Flurin
So funktioniert's Einrichtung Warum Flurin Datenschutz Preise FAQ Zum Start vormerken

Inhalt

1.1 Abgrenzung: Auftragsverarbeitung vs. eigene Verantwortlichkeit der Marketing-Website
5.1 Allgemeine Genehmigung5.2 Information über Änderungen und Vorlauf5.3 Widerspruchsrecht (14 Kalendertage)5.4 Folgen eines Widerspruchs5.5 Pflichten gegenüber Unterauftragsverarbeitern
Zurück zu Vertrauen & Recht
Vertrauen & Recht

Subprocessor-Liste

Übersicht der Dienstleister, die Flurin im Rahmen der Plattform einsetzt.

Version 1.1 Stand: 17.06.2026 Gültig ab: 17.06.2026 Zielgruppe: Praxen, Datenschutzverantwortliche, Investoren und Partner Betreiber: Jan Jerusalem, handelnd unter "Flurin"

Liste der Unterauftragsverarbeiter (Subprozessoren) – öffentliche Fassung

Dokument: Öffentliche Subprozessor-Liste / Trust-Center-Übersicht Version: 1.1 Stand: 17.06.2026 Status: Produktion – Pilot Anbieter / Auftragsverarbeiter: Jan Jerusalem, handelnd unter der Geschäftsbezeichnung „Flurin”, Freiburger Str. 25, 79853 Lenzkirch Zuständige Aufsichtsbehörde: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) Datenschutzkontakt: datenschutz@flurin.app Geltungsbereich: Praxen mit Sitz in Deutschland; Nutzung der Plattform „Flurin” im Auftrag der jeweiligen Praxis Abgeleitet aus: Vertrag zur Auftragsverarbeitung (AVV), Anlage 3 und § 9; Technische und organisatorische Maßnahmen (TOM), § 10.6


1. Zweck und Einordnung dieser Liste

Flurin stellt Praxen eine cloudbasierte Software-as-a-Service-Plattform zur digitalen Organisation von Wartelisten, Terminlücken, Aufnahmeformularen, Patientenkommunikation und weiteren administrativen Praxisprozessen bereit. Dabei verarbeitet Flurin personenbezogene Daten im Auftrag der jeweiligen Praxis als Verantwortlicher (Art. 28 DSGVO).

Diese öffentlich abrufbare Liste benennt die wesentlichen Unterauftragsverarbeiter (Subprozessoren), die Flurin zur Bereitstellung, zum Betrieb, zur Sicherheit, zur Kommunikation und zum Support der Plattform einsetzt. Sie dient der Transparenz gegenüber den Praxen und unterstützt die Information über beabsichtigte Änderungen nach § 9 des Vertrags zur Auftragsverarbeitung (AVV).

Diese öffentliche Fassung ist inhaltlich konsistent zur Anlage 3 des AVV und zu § 10.6 der Technischen und organisatorischen Maßnahmen (TOM). Im Verhältnis zwischen Flurin und der Praxis sind im Zweifel die jeweils vereinbarten Vertragsdokumente (AVV nebst Anlagen, TOM) maßgeblich; diese öffentliche Liste ergänzt sie zu Transparenzzwecken und tritt nicht an ihre Stelle.

1.1 Abgrenzung: Auftragsverarbeitung vs. eigene Verantwortlichkeit der Marketing-Website

Diese Liste betrifft ausschließlich Dienstleister, die personenbezogene Daten im Auftrag der Praxis im Rahmen der Plattform verarbeiten (Auftragsverarbeitung nach Art. 28 DSGVO).

Dienste, die ausschließlich auf der Marketing-Website von Flurin und damit in eigener datenschutzrechtlicher Verantwortung von Flurin (nicht im Auftrag einer Praxis) zum Einsatz kommen – insbesondere Cookiebot/Usercentrics (Consent-Management) und Google Analytics (Reichweitenmessung) –, sind nicht Bestandteil dieser AV-Subprozessor-Liste. Sie werden in der Datenschutzerklärung der Marketing-Website beschrieben, einschließlich der dortigen Drittlandbezüge (insbesondere USA bei Google Analytics; Google ist aktuell unter dem EU-US Data Privacy Framework zertifiziert, was laufend überwacht wird). Die technische und marketingseitige Trennung zwischen App und Marketing-Website auf flurin.app wird fortlaufend bestätigt.

2. Aktuelle wesentliche Unterauftragsverarbeiter (Auftragsverarbeitung im Auftrag der Praxis)

Die nachstehenden Anbieter verarbeiten personenbezogene Daten im Auftrag der Praxis. Die Angaben entsprechen Anlage 3 Ziffer 2 des AVV und § 10.6 der TOM.

AnbieterSitz / LandLeistungVerarbeitete DatenartenDrittlandtransferGarantien / Schutzmaßnahmen
Hetzner Online GmbHDeutschland / EUServerbetrieb für Backend, PostgreSQL-Datenbank, Infrastruktur, Backups und technische SystemkomponentenPraxisdaten, Patientendaten, Gesundheitsdaten, technische Daten, ProtokolldatenNach aktuellem Betriebsmodell keine geplante Speicherung produktiver Patientendaten außerhalb DeutschlandsWirksamer Auftragsverarbeitungsvertrag (AVV/DPA) nach Art. 28 DSGVO mit dem Anbieter, TOM des Anbieters, Rechenzentrums- und Infrastruktursicherheit; BSI-C5-Testat des Anbieters liegt vor und sein Geltungsbereich deckt die genutzte Produktlinie und Region ab
BunnyWay d.o.o. / bunny.netSlowenien / EU; CDN- und DNS-Infrastruktur abhängig von der KonfigurationHosting und Auslieferung der statischen Frontends der Marketing-Website und der App, CDN, DNS-Verwaltung, technische ZugriffsdatenIP-Adresse, technische Zugriffsdaten, Browserdaten, angeforderte Ressourcen, Hostnamen, ggf. URL-Pfade, DNS-bezogene Anfragedaten; keine geplante Speicherung produktiver Backend-DatenbankinhalteAbhängig von CDN-/DNS-Konfiguration und Anbieterunterlagen; keine geplante Speicherung produktiver Patientendatensätze im CDN oder DNS; Drittland- und Sub-Unterauftragnehmer-Bezüge richten sich nach der jeweils gültigen Datenschutzvereinbarung des AnbietersDatenschutzvereinbarung (DPA) mit dem Anbieter, datensparsame Konfiguration, keine Proxy-Verarbeitung der Backend-API ohne gesonderte Prüfung; die DPA sowie die Sub-Unterauftragnehmer- und Drittlandangaben des Anbieters werden bestätigt und abgelegt
Hanko GmbHDeutschland / EU nach AnbieterunterlagenIdentity Management, Login, Authentifizierung, NutzerverwaltungNutzer- und Login-Daten, E-Mail-Adressen, Authentifizierungsdaten, Session-/Login-Metadaten von Praxisnutzern; keine planmäßigen PatientendatenSitz und maßgebliche Verarbeitung nach Anbieterunterlagen in der EU; Drittland- und Sub-Unterauftragnehmer-Bezüge richten sich nach dem gewählten Hosting und der Datenschutzvereinbarung des AnbietersDatenschutzvereinbarung (DPA) mit dem Anbieter, moderne Authentifizierung (MFA/Passkeys, soweit verfügbar), Zugriffsbeschränkung; die DPA sowie die Sub-Unterauftragnehmer- und Drittlandangaben des Anbieters werden bestätigt und abgelegt
Sendinblue SAS / BrevoFrankreich / EU nach AnbieterunterlagenVersand transaktionaler E-Mails und sonstiger E-Mail-Kommunikation im Auftrag der PraxisE-Mail-Adressen, Namen, Kommunikationsinhalte, Versand- und Zustellmetadaten; Inhalte werden datensparsam gestaltetSitz und maßgebliche Verarbeitung nach Anbieterunterlagen in der EU; etwaige Drittlandbezüge des Anbieters werden über EU-US-DPF-Zertifizierung bzw. Standardvertragsklauseln (SCC) abgesichert, Sub-Unterauftragnehmer richten sich nach der Datenschutzvereinbarung des AnbietersDatenschutzvereinbarung (DPA) mit dem Anbieter, SPF/DKIM/DMARC (produktiv aktiv), datensparsame E-Mail-Inhalte, keine unnötigen Gesundheitsdaten in Betreffzeilen; die DPA sowie die Sub-Unterauftragnehmer-, DPF-/SCC- und Drittlandangaben des Anbieters werden bestätigt und abgelegt

Hinweise zu den Garantien:

  • Sämtliche vorstehend genannten Anbieter haben ihren Sitz und die maßgebliche Verarbeitung innerhalb der EU/des EWR. Soweit einzelne Anbieter (etwa Brevo) Sub-Unterauftragnehmer mit Drittlandbezug einsetzen, werden diese über eine EU-US-DPF-Zertifizierung bzw. Standardvertragsklauseln (SCC) abgesichert; die DPA sowie die Sub-Unterauftragnehmer- und Drittlandangaben von Brevo, Bunny.net und Hanko werden bestätigt und abgelegt.
  • Der maßgebliche Anbieter Hetzner (Verarbeitung produktiver Gesundheitsdaten) verfügt über ein BSI-C5-Testat (Cloud Computing Compliance Criteria Catalogue), dessen Geltungsbereich die genutzte Produktlinie und Region abdeckt. Flurin selbst beansprucht in der Pilot- und Aufbauphase keinen eigenen C5-/ISO-27001-/SOC-2-zertifizierten Betrieb (vgl. TOM § 22.3). Bei Bunny.net ist die C5-Relevanz aufgrund der Beschränkung auf technische Zugriffs-/DNS-Daten geringer einzuordnen. Die Anwendbarkeit des § 393 SGB V auf Heilmittelerbringer wird anwaltlich abschließend geklärt und vorsorglich entsprechend behandelt.
  • Die Schutzmaßnahmen entsprechen den in AVV Anlage 3 und TOM § 10.6 dokumentierten und produktiv aktiven Maßnahmen (insbesondere TLS-Transportverschlüsselung, Verschlüsselung at rest, MFA für Admin-Zugriffe, Mandantentrennung, Backup mit erfolgreichem Restore-Test sowie SPF/DKIM/DMARC). Der tatsächliche Abschluss der Anbieter-AVV/DPA wird im Rahmen der internen Nachweisführung dokumentiert (siehe Abschnitt 6).

3. Weitere technische/organisatorische Anbieter ohne planmäßige Verarbeitung produktiver Praxis- oder Patientendaten

Der folgende Anbieter ist für den technischen Betrieb bzw. die organisatorische Verwaltung von Flurin relevant, verarbeitet nach aktueller Architektur jedoch keine produktiven Praxis-, Patienten- oder Gesundheitsdaten im Auftrag der Praxis. Die Aufführung erfolgt aus Transparenzgründen (entspricht Anlage 3 Ziffer 3 des AVV).

AnbieterSitz / LandLeistungVerarbeitete DatenartenEinordnung / Hinweis
United-Domains AGDeutschland / EUDomainregistrierung und Domainverwaltung der Flurin-DomainsDomain-, Vertrags-, Rechnungs- und Administrationsdaten von Flurin; keine produktiven Praxis-, Patienten- oder GesundheitsdatenNach aktueller Architektur kein Unterauftragsverarbeiter für produktive Patientendaten der Praxen; relevant für allgemeine Domain- und Unternehmensverwaltung

4. Nicht im Einsatz / optionale Dienste (Pilot)

Die folgenden Dienste werden im aktuellen Pilotbetrieb derzeit nicht eingesetzt. Sie werden hier aus Transparenzgründen genannt und – soweit sie künftig personenbezogene Daten im Auftrag verarbeiten – erst nach dokumentierter datenschutzrechtlicher Prüfung und nach Aufnahme in diese Liste sowie in Anlage 3 des AVV eingesetzt (vgl. Anlage 3 Ziffer 4 des AVV).

AnbieterVorgesehene LeistungStatus
StripeZahlungsabwicklung / BillingDerzeit nicht im Einsatz – im Pilot erfolgt keine aktive Zahlungsabwicklung. Rollenklärung, Subprozessor-Listung und etwaige Drittlandbewertung erst bei Aktivierung der Bezahlfunktion.
GitHubQuellcode-/CI-DiensteDerzeit nicht als Subprozessor für personenbezogene Daten der Praxen im Einsatz. Eine etwaige Nutzung verarbeitet keine produktiven Patientendaten; eine Drittlandbewertung erfolgt nur bei tatsächlichem personenbezogenem Einsatz.

Weitere Dienste – insbesondere Zahlungsdienstleister, Monitoring-/Error-Tracking-Dienste, Analytics-Dienste oder KI-Dienstleister – werden erst nach datenschutzrechtlicher Prüfung und Aufnahme in diese Liste eingesetzt, soweit sie personenbezogene Daten im Auftrag verarbeiten.

5. Änderungs- und Widerspruchsverfahren

Das nachstehende Verfahren entspricht § 9 des Vertrags zur Auftragsverarbeitung (AVV). Im Verhältnis zur Praxis ist der Wortlaut des AVV maßgeblich.

5.1 Allgemeine Genehmigung

Die Praxis erteilt Flurin mit dem AVV eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern, soweit dies für Bereitstellung, Betrieb, Sicherheit, Kommunikation, Support oder sonstige Funktionen der Plattform erforderlich ist (AVV § 9.1).

5.2 Information über Änderungen und Vorlauf

Flurin informiert die Praxis über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Die Information erfolgt mit angemessenem Vorlauf, soweit dies praktisch möglich ist. Sicherheitsrelevante oder technisch zwingende Änderungen können auch kurzfristiger erfolgen, wenn dies zum Schutz der Plattform oder zur Sicherstellung des Betriebs erforderlich ist (AVV § 9.4).

Die jeweils aktuelle Liste wird in geeigneter Form bereitgestellt, insbesondere über diese öffentlich abrufbare Fassung, innerhalb der Plattform oder auf Anfrage (AVV § 9.2).

5.3 Widerspruchsrecht (14 Kalendertage)

Die Praxis kann aus wichtigem datenschutzrechtlichem Grund gegen die Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters widersprechen. Der Widerspruch ist innerhalb von 14 Kalendertagen nach Information durch Flurin in Textform zu erklären und zu begründen (AVV § 9.5).

Widersprüche und datenschutzbezogene Rückfragen können an den Datenschutzkontakt datenschutz@flurin.app gerichtet werden.

5.4 Folgen eines Widerspruchs

Im Falle eines berechtigten Widerspruchs suchen die Parteien nach einer angemessenen Lösung. Ist eine zumutbare Lösung nicht möglich, ist Flurin berechtigt, die betroffene Leistung ganz oder teilweise einzustellen oder das Vertragsverhältnis außerordentlich zu kündigen, soweit der Einsatz des betroffenen Unterauftragsverarbeiters für die Leistungserbringung erforderlich ist (AVV § 9.6).

5.5 Pflichten gegenüber Unterauftragsverarbeitern

Flurin schließt mit Unterauftragsverarbeitern Vereinbarungen ab, die diesen im Wesentlichen gleichwertige Datenschutzpflichten auferlegen, wie sie Flurin gegenüber der Praxis treffen (AVV § 9.3). Die Auswahl erfolgt nach dokumentierter Prüfung (vgl. TOM § 10.4 und § 10.5).

6. Nachweise und interne Dokumentation

Der tatsächliche Abschluss der Auftragsverarbeitungsverträge bzw. Datenschutzvereinbarungen (DPA) mit den vorstehend genannten Anbietern sowie der Status etwaiger Zertifizierungen (insbesondere C5 für Hetzner) werden intern dokumentiert und auf Anfrage in geeigneter Form gegenüber der Praxis belegt. Die hierfür vorgesehene operative Nachweisführung ist Gegenstand einer gesonderten internen Nachweis-Checkliste (Referenz, nicht Bestandteil dieser öffentlichen Liste).


Haftungshinweis

Diese öffentliche Subprozessor-Liste dient der Transparenz und der Information über beabsichtigte Änderungen der eingesetzten Unterauftragsverarbeiter. Sie ersetzt nicht die zwischen Flurin und der Praxis geschlossenen Vertragsdokumente (insbesondere den Vertrag zur Auftragsverarbeitung nebst Anlagen sowie die Technischen und organisatorischen Maßnahmen); im Zweifel sind diese maßgeblich. Einzelne anbieterseitig zu belegende Angaben (insbesondere die Datenschutzvereinbarungen sowie die Sub-Unterauftragnehmer- und Drittlandangaben von Brevo, Bunny.net und Hanko) werden bestätigt und abgelegt und bei Änderungen aktualisiert. Eine anwaltliche Prüfung im Einzelfall – insbesondere zur Anwendbarkeit des § 393 SGB V auf Heilmittelerbringer – wird empfohlen. Diese Liste stellt keine Rechtsberatung im Einzelfall dar.

Ende der öffentlichen Subprozessor-Liste

Flurin

Warteliste & Springersystem für Logopädie und Ergotherapie

Vertrauen Warum wir Flurin bauen Vertrauen & Recht Datenschutz Impressum
Kontakt Newsletter legal@flurin.app flurin.app
© 2026 · Flurin