Subprocessor-Liste
Übersicht der Dienstleister, die Flurin im Rahmen der Plattform einsetzt.
Liste der Unterauftragsverarbeiter (Subprozessoren) – öffentliche Fassung
Dokument: Öffentliche Subprozessor-Liste / Trust-Center-Übersicht Version: 1.1 Stand: 17.06.2026 Status: Produktion – Pilot Anbieter / Auftragsverarbeiter: Jan Jerusalem, handelnd unter der Geschäftsbezeichnung „Flurin”, Freiburger Str. 25, 79853 Lenzkirch Zuständige Aufsichtsbehörde: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) Datenschutzkontakt: datenschutz@flurin.app Geltungsbereich: Praxen mit Sitz in Deutschland; Nutzung der Plattform „Flurin” im Auftrag der jeweiligen Praxis Abgeleitet aus: Vertrag zur Auftragsverarbeitung (AVV), Anlage 3 und § 9; Technische und organisatorische Maßnahmen (TOM), § 10.6
1. Zweck und Einordnung dieser Liste
Flurin stellt Praxen eine cloudbasierte Software-as-a-Service-Plattform zur digitalen Organisation von Wartelisten, Terminlücken, Aufnahmeformularen, Patientenkommunikation und weiteren administrativen Praxisprozessen bereit. Dabei verarbeitet Flurin personenbezogene Daten im Auftrag der jeweiligen Praxis als Verantwortlicher (Art. 28 DSGVO).
Diese öffentlich abrufbare Liste benennt die wesentlichen Unterauftragsverarbeiter (Subprozessoren), die Flurin zur Bereitstellung, zum Betrieb, zur Sicherheit, zur Kommunikation und zum Support der Plattform einsetzt. Sie dient der Transparenz gegenüber den Praxen und unterstützt die Information über beabsichtigte Änderungen nach § 9 des Vertrags zur Auftragsverarbeitung (AVV).
Diese öffentliche Fassung ist inhaltlich konsistent zur Anlage 3 des AVV und zu § 10.6 der Technischen und organisatorischen Maßnahmen (TOM). Im Verhältnis zwischen Flurin und der Praxis sind im Zweifel die jeweils vereinbarten Vertragsdokumente (AVV nebst Anlagen, TOM) maßgeblich; diese öffentliche Liste ergänzt sie zu Transparenzzwecken und tritt nicht an ihre Stelle.
1.1 Abgrenzung: Auftragsverarbeitung vs. eigene Verantwortlichkeit der Marketing-Website
Diese Liste betrifft ausschließlich Dienstleister, die personenbezogene Daten im Auftrag der Praxis im Rahmen der Plattform verarbeiten (Auftragsverarbeitung nach Art. 28 DSGVO).
Dienste, die ausschließlich auf der Marketing-Website von Flurin und damit in eigener datenschutzrechtlicher Verantwortung von Flurin (nicht im Auftrag einer Praxis) zum Einsatz kommen – insbesondere Cookiebot/Usercentrics (Consent-Management) und Google Analytics (Reichweitenmessung) –, sind nicht Bestandteil dieser AV-Subprozessor-Liste. Sie werden in der Datenschutzerklärung der Marketing-Website beschrieben, einschließlich der dortigen Drittlandbezüge (insbesondere USA bei Google Analytics; Google ist aktuell unter dem EU-US Data Privacy Framework zertifiziert, was laufend überwacht wird). Die technische und marketingseitige Trennung zwischen App und Marketing-Website auf flurin.app wird fortlaufend bestätigt.
2. Aktuelle wesentliche Unterauftragsverarbeiter (Auftragsverarbeitung im Auftrag der Praxis)
Die nachstehenden Anbieter verarbeiten personenbezogene Daten im Auftrag der Praxis. Die Angaben entsprechen Anlage 3 Ziffer 2 des AVV und § 10.6 der TOM.
| Anbieter | Sitz / Land | Leistung | Verarbeitete Datenarten | Drittlandtransfer | Garantien / Schutzmaßnahmen |
|---|---|---|---|---|---|
| Hetzner Online GmbH | Deutschland / EU | Serverbetrieb für Backend, PostgreSQL-Datenbank, Infrastruktur, Backups und technische Systemkomponenten | Praxisdaten, Patientendaten, Gesundheitsdaten, technische Daten, Protokolldaten | Nach aktuellem Betriebsmodell keine geplante Speicherung produktiver Patientendaten außerhalb Deutschlands | Wirksamer Auftragsverarbeitungsvertrag (AVV/DPA) nach Art. 28 DSGVO mit dem Anbieter, TOM des Anbieters, Rechenzentrums- und Infrastruktursicherheit; BSI-C5-Testat des Anbieters liegt vor und sein Geltungsbereich deckt die genutzte Produktlinie und Region ab |
| BunnyWay d.o.o. / bunny.net | Slowenien / EU; CDN- und DNS-Infrastruktur abhängig von der Konfiguration | Hosting und Auslieferung der statischen Frontends der Marketing-Website und der App, CDN, DNS-Verwaltung, technische Zugriffsdaten | IP-Adresse, technische Zugriffsdaten, Browserdaten, angeforderte Ressourcen, Hostnamen, ggf. URL-Pfade, DNS-bezogene Anfragedaten; keine geplante Speicherung produktiver Backend-Datenbankinhalte | Abhängig von CDN-/DNS-Konfiguration und Anbieterunterlagen; keine geplante Speicherung produktiver Patientendatensätze im CDN oder DNS; Drittland- und Sub-Unterauftragnehmer-Bezüge richten sich nach der jeweils gültigen Datenschutzvereinbarung des Anbieters | Datenschutzvereinbarung (DPA) mit dem Anbieter, datensparsame Konfiguration, keine Proxy-Verarbeitung der Backend-API ohne gesonderte Prüfung; die DPA sowie die Sub-Unterauftragnehmer- und Drittlandangaben des Anbieters werden bestätigt und abgelegt |
| Hanko GmbH | Deutschland / EU nach Anbieterunterlagen | Identity Management, Login, Authentifizierung, Nutzerverwaltung | Nutzer- und Login-Daten, E-Mail-Adressen, Authentifizierungsdaten, Session-/Login-Metadaten von Praxisnutzern; keine planmäßigen Patientendaten | Sitz und maßgebliche Verarbeitung nach Anbieterunterlagen in der EU; Drittland- und Sub-Unterauftragnehmer-Bezüge richten sich nach dem gewählten Hosting und der Datenschutzvereinbarung des Anbieters | Datenschutzvereinbarung (DPA) mit dem Anbieter, moderne Authentifizierung (MFA/Passkeys, soweit verfügbar), Zugriffsbeschränkung; die DPA sowie die Sub-Unterauftragnehmer- und Drittlandangaben des Anbieters werden bestätigt und abgelegt |
| Sendinblue SAS / Brevo | Frankreich / EU nach Anbieterunterlagen | Versand transaktionaler E-Mails und sonstiger E-Mail-Kommunikation im Auftrag der Praxis | E-Mail-Adressen, Namen, Kommunikationsinhalte, Versand- und Zustellmetadaten; Inhalte werden datensparsam gestaltet | Sitz und maßgebliche Verarbeitung nach Anbieterunterlagen in der EU; etwaige Drittlandbezüge des Anbieters werden über EU-US-DPF-Zertifizierung bzw. Standardvertragsklauseln (SCC) abgesichert, Sub-Unterauftragnehmer richten sich nach der Datenschutzvereinbarung des Anbieters | Datenschutzvereinbarung (DPA) mit dem Anbieter, SPF/DKIM/DMARC (produktiv aktiv), datensparsame E-Mail-Inhalte, keine unnötigen Gesundheitsdaten in Betreffzeilen; die DPA sowie die Sub-Unterauftragnehmer-, DPF-/SCC- und Drittlandangaben des Anbieters werden bestätigt und abgelegt |
Hinweise zu den Garantien:
- Sämtliche vorstehend genannten Anbieter haben ihren Sitz und die maßgebliche Verarbeitung innerhalb der EU/des EWR. Soweit einzelne Anbieter (etwa Brevo) Sub-Unterauftragnehmer mit Drittlandbezug einsetzen, werden diese über eine EU-US-DPF-Zertifizierung bzw. Standardvertragsklauseln (SCC) abgesichert; die DPA sowie die Sub-Unterauftragnehmer- und Drittlandangaben von Brevo, Bunny.net und Hanko werden bestätigt und abgelegt.
- Der maßgebliche Anbieter Hetzner (Verarbeitung produktiver Gesundheitsdaten) verfügt über ein BSI-C5-Testat (Cloud Computing Compliance Criteria Catalogue), dessen Geltungsbereich die genutzte Produktlinie und Region abdeckt. Flurin selbst beansprucht in der Pilot- und Aufbauphase keinen eigenen C5-/ISO-27001-/SOC-2-zertifizierten Betrieb (vgl. TOM § 22.3). Bei Bunny.net ist die C5-Relevanz aufgrund der Beschränkung auf technische Zugriffs-/DNS-Daten geringer einzuordnen. Die Anwendbarkeit des § 393 SGB V auf Heilmittelerbringer wird anwaltlich abschließend geklärt und vorsorglich entsprechend behandelt.
- Die Schutzmaßnahmen entsprechen den in AVV Anlage 3 und TOM § 10.6 dokumentierten und produktiv aktiven Maßnahmen (insbesondere TLS-Transportverschlüsselung, Verschlüsselung at rest, MFA für Admin-Zugriffe, Mandantentrennung, Backup mit erfolgreichem Restore-Test sowie SPF/DKIM/DMARC). Der tatsächliche Abschluss der Anbieter-AVV/DPA wird im Rahmen der internen Nachweisführung dokumentiert (siehe Abschnitt 6).
3. Weitere technische/organisatorische Anbieter ohne planmäßige Verarbeitung produktiver Praxis- oder Patientendaten
Der folgende Anbieter ist für den technischen Betrieb bzw. die organisatorische Verwaltung von Flurin relevant, verarbeitet nach aktueller Architektur jedoch keine produktiven Praxis-, Patienten- oder Gesundheitsdaten im Auftrag der Praxis. Die Aufführung erfolgt aus Transparenzgründen (entspricht Anlage 3 Ziffer 3 des AVV).
| Anbieter | Sitz / Land | Leistung | Verarbeitete Datenarten | Einordnung / Hinweis |
|---|---|---|---|---|
| United-Domains AG | Deutschland / EU | Domainregistrierung und Domainverwaltung der Flurin-Domains | Domain-, Vertrags-, Rechnungs- und Administrationsdaten von Flurin; keine produktiven Praxis-, Patienten- oder Gesundheitsdaten | Nach aktueller Architektur kein Unterauftragsverarbeiter für produktive Patientendaten der Praxen; relevant für allgemeine Domain- und Unternehmensverwaltung |
4. Nicht im Einsatz / optionale Dienste (Pilot)
Die folgenden Dienste werden im aktuellen Pilotbetrieb derzeit nicht eingesetzt. Sie werden hier aus Transparenzgründen genannt und – soweit sie künftig personenbezogene Daten im Auftrag verarbeiten – erst nach dokumentierter datenschutzrechtlicher Prüfung und nach Aufnahme in diese Liste sowie in Anlage 3 des AVV eingesetzt (vgl. Anlage 3 Ziffer 4 des AVV).
| Anbieter | Vorgesehene Leistung | Status |
|---|---|---|
| Stripe | Zahlungsabwicklung / Billing | Derzeit nicht im Einsatz – im Pilot erfolgt keine aktive Zahlungsabwicklung. Rollenklärung, Subprozessor-Listung und etwaige Drittlandbewertung erst bei Aktivierung der Bezahlfunktion. |
| GitHub | Quellcode-/CI-Dienste | Derzeit nicht als Subprozessor für personenbezogene Daten der Praxen im Einsatz. Eine etwaige Nutzung verarbeitet keine produktiven Patientendaten; eine Drittlandbewertung erfolgt nur bei tatsächlichem personenbezogenem Einsatz. |
Weitere Dienste – insbesondere Zahlungsdienstleister, Monitoring-/Error-Tracking-Dienste, Analytics-Dienste oder KI-Dienstleister – werden erst nach datenschutzrechtlicher Prüfung und Aufnahme in diese Liste eingesetzt, soweit sie personenbezogene Daten im Auftrag verarbeiten.
5. Änderungs- und Widerspruchsverfahren
Das nachstehende Verfahren entspricht § 9 des Vertrags zur Auftragsverarbeitung (AVV). Im Verhältnis zur Praxis ist der Wortlaut des AVV maßgeblich.
5.1 Allgemeine Genehmigung
Die Praxis erteilt Flurin mit dem AVV eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern, soweit dies für Bereitstellung, Betrieb, Sicherheit, Kommunikation, Support oder sonstige Funktionen der Plattform erforderlich ist (AVV § 9.1).
5.2 Information über Änderungen und Vorlauf
Flurin informiert die Praxis über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Die Information erfolgt mit angemessenem Vorlauf, soweit dies praktisch möglich ist. Sicherheitsrelevante oder technisch zwingende Änderungen können auch kurzfristiger erfolgen, wenn dies zum Schutz der Plattform oder zur Sicherstellung des Betriebs erforderlich ist (AVV § 9.4).
Die jeweils aktuelle Liste wird in geeigneter Form bereitgestellt, insbesondere über diese öffentlich abrufbare Fassung, innerhalb der Plattform oder auf Anfrage (AVV § 9.2).
5.3 Widerspruchsrecht (14 Kalendertage)
Die Praxis kann aus wichtigem datenschutzrechtlichem Grund gegen die Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters widersprechen. Der Widerspruch ist innerhalb von 14 Kalendertagen nach Information durch Flurin in Textform zu erklären und zu begründen (AVV § 9.5).
Widersprüche und datenschutzbezogene Rückfragen können an den Datenschutzkontakt datenschutz@flurin.app gerichtet werden.
5.4 Folgen eines Widerspruchs
Im Falle eines berechtigten Widerspruchs suchen die Parteien nach einer angemessenen Lösung. Ist eine zumutbare Lösung nicht möglich, ist Flurin berechtigt, die betroffene Leistung ganz oder teilweise einzustellen oder das Vertragsverhältnis außerordentlich zu kündigen, soweit der Einsatz des betroffenen Unterauftragsverarbeiters für die Leistungserbringung erforderlich ist (AVV § 9.6).
5.5 Pflichten gegenüber Unterauftragsverarbeitern
Flurin schließt mit Unterauftragsverarbeitern Vereinbarungen ab, die diesen im Wesentlichen gleichwertige Datenschutzpflichten auferlegen, wie sie Flurin gegenüber der Praxis treffen (AVV § 9.3). Die Auswahl erfolgt nach dokumentierter Prüfung (vgl. TOM § 10.4 und § 10.5).
6. Nachweise und interne Dokumentation
Der tatsächliche Abschluss der Auftragsverarbeitungsverträge bzw. Datenschutzvereinbarungen (DPA) mit den vorstehend genannten Anbietern sowie der Status etwaiger Zertifizierungen (insbesondere C5 für Hetzner) werden intern dokumentiert und auf Anfrage in geeigneter Form gegenüber der Praxis belegt. Die hierfür vorgesehene operative Nachweisführung ist Gegenstand einer gesonderten internen Nachweis-Checkliste (Referenz, nicht Bestandteil dieser öffentlichen Liste).
Haftungshinweis
Diese öffentliche Subprozessor-Liste dient der Transparenz und der Information über beabsichtigte Änderungen der eingesetzten Unterauftragsverarbeiter. Sie ersetzt nicht die zwischen Flurin und der Praxis geschlossenen Vertragsdokumente (insbesondere den Vertrag zur Auftragsverarbeitung nebst Anlagen sowie die Technischen und organisatorischen Maßnahmen); im Zweifel sind diese maßgeblich. Einzelne anbieterseitig zu belegende Angaben (insbesondere die Datenschutzvereinbarungen sowie die Sub-Unterauftragnehmer- und Drittlandangaben von Brevo, Bunny.net und Hanko) werden bestätigt und abgelegt und bei Änderungen aktualisiert. Eine anwaltliche Prüfung im Einzelfall – insbesondere zur Anwendbarkeit des § 393 SGB V auf Heilmittelerbringer – wird empfohlen. Diese Liste stellt keine Rechtsberatung im Einzelfall dar.
Ende der öffentlichen Subprozessor-Liste