Auftragsverarbeitungs-Vereinbarung

Verantwortliche:r (Controller): Die Therapeutin/ der Therapeut, die/der das Echo-Konto unterhält. Sie sind verantwortlich für die Erhebung, Verarbeitungsgrundlage und Auskunftspflicht gegenüber Ihren Klient:innen.

Auftragsverarbeiterin (Processor): Echo, betrieben von Richard Quick (vorerst Einzelunternehmen, Übergang in eine Gesellschaft vor allgemeiner Verfügbarkeit). Kontakt: privacy@echoforever.life.

Gegenstand: Bereitstellung des Echo-Dienstes — asynchrone Begleitung Ihrer Klient:innen zwischen Sitzungen über einen sicheren Link/QR-Code, einschließlich Konversationsspeicherung, Krisensignal-Erkennung und Therapeut:innen-Dashboard.

Echo verarbeitet ausschließlich Daten, die für den Betrieb des Dienstes erforderlich sind:

• den von Ihnen vergebenen Anzeigenamen Ihrer Klient:innen (Vorname genügt — kein voller Name nötig)
• Altersbereich, Anliegen, Therapieziele, Coping-Strategien
• Krisen-Signalwörter, Kommunikationston
• Konversationen zwischen Klient:in und Echo (Text, Zeitstempel)
• optionale ICD-10-Codes (für klinischen Kontext und Versicherungsabrechnung)

Es werden keine Klarnamen, Geburtsdaten, Adressen, Telefonnummern, E-Mail-Adressen, Versicherungsdaten oder weitere Patientenstammdaten erhoben. Diese verbleiben in Ihrer Praxisverwaltung/Ihrem EHR.

Klient:innen, die von Ihnen einen Echo-Freigabelink erhalten und diesem zugestimmt haben (Consent-Flow auf /consent).

Echo verpflichtet sich:

• personenbezogene Daten ausschließlich nach dokumentierter Weisung zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• zur Vertraulichkeit verpflichtetes Personal einzusetzen (Art. 28 Abs. 3 lit. b);
• geeignete technische und organisatorische Maßnahmen (TOM) zu ergreifen — siehe Abschnitt 6;
• Sub-Auftragsverarbeiter nur mit vorheriger allgemeiner Genehmigung zu beauftragen — siehe Abschnitt 7;
• Sie bei Anfragen betroffener Personen zu unterstützen (Auskunft, Löschung, Datenübertragbarkeit) — Art. 28 Abs. 3 lit. e;
• Sie bei Datenschutz-Folgenabschätzungen zu unterstützen (Art. 35 DSGVO);
• nach Beendigung dieser Vereinbarung alle personenbezogenen Daten zu löschen (siehe Abschnitt 9).

Sie als Verantwortliche:r verpflichten sich:

• eine eigene Rechtsgrundlage für die Verarbeitung Ihrer Klient:innendaten zu unterhalten (i. d. R. Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO oder Behandlungsvertrag nach Art. 9 Abs. 2 lit. h);
• Klient:innen über die Echo-Nutzung zu informieren, bevor Sie einen Freigabelink versenden;
• keine besonderen Datenkategorien einzugeben, die über das klinisch erforderliche Mindestmaß hinausgehen;
• Anfragen betroffener Personen primär selbst zu beantworten und Echo nur unterstützend hinzuzuziehen.

Echo setzt mindestens die folgenden Maßnahmen ein. Detaillierte Beschreibung auf Anfrage; Zertifizierungsstand wird vor allgemeiner Verfügbarkeit ergänzt.

• Datenresidenz EU. Anwendungs- und Datenbank-Hosting ausschließlich in deutschen Rechenzentren (Hetzner, Falkenstein/ Nürnberg).
• Verschlüsselung in Transit. TLS 1.2+ für sämtliche Verbindungen, HSTS-präloadiert.
• Verschlüsselung at Rest. Datenbank-Volumes (Postgres, Supabase) verschlüsselt auf dem Speicherlayer.
• Zugangskontrolle. Mehr-Faktor-Authentifizierung (TOTP) für Therapeut:innen-Konten, rollenbasierter Zugriff (RLS) auf Datenbankebene.
• Audit-Log. Alle datenschutzrelevanten Ereignisse (Login, Datenzugriff, Löschung, Export) werden append-only protokolliert (Art. 5 Abs. 2 DSGVO).
• Backups. Automatische tägliche Backups, 30 Tage Retention, gleiche EU-Region.
• Pseudonymisierung. Klient:innen werden über pseudonyme Anzeigenamen verwaltet; Klarnamen werden nicht erhoben.

Sie genehmigen mit Annahme dieser Vereinbarung allgemein die Inanspruchnahme der folgenden Sub-Auftragsverarbeiter. Echo informiert Sie per E-Mail mindestens 14 Tage vor Hinzufügen oder Wechsel; Sie haben in dieser Frist ein begründetes Widerspruchsrecht.

Übermittlungen in Drittländer (USA) erfolgen ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Beschluss 2021/914 oder Angemessenheitsbeschlüssen (z. B. EU-US Data Privacy Framework, soweit anwendbar).

Echo informiert Sie unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten Ihrer Klient:innen — einschließlich Art, Kategorie betroffener Personen, voraussichtlichen Folgen und ergriffenen Maßnahmen. Sie sind als Verantwortliche:r für die Meldung an die zuständige Aufsichtsbehörde verantwortlich (Art. 33 DSGVO).

Bei Kündigung Ihres Echo-Kontos werden Ihre Daten und die Daten Ihrer Klient:innen für 30 Tage in den Soft-Delete-Status versetzt (zur Wiederherstellung im Irrtumsfall) und anschließend unwiderruflich gelöscht. Sie können jederzeit über Einstellungen → Datenschutz einen Datenexport (Art. 15, 20 DSGVO) anfordern. Audit-Log-Einträge werden für 6 Jahre nach Beendigung aufbewahrt (gesetzliche Aufbewahrungsfristen, Art. 30 DSGVO).

Es gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig, Berlin. Die Haftung folgt den Bestimmungen der DSGVO und des BDSG.

Diese Vereinbarung tritt mit Ihrer Annahme in Echo (Einstellungen → Datenschutz) in Kraft. Echo informiert Sie per E-Mail über wesentliche Änderungen mindestens 30 Tage vor Inkrafttreten; Sie können in dieser Frist widersprechen.

Aktuelle Version: 1.0 (Entwurf) · Stand April 2026

Datenschutzanfragen: privacy@echoforever.life. Für allgemeine Fragen: hello@echoforever.life.

Hinweis: Diese Seite ist eine zusammenfassende Darstellung der Auftragsverarbeitungs-Vereinbarung. Die unterzeichnungsfähige Volltextversion (PDF) wird auf Anfrage bereitgestellt und steht nach abgeschlossener juristischer Prüfung zum Download bereit.