Letzte Aktualisierung: 10. Juli 2025
1.1 Anwendungsbereich. Dieses Dokument legt die allgemeinen Nutzungsbedingungen (im Folgenden die "Bedingungen") der Online-Plattform namens "Tuduu" (im Folgenden die "Plattform") fest, die von Drilldown S.r.l. mit Sitz in Viale Isonzo 8, 20135 Mailand (MI), Italien, USt-IdNr./Steuernummer 12392590969 (im Folgenden "Drilldown") entwickelt und bereitgestellt wird. Diese Bedingungen gelten für alle professionellen Nutzer, die sich auf der Plattform registrieren und deren Dienste nutzen. Unter professionellen Nutzern versteht man beispielhaft: Ernährungsexperten (z. B. Ernährungsberater, Diätologen, Diätassistenten), die die Bereiche "Ricette" und "Nutrition" nutzen; Content-Ersteller und Content-Provider (die hauptsächlich den Bereich "Ricette" verwenden); sowie E-Commerce-Betreiber (die die Bereiche "Shop" und "Ricette" nutzen).
1.2 Annahme. Der Zugang, die Registrierung und jegliche Nutzung der Plattform durch den Nutzer setzen das vollständige Lesen und die ausdrückliche Annahme dieser Bedingungen sowie etwaiger damit verbundener Dokumente (wie der Datenschutzrichtlinie und der Datenverarbeitungsvereinbarung, sofern anwendbar) voraus. Ohne Annahme ist die Nutzung der Plattform nicht gestattet. Der Nutzer erklärt, die Bedingungen zur Kenntnis genommen zu haben und verpflichtet sich, diese jederzeit einzuhalten.
1.3 Nutzeranforderungen. Die Plattform ist für volljährige professionelle Nutzer mit Rechtsfähigkeit bestimmt. Mit der Registrierung garantiert der Nutzer, mindestens 18 Jahre alt zu sein (oder das gesetzliche Volljährigkeitsalter in seinem Land erreicht zu haben) und, falls er im Namen eines Unternehmens oder einer Organisation handelt, über die erforderlichen Vertretungsbefugnisse zu verfügen. Drilldown behält sich das Recht vor, zusätzliche Informationen oder Dokumente zur Überprüfung des professionellen Status des Nutzers anzufordern (z. B. die Mitgliedschaft in einer Berufsvereinigung für Ernährungsberater, sofern gesetzlich vorgeschrieben).
2.1 Registrierungsverfahren. Die Registrierung auf der Plattform kann (i) über das Online-Anmeldeformular auf der Website der Plattform erfolgen, in dem der Nutzer die erforderlichen Daten angibt, oder (ii) durch eine direkte Einladung von Drilldown (z. B. im Rahmen von Kooperationen, Pilotprogrammen oder Partnerschaften). In beiden Fällen wird nach Abschluss der Registrierung ein persönliches Konto (im Folgenden "Konto") für den Nutzer erstellt.
2.2 Angegebene Daten und Zugangsdaten. Der Nutzer verpflichtet sich, bei der Registrierung genaue, vollständige und wahrheitsgemäße Angaben zu machen (z. B. Name, Nachname, E-Mail-Adresse, berufliche Daten usw.) und diese aktuell zu halten. Die Zugangsdaten zum Konto (Benutzername und Passwort) sind persönlich und nicht übertragbar. Der Nutzer ist verpflichtet, seine Zugangsdaten streng vertraulich zu behandeln und nicht an Dritte weiterzugeben. Im Falle von Verlust, Diebstahl oder Verdacht auf unbefugte Nutzung des Kontos muss der Nutzer Drilldown unverzüglich informieren, damit entsprechende Maßnahmen ergriffen werden können (z. B. vorübergehende Sperrung des Kontos).
2.3 Einzigartigkeit des Kontos. Jeder Nutzer darf nur ein Konto erstellen, sofern nicht eine schriftliche Genehmigung von Drilldown für spezifische Bedürfnisse vorliegt (z. B. separate Konten für verschiedene Mitarbeiter derselben Organisation). Drilldown behält sich das Recht vor, doppelte Konten desselben Nutzers zu löschen oder zusammenzuführen.
2.4 Verwaltung und Sperrung des Kontos. Der Nutzer ist für alle Aktivitäten verantwortlich, die über sein Konto durchgeführt werden. Drilldown behält sich das Recht vor, eine Registrierung oder ein Konto jederzeit und ohne Vorankündigung abzulehnen, zu sperren oder zu löschen, wenn Verstöße gegen diese Bedingungen, missbräuchliche Nutzung der Plattform oder Sicherheitsgründe vorliegen. Im Falle einer Löschung des Kontos durch Drilldown wegen Verstoßes gegen die Bedingungen besteht kein Anspruch auf Rückerstattung bereits gezahlter Gebühren für nicht genutzte Dienstleistungszeiträume, sofern nicht gesetzlich anders vorgesehen.
3.1 Bereich "Ricette". Die Plattform stellt einen Bereich "Ricette" zur Verfügung, in dem Nutzer kulinarische Rezepte erstellen, hochladen und verwalten können. Dieser Bereich ist für alle registrierten professionellen Nutzer zugänglich, insbesondere: (i) Ernährungsexperten, die Rezepte zur Einbindung in Ernährungspläne für ihre Kunden oder zum Teilen mit anderen Nutzern erstellen können; (ii) Content-Ersteller und Content-Provider, die originale Rezepte mit Texten, Zutaten, Anleitungen und Bildern veröffentlichen und auf der Plattform verfügbar machen können; (iii) E-Commerce-Betreiber, die Produkte ihres Online-Shops als Zutaten in Rezepten verknüpfen können, wodurch diese Rezepte als Werbe- und Verkaufsinstrument für Lebensmittelprodukte dienen. Der Bereich Ricette ermöglicht die Anwendung von Ernährungs- und Präferenzfiltern (z. B. vegetarische, vegane, glutenfreie Rezepte usw.), um die Suche nach passenden Gerichten zu erleichtern. Hochgeladene Rezepte werden von der Plattform mittels Algorithmen verarbeitet, die die Zutaten analysieren und automatisch Nährwertangaben (z. B. Kalorien, Makronährstoffe usw.) pro Portion sowie die Kompatibilität mit bestimmten Diäten basierend auf den angegebenen Zutaten berechnen.
3.2 Bereich "Shop". Der Bereich "Shop" richtet sich an professionelle Nutzer, die im E-Commerce und/oder Einzelhandel sowie im Lebensmittel- oder Ernährungssektor tätig sind. Hier kann der Nutzer seinen Produktkatalog mit der Tuduu-Plattform integrieren. Insbesondere kann der E-Commerce-Betreiber die Produkte seines Online-Shops mit den auf Tuduu vorhandenen Rezepten verknüpfen: Dies ermöglicht beispielsweise, dass eine in einem Rezept aufgeführte Zutat einem im Shop des Betreibers kaufbaren Produkt entspricht. Endnutzer der Plattform (z. B. Besucher oder Kunden des Betreibers) können diese Zutaten/Produkte mit einem Klick direkt in den Warenkorb legen, was ein "kaufbares Rezept"-Erlebnis schafft. Die Plattform bietet zudem automatische SEO-Funktionen (Suchmaschinenoptimierung) für mit dem Shop integrierte Rezepte, um deren Online-Sichtbarkeit zu erhöhen. Auch für die mit dem Shop verknüpften Produkte kann die Plattform Nährwertanalysen und Kategorisierungen mittels Algorithmen durchführen, z. B. zur Identifikation von Nährwertmerkmalen oder Allergenen und zur automatischen Generierung von Filtern (z. B. "laktosefrei", "bio" usw.), die Nutzern helfen, passende Produkte zu finden.
3.3 Bereich "Nutrition". Der Bereich "Nutrition" richtet sich hauptsächlich an Ernährungsexperten (Ernährungsberater, Diätologen, Diätassistenten oder andere befugte Fachkräfte). In diesem Bereich kann der Fachmann Informationen und Ernährungspläne für seine Kunden/Patienten verwalten. Die Funktionen umfassen Werkzeuge zur Erstellung und Personalisierung von Ernährungsplänen, Diäten oder Ernährungsberichten. Der Fachmann kann Rezepte (eigene oder auf der Plattform verfügbare) in die Ernährungspläne einbinden, mit der Möglichkeit, Portionen anzupassen und die ernährungsphysiologischen Auswirkungen in Echtzeit dank integrierter Nährwertberechnungsalgorithmen zu sehen. Zudem ermöglicht der Bereich Nutrition die Erstellung von PDF-Dokumenten (z. B. Diätblätter oder Berichte zur Übergabe an den Kunden) und die Nutzung einer mobilen App: Diese App erlaubt dem Endkunden, seinen Ernährungsplan, empfohlene Rezepte und weitere vom Fachmann geteilte Informationen direkt auf dem Smartphone einzusehen. Dies fördert eine kontinuierliche Überwachung und eine direktere Interaktion zwischen Fachmann und Kunde über die Plattform.
3.4 Nährwertanalyse-Algorithmen. In allen oben beschriebenen Bereichen verwendet die Tuduu-Plattform fortschrittliche Algorithmen zur Nährwertanalyse von Rezepten und Produkten. Diese Algorithmen verarbeiten die vom Nutzer bereitgestellten Daten (Zutaten der Rezepte, Nährwertinformationen der Produkte, Portionen usw.) und erzeugen automatisch Ausgaben wie: Berechnung der Nährwerte (z. B. Energie, Makro- und Mikronährstoffe), Hinweise auf Allergene oder spezifische Inhaltsstoffe sowie Empfehlungen zur Kompatibilität von Rezepten/Produkten mit bestimmten Diäten (z. B. ob ein Rezept für eine vegane oder glutenfreie Ernährung geeignet ist). Die Algorithmen sollen nützliche und genaue Informationen liefern; sie arbeiten jedoch auf Basis verfügbarer Daten und allgemeiner Regeln ohne direkte menschliche Intervention. Daher können die generierten Ergebnisse nicht immer vollkommen präzise oder für jede Situation passend sein. Es liegt in der Verantwortung des Nutzers (insbesondere des Ernährungsexperten), die Richtigkeit der algorithmisch bereitgestellten Nährwertinformationen und Empfehlungen vor deren Verwendung oder Weitergabe an Kunden zu prüfen. Die Vorgehensweise bei Fehlern oder Unstimmigkeiten wird in den folgenden Abschnitten dieser Bedingungen beschrieben.
4.1 Rechtmäßige und ordnungsgemäße Nutzung. Der Nutzer verpflichtet sich, die Plattform und die damit verbundenen Dienste gemäß diesen Bedingungen, etwaigen Anweisungen von Drilldown und unter Einhaltung der geltenden Gesetze und Vorschriften zu nutzen. Es ist dem Nutzer untersagt, die Plattform für illegale oder nicht autorisierte Zwecke zu verwenden. Insbesondere darf der Nutzer nicht: (i) die Plattform in einer Weise nutzen, die Rechte Dritter oder gesetzliche Bestimmungen verletzt (z. B. im Bereich geistiges Eigentum, Datenschutz, fairer Wettbewerb usw.); (ii) schädliche, beleidigende, verleumderische, obszöne oder anderweitig unangemessene Inhalte oder Materialien einbringen; (iii) versuchen, unbefugt auf Funktionen der Plattform, fremde Konten oder IT-Systeme von Drilldown zuzugreifen oder die Sicherheit bzw. Integrität der Plattform zu beeinträchtigen (z. B. durch Einschleusen von Viren, Malware oder andere störende Aktivitäten).
4.2 Überprüfung der algorithmischen Ausgaben. Wie in Abschnitt 3.4 beschrieben, generiert die Plattform automatisch Nährwertinformationen und Empfehlungen mittels Algorithmen. Der Nutzer erkennt an, dass diese Informationen indikativ sind und stets kritisch bewertet werden müssen. Insbesondere als Ernährungsexperte ist der Nutzer verpflichtet, die Genauigkeit und Konsistenz der algorithmischen Ausgaben (z. B. berechnete Nährwerte eines Rezepts, zugewiesene Nährwert- oder Diätetiketten eines Produkts) vor professioneller Nutzung oder Weitergabe an Kunden oder die Öffentlichkeit zu überprüfen. Erkennt der Nutzer Fehler, Unstimmigkeiten oder Anomalien in den von der Plattform generierten Daten, verpflichtet er sich, diese Drilldown unverzüglich über die bereitgestellten Support- oder Kontaktmöglichkeiten zu melden. Der Nutzer ist sich bewusst, dass die Nichtbeachtung dieser Überprüfungspflicht zur Verbreitung ungenauer Informationen führen kann, für die er selbst verantwortlich ist.
4.3 Nutzerinhalte – Lizenzen und Garantien. Alle vom Nutzer auf der Plattform hochgeladenen, veröffentlichten oder anderweitig eingestellten Inhalte (einschließlich, aber nicht beschränkt auf: Texte, Rezepte, Zutaten, Fotos, Videos, Marken, Logos, Produktbeschreibungen) müssen rechtmäßig im Besitz des Nutzers sein. Der Nutzer garantiert, über die erforderlichen Rechte (geistiges Eigentum und/oder Nutzungsrechte) an diesen Inhalten zu verfügen oder die entsprechenden Genehmigungen der Rechteinhaber eingeholt zu haben, sodass die Nutzung der Inhalte auf der Plattform und durch Drilldown gemäß diesen Bedingungen keine Rechte Dritter verletzt. Durch das Hochladen von Inhalten gewährt der Nutzer Drilldown das nicht-exklusive, unterlizenzierbare und kostenlose Recht und die Lizenz, diese Inhalte ausschließlich im Zusammenhang mit der Bereitstellung der Plattformdienste und deren Werbeaktivitäten zu nutzen, zu vervielfältigen, zu modifizieren, zu veröffentlichen, zu übersetzen, zu verbreiten, anzuzeigen und auszuführen. Diese Lizenz endet, sobald der Nutzer die Inhalte aus seinem Konto oder von der Plattform entfernt, vorbehaltlich gesetzlicher Aufbewahrungspflichten oder zum Schutz von Rechten. Der Nutzer garantiert zudem, dass die bereitgestellten Inhalte genau, wahrheitsgemäß (z. B. entsprechen Nährwertangaben oder Zutaten eines Rezepts der Wahrheit) und nicht gesetzeswidrig oder gegen Vorschriften verstoßend sind (z. B. keine irreführenden oder unzulässigen Angaben im Lebensmittelbereich). Der Nutzer übernimmt die volle Verantwortung für die von ihm eingestellten Inhalte und stellt Drilldown von jeglichen Ansprüchen Dritter frei (siehe auch Freistellungsklausel in Abschnitt 9.4). Drilldown behält sich das Recht vor, Inhalte, die nach eigenem Ermessen gegen diese Bedingungen oder Rechte Dritter verstoßen oder unangemessen sind, zu entfernen oder zu sperren.
4.4 Spezifische Pflichten für E-Commerce-Betreiber. Nutzer, die den Bereich Shop als E-Commerce-Betreiber nutzen, sind allein verantwortlich für die von ihnen bereitgestellten Produkte und für etwaige über die Plattform abgeschlossene Handelsgeschäfte. Dies umfasst beispielhaft, aber nicht abschließend: die Einhaltung der geltenden Vorschriften für Lebensmittelprodukte (z. B. Lebensmittelsicherheit, Kennzeichnung, zulässige Nährwert- und Gesundheitsangaben); die Richtigkeit und Vollständigkeit der Produktbeschreibungen (Zutaten, Allergene, Nährwerte, Preis usw.); die Abwicklung von Bestellungen der Endnutzer, Versand, Lieferung, Rechnungsstellung sowie Kundenservice, Rückgaben und Erstattungen gemäß geltendem Recht (z. B. Verbraucherschutzgesetz, sofern auf Endkunden anwendbar). Drilldown stellt ausschließlich die technologische Infrastruktur der Plattform bereit, um die Verbindung zwischen E-Commerce-Betreiber und Endkunden zu erleichtern: Drilldown ist, sofern nicht durch Drittpartner involviert, kein Vertragspartner der Produktverkäufe zwischen dem Nutzer als Betreiber und den Endkunden und übernimmt keine Gewährleistungsverpflichtungen für die vom Nutzer verkauften Produkte. Der E-Commerce-Betreiber stellt Drilldown von jeglicher Haftung oder Kosten frei, die aus Ansprüchen, Streitigkeiten, Schäden oder Verstößen im Zusammenhang mit den angebotenen Produkten oder über die Plattform getätigten Handelsgeschäften resultieren.
4.5 Einhaltung beruflicher Vorschriften. Ist der Nutzer ein Fachmann, der berufsrechtlichen oder spezifischen gesetzlichen Anforderungen unterliegt (z. B. ein Ernährungsberater, der in einer Berufsvereinigung eingetragen ist), so ist er verpflichtet, die Plattform im Einklang mit den Pflichten aus seinem Berufsstatus zu nutzen. Beispielsweise muss der Ernährungsexperte sicherstellen, dass die Nutzung der Plattformwerkzeuge (wie die Erstellung von Diäten oder Ernährungsempfehlungen) den für seinen Beruf geltenden Richtlinien und Vorschriften entspricht. Nichts in diesen Bedingungen entbindet den Nutzer von der Einhaltung dieser beruflichen Pflichten.
5.1 Kostenpflichtige Dienste und SaaS-Pläne. Der Zugang zu bestimmten Funktionen oder Bereichen der Plattform (z. B. erweiterte Nutzung des Bereichs Ricette für E-Commerce oder erweiterte Werkzeuge im Bereich Nutrition) kann an den Abschluss eines kostenpflichtigen SaaS-Abonnements (Software-as-a-Service) gebunden sein. Drilldown kann verschiedene Pläne mit unterschiedlichen Servicelevels anbieten (z. B. Pläne mit maximal verwaltbaren Rezepten, Funktionen wie "kaufbare" Rezepte, Entfernung von Tuduu-Wasserzeichen, priorisierter Support usw.), wie auf der Plattform oder in der kommerziellen Dokumentation von Drilldown beschrieben. Einige Pläne können eine anfängliche kostenlose Testphase vorsehen, nach deren Ablauf das Abonnement kostenpflichtig wird, sofern der Nutzer nicht rechtzeitig kündigt.
5.2 Gebühren und Zahlungsmodalitäten. Die Preise der verschiedenen Abonnementpakete (im Folgenden "Gebühren") sind auf der Plattform angegeben oder werden dem Nutzer bei Vertragsabschluss von Drilldown mitgeteilt. Die Gebühren verstehen sich in der Regel netto zuzüglich Mehrwertsteuer und etwaiger anfallender Steuern, die gemäß geltendem Steuerrecht hinzukommen. Die Zahlung erfolgt über externe elektronische Zahlungssysteme, wie beispielsweise Stripe. Bei Vertragsabschluss kann der Nutzer aufgefordert werden, Kreditkartendaten oder andere unterstützte Zahlungsmethoden anzugeben, und er ermächtigt Drilldown (bzw. den Drittanbieter Stripe), die fälligen Gebühren automatisch in der im gewählten Plan vorgesehenen Periodizität (z. B. monatlich oder jährlich) abzubuchen. Alle Transaktionen unterliegen den Bedingungen des Zahlungsanbieters Stripe; Drilldown speichert keine vollständigen Kreditkartendaten des Nutzers, diese werden sicher von Stripe verwaltet.
5.3 Preisänderungen. Drilldown behält sich das Recht vor, die Preise der Abonnementpläne jederzeit zu ändern. Preisänderungen werden erst ab der nächsten Abrechnungsperiode nach der Mitteilung an den Nutzer wirksam. Drilldown informiert den Nutzer angemessen (z. B. per E-Mail oder Benachrichtigung innerhalb der Plattform) über Preisänderungen mit angemessener Vorankündigung. Möchte der Nutzer den neuen Preis nicht akzeptieren, kann er das Abonnement vor Inkrafttreten der Änderung kündigen; die weitere Nutzung des Dienstes nach Inkrafttreten gilt als Annahme des neuen Preises.
5.4 Laufzeit des Abonnements und Kündigung. Sofern nicht anders angegeben, verlängern sich Abonnements automatisch: Nach Ablauf jeder Periode (monatlich, jährlich usw.) verlängert sich das Abonnement automatisch um eine weitere Periode gleicher Dauer, sofern der Nutzer nicht kündigt oder Drilldown das Abonnement gemäß den nachfolgenden Bestimmungen beendet. Der Nutzer kann das Abonnement jederzeit über die entsprechende Funktion auf der Plattform (z. B. in den Kontoeinstellungen) oder durch Kontaktaufnahme mit dem Drilldown-Support kündigen. Die Kündigung wird zum Ende des bereits bezahlten Abonnementzeitraums wirksam: Bis dahin behält der Nutzer Zugang zu den kostenpflichtigen Funktionen, und es erfolgt keine Rückerstattung für nicht genutzte Zeiträume. Bei Nichtzahlung der Gebühren (z. B. ungültige Kreditkarte oder unzureichende Deckung) oder Verstößen gegen diese Bedingungen kann Drilldown das Abonnement aussetzen oder kündigen; in diesem Fall bleibt der Nutzer zur Zahlung der bis zum Beendigungsdatum angefallenen Beträge verpflichtet, unbeschadet des Rechts von Drilldown auf Schadensersatz bei vertragswidrigem Verhalten des Nutzers.
Sofern Drilldown und der Nutzer eine spezifische schriftliche Vereinbarung mit besonderen Bedingungen für die Nutzung der Plattform (z. B. einen individuellen Dienstvertrag, eine Unternehmens- oder Partnervereinbarung) oder die Veröffentlichung von Inhalten (Rezepte und Produkte) auf externen Kanälen wie dem Marktplatz Tuduu.it oder anderen gemeinsamen Kanälen abgeschlossen haben, gelten die Bestimmungen dieser individuellen Vereinbarung zusätzlich zu diesen Bedingungen. Im Falle von Widersprüchen zwischen den Klauseln des individuellen Vertrags und diesen allgemeinen Bedingungen haben die Klauseln des individuellen Vertrags für die betreffenden Punkte Vorrang. Für alle nicht ausdrücklich geregelten Aspekte gelten diese Allgemeinen Bedingungen.
7.1 Plattform und Inhalte von Drilldown. Die Plattform (einschließlich Software, Quellcode, Design, Benutzeroberfläche, Datenbanken, Marken "Tuduu" und "Drilldown", Logos, Domainnamen und alle anderen Inhalte und Materialien auf der Website und in der App mit Ausnahme der Nutzerinhalte wie oben definiert) ist alleiniges Eigentum von Drilldown oder seiner Lizenzgeber. Diese Elemente sind durch Urheberrecht, Markenrecht, Patente, Designschutz und/oder andere geistige Eigentumsrechte geschützt. Der Nutzer verpflichtet sich, keine Teile der Plattform oder ihrer proprietären Inhalte zu kopieren, zu modifizieren, zu verbreiten, zu verkaufen oder abgeleitete Werke zu erstellen, außer wenn Drilldown oder das Gesetz dies ausdrücklich gestatten. Der Zugang zur Plattform begründet keinerlei Übertragung von geistigen Eigentumsrechten an der Software oder anderen Eigentumselementen von Drilldown, sondern lediglich eine beschränkte, widerrufliche und nicht-exklusive Lizenz zur Nutzung der Plattform gemäß diesen Bedingungen.
7.2 Nutzerinhalte. Der Nutzer behält alle Rechte an den von ihm auf der Plattform hochgeladenen eigenen Inhalten (wie in Abschnitt 4.3 definiert). Gemäß Abschnitt 4.3 gewährt der Nutzer Drilldown jedoch eine Nutzungslizenz für diese Inhalte zu den dort beschriebenen Zwecken und Einschränkungen. Der Nutzer erkennt an, dass diese auf der Plattform veröffentlichten Inhalte für andere Nutzer oder, im Falle von öffentlichen Rezepten oder Informationen, auch für nicht registrierte Besucher sichtbar sein können, und autorisiert Drilldown, alle notwendigen Veröffentlichungs-, Teilungs- oder Indexierungsaktivitäten durchzuführen, um die Sichtbarkeit dieser Inhalte im Rahmen der Plattformfunktionen zu gewährleisten.
7.3 Feedback und Vorschläge. Sollte der Nutzer Drilldown Kommentare, Vorschläge oder Ideen zur Plattform oder zu den Diensten (z. B. Meldung neuer Funktionen oder Verbesserungen) übermitteln, gelten diese Beiträge nicht als vertraulich. Drilldown ist frei, dieses Feedback für jegliche Zwecke zu nutzen, ohne dass dem Nutzer daraus Ansprüche auf Vergütung oder Anerkennung entstehen oder Rechte an etwaigen Änderungen oder Verbesserungen übertragen werden.
8.1 Verarbeitung personenbezogener Daten. Drilldown verarbeitet die vom Nutzer bereitgestellten oder im Rahmen der Nutzung der Plattform erhobenen personenbezogenen Daten gemäß der EU-Verordnung 2016/679 ("DSGVO") und den geltenden italienischen Datenschutzgesetzen. Informationen zu Art und Zweck der Datenverarbeitung sind in der dem Nutzer bereitgestellten Datenschutzerklärung auf der Plattform detailliert. Mit der Annahme dieser Bedingungen bestätigt der Nutzer, diese Datenschutzerklärung gelesen zu haben.
8.2 Daten Dritter, die vom Nutzer eingegeben werden. Gibt der Nutzer (z. B. ein Ernährungsexperte) personenbezogene Daten Dritter auf der Plattform ein, wie Informationen über seine Kunden oder Patienten (z. B. Name, Kontaktdaten, Gesundheits- oder Ernährungsdaten), garantiert er, diese Daten rechtmäßig erhoben und, falls erforderlich, die informierte Einwilligung der Betroffenen für die Nutzung dieser Daten innerhalb der Plattform eingeholt zu haben. In Bezug auf diese Verarbeitung gilt der Nutzer als Verantwortlicher und Drilldown als Auftragsverarbeiter gemäß Art. 28 DSGVO, beschränkt auf die Speicherung und Verarbeitung zur Bereitstellung der Plattformdienste. Hierzu kann eine gesonderte Datenverarbeitungsvereinbarung (Data Processing Agreement) abgeschlossen werden, die die jeweiligen Pflichten im Datenschutz regelt und Teil dieser Bedingungen ist, sofern anwendbar.
8.3 Nutzungsdaten und aggregierte Daten. Drilldown ist berechtigt, Daten zur Nutzung der Plattform durch die Nutzer (z. B. genutzte Funktionen, Anzahl erstellter Rezepte, Suchparameter, Navigationsstatistiken, Feedback) zu sammeln und zu verarbeiten, um den Dienst zu verbessern und den ordnungsgemäßen Betrieb der Plattform sicherzustellen. Diese Nutzungsdaten können anonymisiert und aggregiert werden, sodass keine direkte oder indirekte Identifizierung der Nutzer oder natürlicher Personen mehr möglich ist. Der Nutzer nimmt ausdrücklich zur Kenntnis und stimmt zu, dass Drilldown diese anonymen und aggregierten Daten für statistische Analysen, Forschung und Entwicklung sowie kommerzielle Zwecke und Monetarisierung verwenden darf. Dies kann beispielsweise die Veröffentlichung von Berichten oder Erkenntnissen zu Ernährungstrends basierend auf den Gesamtdaten der Nutzer oder die Weitergabe anonymisierter statistischer Daten an Dritte (z. B. Geschäftspartner) umfassen. In keinem Fall erfolgt eine Weitergabe personenbezogener Daten des Nutzers an Dritte ohne dessen Zustimmung oder ohne eine andere rechtliche Grundlage.
9.1 Plattformfunktionalität – "wie gesehen". Die Tuduu-Plattform und alle ihre Dienste und Funktionen werden dem Nutzer "wie besehen" und "wie verfügbar" bereitgestellt. Das bedeutet, dass Drilldown sich zwar bemüht, die Plattform betriebsbereit und aktuell zu halten, jedoch keine spezifischen Garantien hinsichtlich Fehlerfreiheit oder Unterbrechungsfreiheit übernimmt. Insbesondere garantiert Drilldown nicht, dass: (i) die Plattform die spezifischen Bedürfnisse des Nutzers vollständig erfüllt; (ii) die durch die Nutzung der Plattform erzielten Ergebnisse (einschließlich algorithmischer Nährwertanalysen) stets präzise, genau oder zuverlässig sind; (iii) der Betrieb der Plattform ohne Unterbrechungen, Verzögerungen, Fehlfunktionen oder Fehler erfolgt; (iv) etwaige Softwarefehler oder Bugs sofort behoben werden. Der Nutzer akzeptiert, dass die Nutzung der Plattform auf eigenes Risiko erfolgt.
9.2 Haftungsbeschränkung von Drilldown. Soweit gesetzlich zulässig, haftet Drilldown nicht für indirekte, zufällige, Folgeschäden, besondere oder Strafschäden, die dem Nutzer oder Dritten im Zusammenhang mit der Nutzung oder der Unmöglichkeit der Nutzung der Plattform entstehen. Ausgeschlossen sind insbesondere Schäden wie entgangener Gewinn, entgangene Einsparungen, entgangene Geschäftsmöglichkeiten, Datenverlust, Betriebsunterbrechungen oder Ansprüche Dritter gegen den Nutzer. Sollte Drilldown aus welchem Grund auch immer im Rahmen des Vertragsverhältnisses mit dem Nutzer haftbar gemacht werden, ist die Gesamthaftung von Drilldown auf den Betrag begrenzt, den der Nutzer in den 12 Monaten vor dem Ereignis, das die Haftung ausgelöst hat, an Drilldown gezahlt hat (bzw. bei kostenloser Nutzung der Plattform auf maximal 100 Euro). Diese Haftungsbeschränkung gilt im gesetzlich zulässigen Umfang und lässt die Haftung von Drilldown für Vorsatz, grobe Fahrlässigkeit oder gesetzlich unbeschränkte Fälle unberührt.
9.3 Keine medizinische oder diagnostische Beratung. Der Nutzer erkennt an, dass die Plattform und die bereitgestellten Funktionen kein Medizinprodukt darstellen und keine medizinische Beratung, Diagnose oder personalisierte Behandlung anbieten. Die über Tuduu generierten Nährwertinformationen, Daten und Empfehlungen dienen ausschließlich Informations- und professioneller Unterstützungszwecken und ersetzen keinesfalls die ärztliche Meinung oder Bewertung durch einen befugten Gesundheitsfachmann. Entscheidungen zu Gesundheit, Ernährung oder Behandlung müssen von einem kompetenten Fachmann auf Basis der individuellen Fallbewertung getroffen werden. Ist der Nutzer Ernährungsexperte, bleibt er voll verantwortlich für die Beratung seiner Kunden/Patienten: Die Nutzung der Plattform entbindet ihn nicht von der persönlichen Bewertungspflicht und der Einhaltung beruflicher Standards. Ist der Nutzer kein Gesundheitsfachmann, muss er stets qualifizierte Ärzte oder Spezialisten für Diagnosen oder therapeutische Ratschläge konsultieren. Drilldown garantiert keine gesundheitlichen Ergebnisse oder körperlichen Zustände durch die Nutzung der Plattform und übernimmt keine Haftung für Folgen, die aus ausschließlichem Vertrauen auf die über die Plattform erhaltenen Informationen resultieren.
9.4 Freistellung durch den Nutzer. Der Nutzer verpflichtet sich, Drilldown sowie dessen Vertreter, Mitarbeiter und Partner von jeglichen Verlusten, Schäden, Haftungen, Kosten oder Ausgaben (einschließlich angemessener Anwaltskosten) freizustellen und schadlos zu halten, die aus Ansprüchen Dritter resultieren, die verursacht oder im Zusammenhang stehen mit: (i) vom Nutzer auf der Plattform bereitgestellten Inhalten, die Rechte Dritter oder gesetzliche Bestimmungen verletzen; (ii) Verstößen des Nutzers gegen diese Bedingungen oder gesetzliche Pflichten bei der Nutzung der Plattform; (iii) Fahrlässigkeit, Vorsatz oder grober Pflichtverletzung des Nutzers bei der Nutzung der Plattform; (iv) Produkten, die der Nutzer als E-Commerce-Betreiber über die Plattform verkauft oder vermarktet, einschließlich etwaiger Streitigkeiten über Qualität, Konformität oder Sicherheit dieser Produkte. Drilldown wird den Nutzer unverzüglich über solche Ansprüche informieren und angemessen bei der Verteidigung kooperieren, wobei Drilldown das Recht behält, die eigene rechtliche Verteidigung eigenständig zu führen.
10.1 Vertragsdauer. Dieser Vertrag zwischen Nutzer und Drilldown tritt mit der Annahme der Bedingungen durch den Nutzer (Registrierung und/oder erste Nutzung der Plattform) in Kraft und bleibt für die gesamte Dauer der Nutzung der Plattform durch den Nutzer gültig. Das Konto und ein etwaiges Abonnement des Nutzers sind unbefristet mit automatischen Verlängerungen, wie oben beschrieben, sofern nicht anders beendet.
10.2 Kündigung durch den Nutzer. Der Nutzer kann diesen Vertrag jederzeit durch Löschung seines Kontos und Einstellung der Nutzung der Plattform kündigen. Die Kontolöschung kann über eine entsprechende Funktion auf der Plattform (sofern verfügbar) oder schriftlich bei Drilldown erfolgen. Bei freiwilliger Kündigung besteht kein Anspruch auf Rückerstattung bereits gezahlter Gebühren für nicht vollständig genutzte Dienste, vorbehaltlich der Regelungen in Abschnitt 5.4 für laufende Abonnements. Die Kontoschließung führt zum zukünftigen Unzugänglichkeit der vom Nutzer auf der Plattform gespeicherten Daten und Inhalte, vorbehaltlich gesetzlicher Aufbewahrungspflichten oder zum Schutz von Rechten gemäß Datenschutzrichtlinie.
10.3 Aussetzung oder Kündigung durch Drilldown. Drilldown behält sich das Recht vor, den Zugang des Nutzers zur Plattform vorübergehend auszusetzen oder diesen Vertrag mit sofortiger Wirkung zu kündigen (Konto deaktivieren) in folgenden Fällen: (i) wenn dies zur Gewährleistung der Sicherheit der Plattform oder der Daten erforderlich ist (z. B. bei Sicherheitsverletzungen oder Cyberbedrohungen); (ii) bei schwerwiegenden oder wiederholten Verstößen des Nutzers gegen diese Bedingungen (z. B. missbräuchliche Nutzung, Nichtzahlung fälliger Gebühren, unbefugte Offenlegung vertraulicher Daten); (iii) auf Anordnung einer Behörde oder aufgrund gesetzlicher Vorschriften; (iv) bei Einstellung der Tätigkeit von Drilldown im Zusammenhang mit der Plattform oder bei Unmöglichkeit der Dienstleistungserbringung. Sofern gesetzlich nicht untersagt (z. B. sofortige Sperrung durch behördliche Anordnung), wird Drilldown den Nutzer schriftlich über Aussetzung oder Kündigung mit Angabe der Gründe informieren und, wenn möglich, eine angemessene Frist einräumen. Bei einer Kündigung ohne Verschulden des Nutzers (z. B. Fall (iv)) erstattet Drilldown gegebenenfalls anteilig bereits gezahlte Gebühren für den nicht genutzten Abonnementzeitraum nach Wirksamkeit der Kündigung.
10.4 Folgen der Beendigung. Nach Beendigung des Vertragsverhältnisses aus welchem Grund auch immer hat der Nutzer die Nutzung der Plattform unverzüglich einzustellen. Alle Klauseln dieser Bedingungen, die ihrer Natur nach über die Beendigung hinaus gelten (z. B. Zahlungs- und Haftungspflichten, Haftungsausschlüsse, Freistellungen, geistige Eigentumsrechte und Datenschutzbestimmungen), bleiben in vollem Umfang wirksam. Die Beendigung berührt nicht etwaige bis dahin entstandene Rechte oder Rechtsmittel der Parteien.
Drilldown behält sich das Recht vor, diese Bedingungen jederzeit zu aktualisieren oder zu ändern, z. B. zur Anpassung an gesetzliche Änderungen, Einführung neuer Funktionen oder aus organisatorischen Gründen. Bei wesentlichen Änderungen wird Drilldown den Nutzer mit angemessener Vorankündigung informieren, z. B. durch Veröffentlichung eines Hinweises auf der Plattform und/oder per E-Mail an die registrierte Adresse. Die Änderungen treten ab dem in der Mitteilung angegebenen Datum in Kraft (oder, falls nicht angegeben, 15 Tage nach Mitteilung). Möchte der Nutzer die Änderungen nicht akzeptieren, kann er bis zum Wirksamkeitsdatum kündigen und sein Konto löschen. Erfolgt keine Kündigung, gelten die neuen Bedingungen ab dem Wirksamkeitsdatum als angenommen.
Diese Bedingungen und alle daraus resultierenden Vertragsverhältnisse unterliegen dem italienischen Recht. Alle Streitigkeiten zwischen Drilldown und dem Nutzer bezüglich Auslegung, Gültigkeit, Durchführung oder Beendigung dieser Bedingungen oder im Zusammenhang mit der Nutzung der Plattform unterliegen der ausschließlichen Zuständigkeit des Gerichts in Mailand, vorbehaltlich zwingender gesetzlicher Gerichtsstände.
13.1 Gesamte Vereinbarung. Diese Bedingungen (zusammen mit den referenzierten oder beigefügten Dokumenten wie der Datenschutzerklärung und gegebenenfalls der Datenverarbeitungsvereinbarung) stellen die vollständige Vereinbarung zwischen Nutzer und Drilldown bezüglich der Nutzung der Plattform dar und ersetzen alle vorherigen mündlichen oder schriftlichen Absprachen zum gleichen Gegenstand. Die Möglichkeit, individuelle Verträge gemäß Abschnitt 6 abzuschließen, bleibt unberührt.
13.2 Teilnichtigkeit. Sollte eine Bestimmung dieser Bedingungen von einer zuständigen Behörde (z. B. Gericht) für ungültig, unwirksam oder nicht durchsetzbar erklärt werden, bleibt die Gültigkeit und Wirksamkeit der übrigen Bestimmungen unberührt.
13.3 Kein Verzicht. Das Unterlassen oder die Verzögerung der Ausübung eines Rechts oder einer Befugnis von Drilldown aus diesen Bedingungen stellt keinen Verzicht auf dieses Recht oder diese Befugnis dar, die zu einem späteren Zeitpunkt innerhalb der gesetzlichen Grenzen geltend gemacht werden kann.
13.4 Vertragsübertragung. Der Nutzer darf diesen Vertrag (d.h. sein Konto und die daraus resultierenden Rechte/Pflichten) ohne vorherige schriftliche Zustimmung von Drilldown nicht an Dritte übertragen oder abtreten. Drilldown kann den Vertrag im Rahmen von Unternehmensübertragungen, außergewöhnlichen Gesellschaftsvorgängen oder an Mutter-, Tochter- oder verbundene Unternehmen übertragen, wobei die Rechte des Nutzers gemäß diesen Bedingungen unberührt bleiben.
13.5 Sprache und Versionen. Diese Allgemeinen Nutzungsbedingungen sind in italienischer Sprache verfasst. Übersetzungen in andere Sprachen oder lokale Versionen dienen ausschließlich der leichteren Verständlichkeit; im Falle von Abweichungen oder Interpretationszweifeln gilt der italienische Text vorrangig.
13.6 Kontakt. Für jegliche Kommunikation bezüglich dieser Bedingungen oder der Nutzung der Plattform kann der Nutzer Drilldown über die auf der Website angegebenen Kontaktdaten (z. B. die bereitgestellte Support-E-Mail-Adresse) kontaktieren. Drilldown kann den Nutzer über die bei der Registrierung angegebenen Kontaktdaten (E-Mail, Adresse) kontaktieren.
Parteien: Diese Datenverarbeitungsvereinbarung wird geschlossen zwischen:
Verantwortlicher (im Folgenden "Verantwortlicher"): der Fachmann (natürliche oder juristische Person), der das Nutrition-Modul nutzt und Zweck und Mittel der Verarbeitung personenbezogener Daten der Patienten bestimmt;
Auftragsverarbeiter (im Folgenden "Auftragsverarbeiter"): das Unternehmen, das das Nutrition-Modul (z. B. Softwareplattform/CRM) bereitstellt und die Daten im Auftrag des Verantwortlichen verarbeitet.
1.1 Gegenstand
Gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO) regelt diese Vereinbarung die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Rahmen des Nutrition-Moduls des Dienstes für den Verantwortlichen durchführt. Insbesondere verarbeitet der Auftragsverarbeiter die vom Verantwortlichen im CRM eingegebenen Daten (Name, Nachname, Kontaktdaten, Ernährungsdaten der Patienten usw.) ausschließlich zur Bereitstellung der Funktionen des Nutrition-Moduls und gemäß den Anweisungen des Verantwortlichen (siehe Abschnitt 6). Die Verarbeitung erfolgt im Rahmen der in Art. 4(2) DSGVO genannten Operationen wie Erhebung, Speicherung, Organisation, Nutzung, Änderung, Löschung usw., die zur Erbringung des Dienstes erforderlich sind.
1.2 Dauer
Die Dauer dieser Vereinbarung entspricht der Vertragsdauer zwischen Verantwortlichem und Auftragsverarbeiter bezüglich der Nutzung des Nutrition-Moduls. Die Vereinbarung bleibt gültig, solange der Auftragsverarbeiter Daten im Auftrag des Verantwortlichen verarbeitet. Bei Beendigung des Hauptdienstes (z. B. Kontolöschung oder Vertragsende) gelten die Bestimmungen zur Rückgabe/Löschung der Daten gemäß Abschnitt 10. Der Verantwortliche kann die Vereinbarung bei schwerwiegendem Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder Pflichten hiermit mit sofortiger Wirkung kündigen. Das Recht beider Parteien auf Schadensersatz bleibt unberührt.
Der Auftragsverarbeiter stellt dem Verantwortlichen eine Softwareplattform (Nutrition-Modul) als Software-as-a-Service zur Verwaltung der ernährungsbezogenen Aktivitäten der Patienten bereit. Zweck der Verarbeitung ist es, dem Verantwortlichen die Speicherung und Verarbeitung von Informationen über seine Patienten zu ermöglichen, um personalisierte Ernährungsberatungen anzubieten, Ernährungspläne zu erstellen, Gewichtsentwicklung und andere Gesundheitsparameter zu überwachen sowie Kommunikation und Termine mit Patienten zu verwalten. Diese Funktionen fallen in den Bereich medizinischer/ernährungsbezogener Praxis, ähnlich digitalen Gesundheitsdiensten zur Verwaltung von Patientenakten und Behandlungsplänen.
Konkret umfasst die Verarbeitung alle für die Bereitstellung des Nutrition-Moduls erforderlichen Operationen, einschließlich Erhebung, Organisation, Einsicht, Änderung, Speicherung, Extraktion, Kommunikation an den Verantwortlichen sowie Löschung oder Vernichtung der im System eingegebenen Daten gemäß den Anweisungen des Verantwortlichen. Der Auftragsverarbeiter nutzt die Daten nicht für eigene Zwecke und gibt sie nur auf Anweisung des Verantwortlichen oder gesetzlicher Verpflichtung weiter (siehe unten).
Im Rahmen des Nutrition-Moduls verarbeitet der Auftragsverarbeiter im Auftrag des Verantwortlichen folgende Kategorien personenbezogener Daten der Patienten:
Identifikations- und Kontaktdaten: Name, Nachname, E-Mail-Adresse, Geburtsdatum und -ort, Telefonnummern und ggf. Adressen (z. B. zur Kontaktaufnahme mit dem Patienten).
Ernährungs- und Gesundheitsdaten: Informationen zum Gesundheitszustand und zu Ernährungsgewohnheiten des Patienten, z. B. Präferenzen oder Einschränkungen (besondere Diäten, Lebensmittelallergien, vegetarische/vegane Entscheidungen usw.), Gewichtskontroll- und anthropometrische oder ähnliche Gesundheitsparameter sowie relevante Lebensstilnotizen. Diese Informationen gelten als Gesundheitsdaten im Sinne von Art. 4(15) DSGVO und können indirekt religiöse oder philosophische Überzeugungen offenbaren (z. B. Ernährungsentscheidungen), was sie zu besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO macht. Verantwortlicher und Auftragsverarbeiter verpflichten sich daher, die erforderlichen Sicherheitsmaßnahmen zum Schutz dieser sensiblen Daten gemäß Gesetz einzuhalten.
Die betroffenen Personen, deren Daten im Rahmen dieser Vereinbarung verarbeitet werden, sind die Patienten (Kunden) des Verantwortlichen, natürliche Personen, die Ernährungsberatung oder andere Dienstleistungen vom Verantwortlichen erhalten und deren personenbezogene Daten im Nutrition-Modul erfasst sind.
Der Verantwortliche verpflichtet sich zu:
Rechtmäßigkeit und Transparenz: Sicherstellen, dass die personenbezogenen Daten der Patienten rechtmäßig erhoben und verarbeitet werden (z. B. durch Einholung der informierten Einwilligung oder andere gültige Rechtsgrundlage gemäß Art. 6 DSGVO) und die Betroffenen über Zweck und Art der Verarbeitung gemäß Art. 13 und 14 DSGVO informiert sind. Der Verantwortliche bleibt gegenüber den Betroffenen für die Einhaltung der gesetzlichen Pflichten verantwortlich.
Dokumentierte Anweisungen: Dem Auftragsverarbeiter klare, dokumentierte und aktuelle Anweisungen zur Datenverarbeitung geben (z. B. durch diese Vereinbarung und ggf. Richtlinien). Änderungen oder Ergänzungen der Anweisungen sind schriftlich mitzuteilen und zu dokumentieren. Der Auftragsverarbeiter verarbeitet Daten nur gemäß diesen Anweisungen. Sollte der Auftragsverarbeiter der Ansicht sein, dass eine Anweisung des Verantwortlichen gegen Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich (siehe auch Abschnitt 6).
Überwachung und Audits: Vor Beginn und regelmäßig prüfen, ob der Auftragsverarbeiter ausreichende technische und organisatorische Maßnahmen zum Schutz der Daten ergreift und die Vereinbarung einhält. Der Verantwortliche hat das Recht, periodische Audits (z. B. jährlich) und Inspektionen mit angemessener Vorankündigung durchzuführen oder durchführen zu lassen. Der Auftragsverarbeiter kooperiert und gewährt angemessenen Zugang zu Informationen und Infrastruktur (siehe Abschnitt 6 und 8 für Details zu Audits und Subunternehmern).
Meldung von Unregelmäßigkeiten: Den Auftragsverarbeiter unverzüglich informieren, wenn Fehler, Unstimmigkeiten oder Verstöße bei der Verarbeitung festgestellt werden, die zu einer Nichtkonformität mit dieser Vereinbarung oder Datenschutzvorschriften führen könnten. Beide Parteien arbeiten zusammen, um Mängel schnell zu beheben.
Vertraulichkeit: Alle Informationen zu Sicherheitsmaßnahmen, Systemen und Geschäftsgeheimnissen des Auftragsverarbeiters, die im Rahmen der Zusammenarbeit bekannt werden, streng vertraulich behandeln. Diese Verpflichtung gilt auch nach Beendigung der Vereinbarung.
Bearbeitung von Betroffenenanfragen: Der Verantwortliche bleibt zuständig für die Bearbeitung von Betroffenenrechten (Zugriff, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit usw. – Kapitel III DSGVO). Erhält der Auftragsverarbeiter direkt Anfragen von Betroffenen, leitet er diese unverzüglich an den Verantwortlichen weiter und bearbeitet sie nicht eigenständig, außer mit ausdrücklicher Genehmigung. Der Verantwortliche gibt dem Auftragsverarbeiter die erforderlichen Anweisungen zur Erfüllung dieser Anfragen und erhält Unterstützung gemäß gesetzlicher Vorgaben (siehe Abschnitt 6).
Der Auftragsverarbeiter verpflichtet sich, alle Pflichten gemäß Art. 28 DSGVO zu erfüllen. Insbesondere, vorbehaltlich weiterer Details in dieser Vereinbarung:
Verarbeitung nur auf Anweisung: Verarbeitung personenbezogener Daten ausschließlich gemäß dokumentierter Anweisungen des Verantwortlichen. Dies gilt auch für Datenübermittlungen in Drittländer oder internationale Organisationen: Solche Übermittlungen sind ohne vorherige Anweisung/Genehmigung des Verantwortlichen nicht zulässig (siehe auch Abschnitt 9), außer wenn eine EU- oder nationale Rechtsvorschrift den Auftragsverarbeiter zu einer bestimmten Verarbeitung verpflichtet; in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, sofern gesetzlich zulässig.
Vertraulichkeit des Personals: Sicherstellen, dass alle Personen, die zur Verarbeitung der Daten befugt sind (eigene Mitarbeiter oder ggf. Subunternehmer), angemessen in Datenschutz geschult sind und vertraglich zur Vertraulichkeit verpflichtet wurden (oder gesetzlich zur Verschwiegenheit verpflichtet sind). Der Auftragsverarbeiter überwacht, dass alle unter seiner Autorität stehenden Personen die Daten nur gemäß den Anweisungen des Verantwortlichen verarbeiten. Diese Vertraulichkeitsverpflichtung gilt auch nach Beendigung der Vereinbarung.
Datensicherheit: Umsetzung und Aufrechterhaltung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören u. a. Pseudonymisierung und Verschlüsselung personenbezogener Daten (wenn angemessen), Zugangskontrollen und Authentifizierung, Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sowie schnelle Wiederherstellung des Datenzugriffs bei physischen oder technischen Vorfällen. Der Auftragsverarbeiter testet, überprüft und bewertet regelmäßig die Wirksamkeit der implementierten Maßnahmen (siehe auch Abschnitt 7 für Details zu Sicherheitsmaßnahmen).
Einschränkung der Nutzung: Keine Nutzung der personenbezogenen Daten für eigene Zwecke und keine unnötigen Kopien oder Duplikate der Daten, außer zur Dienstleistungserbringung und mit Zustimmung/Anweisung des Verantwortlichen. Der Auftragsverarbeiter hält die Daten des Verantwortlichen logisch oder physisch getrennt von anderen Kunden oder eigenen Datenbanken, um Vermischungen zu vermeiden.
Subunternehmer: Keine Beauftragung von Subunternehmern (Sub-Processor) zur Verarbeitung ohne vorherige schriftliche Genehmigung des Verantwortlichen. Bei Genehmigung (siehe Abschnitt 8) verpflichtet der Auftragsverarbeiter Subunternehmer vertraglich zu denselben Datenschutzpflichten und bleibt gegenüber dem Verantwortlichen für deren Einhaltung verantwortlich.
Unterstützung des Verantwortlichen: Unterstützung des Verantwortlichen bei der Erfüllung seiner Datenschutzpflichten, insbesondere bei der Bearbeitung von Betroffenenanfragen (Zugriff, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit usw.) durch Bereitstellung entsprechender Softwarefunktionen. Unterstützung bei der Einhaltung von Datensicherheitsanforderungen und ggf. bei der Meldung von Datenschutzverletzungen an Aufsichtsbehörden oder Betroffene gemäß Art. 32-34 DSGVO (z. B. schnelle Bereitstellung von Informationen zu Datenschutzvorfällen zur Einhaltung der 72-Stunden-Meldepflicht). Zusammenarbeit bei Datenschutz-Folgenabschätzungen (DPIA) oder Vorabkonsultationen mit Aufsichtsbehörden gemäß Art. 35-36 DSGVO.
Meldung von Datenschutzverletzungen: Sofortige Information des Verantwortlichen bei Sicherheitsverletzungen oder Vorfällen (z. B. unbefugter Zugriff, Verlust, Zerstörung oder versehentliche Offenlegung personenbezogener Daten) bezüglich der verarbeiteten Daten. Die Mitteilung enthält alle relevanten Informationen zur Bewertung der Schwere des Vorfalls und zur Erfüllung der Meldepflichten gegenüber Datenschutzbehörden und Betroffenen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Analyse und Bearbeitung des Vorfalls und der Erstellung der erforderlichen Meldungen gemäß den Anweisungen des Verantwortlichen.
Nachweis der Einhaltung und Audits: Bereitstellung aller erforderlichen Informationen zur Nachweisführung der Einhaltung dieser Vereinbarung. Auf Verlangen des Verantwortlichen Vorlage von Dokumentationen zu Sicherheitsmaßnahmen (z. B. Zertifikate, interne/ externe Auditberichte, Konformitätsbescheinigungen) und Ermöglichung von Inspektionen oder Prüfungen durch den Verantwortlichen oder dessen Beauftragte. Die Modalitäten der Audits (Zeitpunkt, Umfang, Schutzmaßnahmen für Daten anderer Kunden usw.) werden zwischen den Parteien unter Berücksichtigung der jeweiligen Interessen abgestimmt.
Meldung widersprüchlicher Anweisungen: Sollte der Auftragsverarbeiter der Ansicht sein, dass eine Anweisung des Verantwortlichen gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich vor Ausführung und kann die Umsetzung bis zur Klärung aussetzen (gemäß Art. 28(3) DSGVO).
Der Auftragsverarbeiter erklärt, angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert zu haben, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Die Auswahl dieser Maßnahmen erfolgte unter Berücksichtigung des Standes der Technik, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen. Insbesondere umfasst dies:
Zugangskontrolle: Zugriff auf personenbezogene Daten nur für autorisiertes Personal, das diese für die erforderlichen Zwecke benötigt; Einsatz sicherer Authentifizierungssysteme für Nutzer und Administratoren (z. B. starke Passwörter, Zwei-Faktor-Authentifizierung).
Verschlüsselung und Pseudonymisierung: Einsatz von Verschlüsselungsprotokollen zum Schutz der Datenübertragung (z. B. HTTPS/TLS) und, wo möglich, Verschlüsselung ruhender Daten auf Servern oder Backups. Gegebenenfalls Pseudonymisierung von Patientenidentifikationsdaten in aggregierten Analysen, sodass keine Zuordnung zu natürlichen Personen ohne zusätzliche Informationen möglich ist.
Integrität und Verfügbarkeit: Regelmäßige Datensicherungen und Wiederherstellungsverfahren zur Sicherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten bei physischen oder technischen Vorfällen. Einsatz von Anti-Malware-Maßnahmen, Firewalls und Monitoring zur Verhinderung unbefugter Zugriffe oder Datenverluste.
Tests und Überwachung: Regelmäßige Überprüfung der Wirksamkeit der Sicherheitsmaßnahmen durch interne Audits, Schwachstellentests, Sicherheitsprotokollüberwachung und zeitnahe Behebung erkannter Schwachstellen.
Die Sicherheitsmaßnahmen sind in einer technischen Dokumentation (z. B. Anhang zu technischen und organisatorischen Maßnahmen) detailliert beschrieben, die dem Verantwortlichen auf Anfrage zur Verfügung gestellt wird und Bestandteil dieser Vereinbarung ist. Der Auftragsverarbeiter verpflichtet sich, die Maßnahmen aktuell zu halten und an neue Risiken und bewährte Sicherheitspraktiken anzupassen sowie den Verantwortlichen über wesentliche Änderungen zu informieren.
Der Auftragsverarbeiter darf weitere Sub-Auftragsverarbeiter nur mit Zustimmung des Verantwortlichen einsetzen. Die Zustimmung kann spezifisch für einzelne Sub-Auftragsverarbeiter oder allgemein für Kategorien von Sub-Auftragsverarbeitern (z. B. Hosting-Anbieter, E-Mail-Dienste usw.) erfolgen, die zum Zeitpunkt des Vertragsabschlusses bekannt sind. Im letzteren Fall informiert der Auftragsverarbeiter den Verantwortlichen über geplante Hinzufügungen oder Änderungen und ermöglicht diesem, innerhalb einer Frist Widerspruch einzulegen, bevor der Sub-Auftragsverarbeiter mit der Datenverarbeitung beginnt.
Alle genehmigten Sub-Auftragsverarbeiter werden vertraglich verpflichtet, mindestens dieselben Datenschutzpflichten wie in dieser Vereinbarung einzuhalten, insbesondere hinsichtlich Sicherheit und Vertraulichkeit. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Einhaltung der Pflichten durch die Sub-Auftragsverarbeiter voll verantwortlich. Bei Verstößen eines Sub-Auftragsverarbeiters haftet der Auftragsverarbeiter persönlich gegenüber dem Verantwortlichen.
Die Verarbeitung der personenbezogenen Daten im Rahmen dieser Vereinbarung erfolgt ausschließlich in Infrastrukturen (Server, Rechenzentren) innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) durch den Auftragsverarbeiter ist nicht vorgesehen, außer wenn dies für die Nutzung genehmigter Sub-Auftragsverarbeiter gemäß Abschnitt 8 erforderlich ist. In jedem Fall erfolgt eine solche Übermittlung nur in Übereinstimmung mit Kapitel V DSGVO. Insbesondere ist eine vorherige Genehmigung des Verantwortlichen einzuholen, und es müssen die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sein, z. B. durch Angemessenheitsbeschluss der Europäischen Kommission, Standardvertragsklauseln, verbindliche Unternehmensregeln oder andere geeignete Garantien. Der Auftragsverarbeiter informiert den Verantwortlichen über Art und Rechtsgrundlage der geplanten Übermittlung, damit dieser die Genehmigung erteilen oder verweigern kann.
Nach Beendigung des Vertragsverhältnisses bezüglich des Nutrition-Moduls (z. B. bei Kündigung, Ablauf des Hauptvertrags oder endgültiger Einstellung des Dienstes durch den Auftragsverarbeiter) stellt der Auftragsverarbeiter die Verarbeitung personenbezogener Daten für den Verantwortlichen ein. Auf schriftlichen Wunsch des Verantwortlichen bei Vertragsende oder innerhalb einer vereinbarten Frist gibt der Auftragsverarbeiter alle personenbezogenen Daten an den Verantwortlichen zurück (z. B. durch Export in interoperable Formate) oder löscht diese endgültig aus seinen Systemen. Dabei werden auch etwaige Kopien (einschließlich Backups) gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen über die Daten und die geltenden gesetzlichen Aufbewahrungspflichten und verarbeitet die Daten nur zu diesem Zweck. Die erfolgte Löschung wird auf Wunsch schriftlich bestätigt.
Die Vertraulichkeitsverpflichtungen des Auftragsverarbeiters und seines autorisierten Personals bleiben auch nach Beendigung der Vereinbarung bestehen. Der Auftragsverarbeiter stellt zudem sicher, dass etwaige benannte Sub-Auftragsverarbeiter denselben Verpflichtungen zur Rückgabe/Löschung der Daten unterliegen.
