Praxen durch den Partner
  • Abrechnung und Auszahlung der Lifetime-Rev-Share-Provision
  • Reporting im Partner-Portal (anonymisierte Kennzahlen, Tier-Status)
  • Erfüllung gesetzlicher Pflichten (z. B. Steuerunterlagen, AO-Aufbewahrungsfristen)

§ 4 Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung Praxis ↔ Vynora, vermittelt durch Partner)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse von Vynora und Partner an Provisions-Abrechnung)
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten, z. B. Steuerunterlagen)

§ 5 Verteilung der Verantwortlichkeiten

Innerhalb der gemeinsamen Verantwortung gilt folgende Aufgabenverteilung (Art. 26 Abs. 1 S. 2 DSGVO):

Vynora ist verantwortlich für:

  • Sichere technische Bereitstellung des Partner-Portals (TLS, bcrypt, Audit-Log)
  • Datenminimierung — Partner sieht nur die für seine Tätigkeit erforderlichen Daten
  • Information vermittelter Praxen über die Datenweitergabe an den Partner (Datenschutzerklärung)
  • Erfüllung von Auskunfts-, Berichtigungs- und Löschanfragen (Art. 15–17 DSGVO)
  • Meldung von Datenschutzverletzungen an Behörden (Art. 33 DSGVO)

Der Partner ist verantwortlich für:

  • Vertrauliche Behandlung der zur Verfügung gestellten Daten
  • Sichere Speicherung lokaler Kopien (Verschlüsselung, Zugangsbeschränkung, nur autorisierte Mitarbeiter)
  • Keine Weitergabe an Dritte ohne ausdrückliche schriftliche Zustimmung von Vynora (Ausnahme: gesetzlich gebotene Auskünfte gegenüber Behörden)
  • Einhaltung der Zweckbindung — Daten dürfen nur für die in § 3 genannten Zwecke verwendet werden, insbesondere kein Direkt-Marketing für eigene oder fremde Produkte
  • Löschung lokaler Daten spätestens 30 Tage nach Ende des Partner-Vertrags
  • Unverzügliche Meldung an Vynora bei Verdacht auf Datenschutzverletzung

§ 6 Anlaufstelle für Betroffenenrechte

Gemäß Art. 26 Abs. 1 S. 3 DSGVO ist die Anlaufstelle für betroffene Personen ausschließlich Vynora. Anfragen sind zu richten an datenschutz@vynoramed.de.

Erreicht den Partner unmittelbar eine Betroffenenanfrage, leitet er diese unverzüglich an Vynora weiter (innerhalb von 3 Werktagen) und unterstützt bei der Beantwortung.

§ 7 Subunternehmer (Unterverarbeiter)

Der Partner darf für die hier geregelte Verarbeitung keine eigenen Subunternehmer einsetzen ohne vorherige schriftliche Zustimmung von Vynora. Die von Vynora eingesetzten Subprozessoren (Hetzner, Stripe, Resend etc.) sind in der Subprozessoren-Liste der Vynora-Datenschutzerklärung gelistet.

§ 8 Datentransfer in Drittländer

Eine Übermittlung der nach dieser Vereinbarung verarbeiteten Daten in Drittländer außerhalb der EU/des EWR durch den Partner ist nicht gestattet. Die Daten verbleiben innerhalb der EU.

§ 9 Technische und organisatorische Maßnahmen (TOM)

Der Partner verpflichtet sich, mindestens folgende TOMs umzusetzen:

  • Zugriffsschutz: Passwort-geschützter Arbeitsplatz, Sperrung bei Inaktivität
  • Verschlüsselung bei lokaler Speicherung (z. B. Festplatten-Verschlüsselung)
  • Aktuelle Antiviren-/Malware-Software
  • Schulung beauftragter Mitarbeiter zur DSGVO-Konformität
  • Vertrauliche Vernichtung von Ausdrucken (Aktenvernichter)

§ 10 Haftung im Außenverhältnis

Im Verhältnis zu betroffenen Personen haftet jede Partei nach Art. 82 DSGVO gesamtschuldnerisch. Im Innenverhältnis trägt jede Partei die Verantwortung für Pflichtverletzungen aus ihrem Verantwortungsbereich (§ 5). Bei Inanspruchnahme durch Betroffene oder Behörden besteht ein Regressanspruch entsprechend dem jeweiligen Verschuldensanteil.

§ 11 Dauer und Beendigung

Diese Vereinbarung beginnt mit Annahme durch den Partner und endet automatisch mit Beendigung des Partner-Vertrags. Nach Ende sind alle lokalen Datenbestände beim Partner innerhalb von 30 Tagen zu löschen; auf Verlangen ist die Löschung schriftlich zu bestätigen.

Gesetzliche Aufbewahrungsfristen (Steuerunterlagen, AO 10 Jahre) bleiben unberührt; für solche Daten gilt eine entsprechende Zweckbindung weiter.

§ 12 Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist der Sitz von Vynora. Änderungen dieser Vereinbarung bedürfen der Textform und einer erneuten Bestätigung beider Parteien.