nutriam

Rechtliches

Auftragsverarbeitung & Subprozessoren

Diese Übersicht erläutert das Rollenmodell zwischen Nutriam und seinen gewerblichen Kunden, die Einordnung als Auftragsverarbeitung nach Art. 28 DSGVO und die wichtigsten Unterauftragsverarbeiter. Sie ergänzt — und ersetzt nicht — die individuelle AVV vor Produktivnutzung.

Dokumenttyp
Öffentliche Übersicht zu AVV nach Art. 28 DSGVO
Stand
30. April 2026
Geltung
B2B-SaaS — vor Produktivbetrieb individuelle AVV abschließen

Wichtig: Die hier veröffentlichte Übersicht ersetzt nicht die individuelle Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO. Vor Verarbeitung echter Endkundendaten — insbesondere besonderer Kategorien nach Art. 9 DSGVO (Gesundheitsdaten) — sind AVV, TOMs und Subprozessoren-Anlage zwingend abzuschließen.

1. Rechtsgrundlage und Anwendungsbereich

Diese öffentliche Übersicht erläutert das Rollenmodell zwischen dem Anbieter (Nutriam) und seinen gewerblichen Kunden für die Verarbeitung personenbezogener Daten in der Plattform. Sie ergänzt — ersetzt aber nicht — die individuelle Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO, die vor Produktivnutzung mit echten Endkundendaten zwingend vereinbart werden muss.

Maßgebliche Rechtsgrundlagen: Art. 28 DSGVO, § 62 BDSG (n.F.), Standardvertragsklauseln (SCC) der EU-Kommission gem. Durchführungsbeschluss (EU) 2021/914 für Drittlandtransfers sowie der EU-US Data Privacy Framework Beschluss vom 10.7.2023.

  • Art. 28 DSGVO regelt die Auftragsverarbeitung
  • Diese Übersicht ersetzt nicht die individuelle AVV
  • Vor Produktivnutzung: AVV, TOMs und Subprozessoren-Anlage abschließen

2. Rollenmodell bei Kundendaten

Für Kundenakten, Anamnesen, Bedarfsanalysen, Ernährungspläne, Check-ins, Verlaufsdaten, Termine, Aufgaben und vergleichbare Betreuungsdaten entscheidet das jeweilige Coach- oder Team-Unternehmen (im Folgenden „Tenant") über Zwecke und Mittel der Verarbeitung. Damit ist der Tenant Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO.

Nutriam verarbeitet diese Daten ausschließlich auf dokumentierte Weisung des Tenants im Rahmen des SaaS-Plattformbetriebs und ist insoweit Auftragsverarbeiter nach Art. 28 DSGVO.

  • Tenant: Verantwortlicher (Art. 4 Nr. 7 DSGVO) für Endkundendaten
  • Nutriam: Auftragsverarbeiter (Art. 28 DSGVO) für Plattformbetrieb
  • Verarbeitung nur auf dokumentierte Weisung des Tenants

3. Verarbeitungen in eigener Verantwortung von Nutriam

Nicht jede Datenverarbeitung rund um das Produkt fällt unter dieselbe AVV. Folgende Verarbeitungen erfolgen außerhalb der Auftragsverarbeitung in eigener Verantwortung:

Diese Abgrenzung ist in Verträgen und Datenschutzhinweisen konsistent abzubilden und wirkt sich u.a. auf die Rechtsgrundlagen, Speicherdauer und Empfänger aus.

  • Website-Anfragen und direkte Produktanfragen (Support, Demo)
  • Eigene Vertrags-, Rechnungs- und Forderungsdaten des Tenants gegenüber Nutriam
  • Identitäts-Management der Tenant-Administrator:innen (Login, Rollen)
  • Sicherheits- und Missbrauchslogs zum Schutz der Plattform
  • Optionale Reichweitenmessung der öffentlichen Website

4. Datenkategorien und betroffene Personen

Im Rahmen der Auftragsverarbeitung verarbeitet Nutriam für den Tenant insbesondere folgende Kategorien:

Betroffene Personen sind die Endkund:innen des Tenants (also die vom Coach betreuten Personen), seine Mitarbeitenden sowie ggf. Interessent:innen.

  • Stammdaten: Name, Kontaktdaten, Geburtsdatum, Geschlecht
  • Anamnese- und Anthropometrie­daten: Größe, Gewicht, Aktivität, Vorerkrankungen
  • Ernährungs- und Gesundheitsdaten (Art. 9 DSGVO!): 24h-Recall, Mikronährstoffe, Beschwerden
  • Verlaufs- und Check-in-Daten
  • Pläne, Rezepte, Einkaufslisten
  • Kommunikationsdaten zwischen Coach und Endkund:in
  • Termin- und Aufgabendaten
  • Rechnungs- und Zahlungsdaten

5. Weisungen, TOMs und Mitarbeitende

Nutriam verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Tenants. Die initiale Weisung ergibt sich aus dem Vertrag und der Leistungsbeschreibung; abweichende Weisungen bedürfen der Textform.

Nutriam unterstützt den Tenant bei der Wahrnehmung von Betroffenenrechten (Art. 12–22 DSGVO), bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO), bei der Einhaltung von Sicherheitspflichten (Art. 32 DSGVO) und bei Meldungen von Datenschutzverletzungen (Art. 33, 34 DSGVO) — Details regelt die individuelle AVV.

Sämtliche Mitarbeitenden sind auf das Datengeheimnis und die Vertraulichkeit verpflichtet (§ 53 BDSG, Art. 28 Abs. 3 lit. b DSGVO).

  • Verarbeitung nur auf dokumentierte Weisung
  • Mitarbeitende auf Vertraulichkeit verpflichtet
  • Unterstützung bei Betroffenenrechten und DSFA
  • Meldung von Datenschutzverletzungen unverzüglich, spätestens binnen 24 Stunden an den Tenant

6. Aktuelle Unterauftragsverarbeiter

Nachfolgende Liste entspricht dem aktuellen Produktivstand des Plattformbetriebs. Maßgeblich ist die jeweils aktuelle Subprozessoren-Anlage zum individuellen Vertrag — diese öffentliche Übersicht wird bei wesentlichen Änderungen aktualisiert.

Für jeden Subprozessor liegt ein Vertrag nach Art. 28 Abs. 4 DSGVO mit gleichwertigem Schutzniveau vor (Microsoft DPA, Stripe DPA, sonstige spezifische AVV).

  • Microsoft Ireland Operations Ltd. — Azure Container Apps, App Service, Static Web Apps (Hosting Frontend, Portal, Backend, Marketing-Site)
  • Microsoft Ireland Operations Ltd. — Azure Database for PostgreSQL Flexible Server (primäre Datenhaltung, Region northeurope/Dublin)
  • Microsoft Ireland Operations Ltd. — Azure Storage (Blob, Files) für Dokumente, Anhänge, Asset-CDN
  • Microsoft Ireland Operations Ltd. — Microsoft Entra External ID (CIAM: Login, Identität, Einladungsflüsse)
  • Microsoft Ireland Operations Ltd. — Azure Key Vault (Geheimnisse, Zertifikate)
  • Microsoft Ireland Operations Ltd. — Azure Monitor, Application Insights, Log Analytics (Sicherheits- und Betriebs-Telemetrie)
  • Stripe Payments Europe Ltd. (Dublin, IE) + Stripe Inc. (San Francisco, USA) — Zahlungsabwicklung, Abos, Rechnungen
  • GitHub, Inc. (USA) — Build- und Deployment-Pipeline (GitHub Actions + GitHub Container Registry); keine personenbezogenen Endkundendaten
  • Optional: Azure Communication Services Email — transaktionale Produkt-E-Mails

7. Drittlandtransfer und Garantien

Die Plattformkomponenten (Container Apps, Static Web Apps) laufen in der Region germanywestcentral (Frankfurt). Die Datenbank (Azure Database for PostgreSQL Flexible Server) liegt in northeurope (Dublin/IE) — die EU-Verarbeitung ist für die zentralen Datenflüsse damit gewährleistet.

Eine Datenübermittlung in Drittländer kann jedoch nicht ausgeschlossen werden — insbesondere können Microsoft-Konzerngesellschaften in den USA für Support- und Telemetriezwecke Zugriff erhalten; Stripe Inc. (USA) verarbeitet im Rahmen der Zahlungsabwicklung Daten in den USA. Für solche Drittlandtransfers stützt sich Nutriam auf:

  • EU-US Data Privacy Framework (DPF, Angemessenheits­beschluss vom 10.7.2023) für DPF-zertifizierte Empfänger — Microsoft und Stripe sind zertifiziert (überprüfbar unter dataprivacyframework.gov)
  • EU-Standardvertragsklauseln (SCC 2021/914) für sonstige Drittländer (Art. 46 Abs. 2 lit. c DSGVO)
  • Microsoft Products and Services Data Protection Addendum (Microsoft DPA) als zentraler Vertragsrahmen
  • Stripe Data Processing Agreement (DPA) mit SCC und ergänzenden Schutzmaßnahmen
  • Ergänzende technische Maßnahmen: TLS 1.2+ in transit, AES-256 at rest, Pseudonymisierung sensibler Felder, getrennte Key-Vaults pro Umgebung
  • Schrems-II-konformes Transfer Impact Assessment (TIA) je Transfer auf Anfrage einsehbar

8. Technische und organisatorische Maßnahmen (TOMs)

Nutriam setzt nach Art. 32 DSGVO geeignete TOMs ein, um ein dem Risiko angemessenes Schutzniveau für besondere Datenkategorien (insb. Gesundheitsdaten nach Art. 9 DSGVO) sicherzustellen. Die konkrete Ausgestaltung wird in einer eigenen Anlage zur AVV dokumentiert; im Folgenden der Stand des Produktivbetriebs:

  • Vertraulichkeit / Zugriff: Microsoft Entra External ID + RBAC mit Least-Privilege; MFA-Pflicht für administrative Rollen; Zero-Trust-Netzwerktrennung
  • Integrität: Code-Reviews + Two-Person-Rule für Production-Changes; Audit-Logs aller Tenant-Datenzugriffe in Azure Monitor / Application Insights
  • Verfügbarkeit: Geo-Redundanz im EU-Raum (Frankfurt + Dublin); Azure Postgres Point-in-Time-Recovery (35 Tage); regelmäßige Failover-Tests
  • Belastbarkeit: Container Apps Auto-Scaling; Kapazitäts-Monitoring; Disaster-Recovery-Plan dokumentiert
  • Verschlüsselung at rest: AES-256 (Azure-managed Keys; Postgres Transparent Data Encryption; Storage SSE; verschlüsselte Backups)
  • Verschlüsselung in transit: TLS 1.2+, HSTS auf allen Webseiten, Zertifikate aus Azure Key Vault
  • Pseudonymisierung: getrennte Key-Vaults pro Umgebung (DEV / TEST / PROD); sensitive Felder werden vor Logs pseudonymisiert
  • Datentrennung: strikte Multi-Tenant-Isolation per tenant_id + Row-Level Security in PostgreSQL
  • Geheimnis-Management: Azure Key Vault — keine Secrets in Code, Umgebungsvariablen oder Logs
  • Build- & Deploy-Pipeline: GitHub Actions mit OIDC-basiertem Azure-Login (keine Long-lived-Credentials); signierte Container-Images via GHCR
  • Verfahren zur regelmäßigen Überprüfung: Microsoft Defender for Cloud, Dependabot-Schwachstellenscans, jährliche Sicherheitsaudits, Penetrationstests bei größeren Releases
  • Datenschutzfreundliche Voreinstellungen (Privacy by Design / by Default, Art. 25 DSGVO)

9. Supportzugriffe und Break-Glass-Verfahren

Support- oder Administrationszugriffe auf sensible Tenant-Daten erfolgen ausschließlich auf konkreten Anlass, mit dokumentierter Berechtigung und nachvollziehbarem Zweck. Informelle oder unprotokollierte Zugriffe sind ausgeschlossen.

Für kritische Notfälle existiert ein Break-Glass-Verfahren mit Vier-Augen-Prinzip, automatischer Protokollierung und nachgelagerter Information des betroffenen Tenants.

  • Zugriffe nur mit dedizierter Support-Rolle und konkretem Ticket-Bezug
  • Vollständige Audit-Logs aller Tenant-Datenzugriffe
  • Break-Glass: Vier-Augen-Prinzip, automatische Eskalation, Tenant-Notification
  • Problematische Weisungen werden nicht stillschweigend umgesetzt — Pflicht zur Hinweisgabe nach Art. 28 Abs. 3 lit. h DSGVO

10. Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags stellt Nutriam dem Tenant für 30 Tage einen strukturierten Datenexport (CSV, JSON) zur Verfügung. Auf Wunsch des Tenants werden alle verarbeiteten Daten anschließend gelöscht oder zurückgegeben (Art. 28 Abs. 3 lit. g DSGVO).

Eine darüber hinaus reichende Aufbewahrung erfolgt nur, soweit gesetzliche Aufbewahrungspflichten (z.B. §§ 147 AO, 257 HGB) entgegenstehen — diese Daten werden separat gespeichert und nach Fristablauf gelöscht.

  • 30-Tage-Export-Fenster nach Vertragsende
  • Vollständige Löschung oder Rückgabe nach Tenant-Wahl
  • Gesetzliche Aufbewahrungspflichten bleiben unberührt
  • Backup-Rotation: gelöschte Daten verlassen Backups spätestens nach 35 Tagen

11. Änderungen der Subprozessoren-Liste

Nutriam informiert den Tenant rechtzeitig über die geplante Hinzunahme oder Ablösung von Subprozessoren — der Tenant kann der Änderung aus wichtigem Grund widersprechen.

Die jeweils aktuelle Subprozessoren-Liste wird im Tenant-Admin-Bereich bereitgestellt und kann auf Wunsch per E-Mail-Benachrichtigung abonniert werden.

  • Vorankündigung mindestens 30 Tage vor Wirksamkeit
  • Widerspruchsrecht des Tenants aus wichtigem Grund
  • Aktuelle Liste im Admin-Bereich abrufbar

12. Vor Einsatz mit echten Endkundendaten

Die individuelle AVV samt TOMs und Subprozessoren-Anlage ist Voraussetzung für die Produktivnutzung mit echten Kunden-, Gesundheits- oder Verlaufsdaten. Ohne wirksame AVV dürfen besondere Datenkategorien nach Art. 9 DSGVO nicht im Tenant verarbeitet werden.

Für Datenschutzfragen gilt der benannte Kontakt aus Vertrag oder Datenschutzhinweisen.

  • AVV vor Produktivnutzung mit echten Endkundendaten abschließen
  • TOMs und Subprozessoren-Anlage versioniert und aktuell halten
  • Bei besonderen Datenkategorien (Art. 9 DSGVO): zusätzliche ausdrückliche Einwilligung der Endkund:innen vom Tenant einholen