Letzte Aktualisierung: 10. Juli 2025
1.1 Anwendungsbereich. Dieses Dokument legt die allgemeinen Nutzungsbedingungen (im Folgenden die „Bedingungen“) der Online-Plattform mit dem Namen „Tuduu“ (im Folgenden die „Plattform“) fest, die von Drilldown S.r.l. mit Sitz in Viale Isonzo 8, 20135 Milano (MI), Italien, USt.-Id./Steuernummer 12392590969 (im Folgenden „Drilldown“) entwickelt und bereitgestellt wird. Diese Bedingungen gelten für alle Professionellen Nutzer, die sich auf der Plattform registrieren und deren Dienste nutzen. Als Professionelle Nutzer gelten beispielhaft: Fachkräfte für Ernährung (z. B. Ernährungswissenschaftler, Diätologen, Diätassistenten), die die Bereiche „Rezepte“ und „Nutrition“ nutzen; Content Creator und Content Provider (die hauptsächlich den Bereich „Rezepte“ nutzen); sowie E-Commerce-Betreiber (die die Bereiche „Shop“ und „Rezepte“ nutzen).
1.2 Annahme. Der Zugriff, die Registrierung und jede Nutzung der Plattform durch den Nutzer setzen die vollständige Lektüre und die ausdrückliche Annahme dieser Bedingungen sowie etwaiger damit verbundener Dokumente voraus (wie die Privacy Policy und die Vereinbarung zur Datenverarbeitung, sofern anwendbar). Ohne Annahme ist die Nutzung der Plattform nicht gestattet. Der Nutzer erklärt, die Bedingungen gelesen zu haben, und verpflichtet sich, sie jederzeit einzuhalten.
1.3 Anforderungen an den Nutzer. Die Plattform richtet sich an volljährige Professionelle Nutzer mit Rechtsfähigkeit. Mit der Registrierung garantiert der Nutzer, mindestens 18 Jahre alt zu sein (oder das gesetzliche Volljährigkeitsalter in seinem Land erreicht zu haben) und, falls er im Namen einer Gesellschaft oder Organisation handelt, über die erforderliche Vertretungsbefugnis zu verfügen. Drilldown behält sich das Recht vor, zusätzliche Informationen oder Unterlagen anzufordern, um den professionellen Status des Nutzers zu überprüfen (z. B. Eintragung in ein Berufsregister für Ernährungswissenschaftler, sofern dies nach geltendem Recht erforderlich ist).
2.1 Registrierungsverfahren. Die Registrierung auf der Plattform kann erfolgen (i) über das entsprechende Online-Anmeldeformular auf der Website der Plattform, in das der Nutzer die erforderlichen Daten eingibt, oder (ii) durch eine direkte Einladung von Drilldown (z. B. im Rahmen von Kooperationen, Pilotprogrammen oder Partnerschaften). In beiden Fällen wird dem Nutzer nach Abschluss der Registrierung ein persönlicher Account erstellt (im Folgenden „Account“).
2.2 Angaben und Zugangsdaten. Der Nutzer verpflichtet sich, bei der Registrierung genaue, vollständige und wahrheitsgemäße Informationen anzugeben (z. B. Vor- und Nachname, E-Mail-Adresse, berufliche Daten usw.) und diese aktuell zu halten. Die Zugangsdaten zum Account (Benutzername und Passwort) sind persönlich und nicht übertragbar. Der Nutzer ist verpflichtet, seine Zugangsdaten streng vertraulich zu behandeln und nicht an Dritte weiterzugeben. Im Falle von Verlust, Diebstahl oder Verdacht auf unbefugte Nutzung des Accounts muss der Nutzer Drilldown unverzüglich informieren, damit die erforderlichen Maßnahmen ergriffen werden können (z. B. vorübergehende Sperrung des Accounts).
2.3 Einzigartigkeit des Accounts. Jeder Nutzer darf nur einen Account erstellen, sofern Drilldown nicht schriftlich etwas anderes für besondere Anforderungen genehmigt (z. B. getrennte Accounts für verschiedene Mitarbeiter derselben Organisation). Drilldown behält sich das Recht vor, doppelte Accounts desselben Nutzers zu löschen oder zusammenzuführen.
2.4 Verwaltung und Sperrung des Accounts. Der Nutzer ist für alle Aktivitäten verantwortlich, die über seinen Account durchgeführt werden. Drilldown behält sich das Recht vor, eine Registrierung oder einen Account jederzeit und ohne Vorankündigung abzulehnen, zu sperren oder zu löschen, wenn sie der Ansicht ist, dass gegen diese Bedingungen verstoßen wird, die Plattform missbräuchlich genutzt wird oder Sicherheitsgründe vorliegen. Im Falle der Löschung des Accounts durch Drilldown wegen eines Verstoßes gegen die Bedingungen hat der Nutzer keinen Anspruch auf Rückerstattung etwaiger gezahlter Entgelte für nicht genutzte Servicezeiträume, vorbehaltlich abweichender gesetzlicher Bestimmungen.
3.1 Bereich „Rezepte“. Die Plattform stellt einen Bereich „Rezepte“ zur Verfügung, in dem Nutzer kulinarische Rezepte erstellen, hochladen und verwalten können. Dieser Bereich ist für alle registrierten Professionellen Nutzer zugänglich, insbesondere für: (i) Fachkräfte für Ernährung, die Rezepte erstellen können, um sie in Ernährungspläne für ihre Kunden aufzunehmen oder mit anderen Nutzern zu teilen; (ii) Creator und Content Provider, die eigene Rezepte mit Texten, Zutaten, Anleitungen und Bildern veröffentlichen und auf der Plattform bereitstellen können; (iii) E-Commerce-Betreiber, die die Produkte ihres Online-Shops als Zutaten von Rezepten zuordnen können, wodurch diese Rezepte zu einem Instrument zur Bewerbung und zum Verkauf von Lebensmitteln werden. Der Bereich Rezepte ermöglicht die Anwendung von Ernährungs- und Lebensmittelpräferenzfiltern (z. B. vegetarische, vegane, glutenfreie Rezepte usw.), um die Suche nach passenden Gerichten zu erleichtern. Die hochgeladenen Rezepte werden von der Plattform mithilfe von Algorithmen verarbeitet, die die Zutaten analysieren und automatisch Nährwerte berechnen (z. B. Kalorien, Makronährstoffe usw.) pro Portion sowie die Kompatibilität mit bestimmten Ernährungsformen auf Grundlage der angegebenen Zutaten.
3.2 Bereich „Shop“. Der Bereich „Shop“ ist für Professionelle Nutzer bestimmt, die im E-Commerce und/oder Einzelhandel sowie im Lebensmittel- oder Ernährungsbereich tätig sind. In diesem Bereich kann der Nutzer seinen Katalog an Lebensmitteln oder Zutaten mit der Tuduu-Plattform integrieren. Insbesondere kann der E-Commerce-Betreiber die Produkte seines Online-Shops mit den auf Tuduu vorhandenen Rezepten verknüpfen: So kann zum Beispiel eine in einem Rezept aufgeführte Zutat einem im Shop des Betreibers kaufbaren Produkt entsprechen. Die Endnutzer der Plattform (z. B. Besucher oder Kunden des Betreibers) können solche Zutaten/Produkte mit einem Klick direkt in den Warenkorb legen und so ein Erlebnis eines „kaufbaren Rezepts“ schaffen. Die Plattform bietet außerdem automatische SEO-Funktionen (Search Engine Optimization) für mit dem Shop integrierte Rezepte, um deren Sichtbarkeit online zu erhöhen. Auch für die dem Shop zugeordneten Produkte kann die Plattform Algorithmen zur Nährwertanalyse und Kategorisierung anwenden: zum Beispiel durch die Identifizierung von Nährwertmerkmalen oder dem Vorhandensein/Nichtvorhandensein von Allergenen und die automatische Erstellung von Filtern (z. B. „laktosefrei“, „bio“ usw.), die Nutzern helfen, Produkte zu finden, die ihren Ernährungsbedürfnissen entsprechen.
3.3 Bereich „Nutrition“. Der Bereich „Nutrition“ richtet sich in erster Linie an Fachkräfte für Ernährung (Ernährungswissenschaftler, Diätologen, Diätassistenten oder andere berechtigte Personen). In diesem Bereich der Plattform kann der Fachmann Informationen und Ernährungspläne für seine Kunden/Patienten verwalten. Zu den Funktionen des Bereichs Nutrition gehören Werkzeuge zur Erstellung und Anpassung von Ernährungsplänen, Diäten oder Ernährungsberichten. Der Fachmann kann Rezepte (eigene oder auf der Plattform verfügbare) in Ernährungspläne integrieren, mit der Möglichkeit, Portionen anzupassen und die Auswirkungen auf die Nährwerte dank der integrierten Nährwertberechnungsalgorithmen in Echtzeit zu sehen. Außerdem bietet der Bereich Nutrition die Möglichkeit, PDF-Dokumente zu erstellen (z. B. Diätblätter oder Berichte zur Übergabe an den Kunden) und eine eigene mobile App zu nutzen: Diese mobile Anwendung ermöglicht es dem Endkunden, seinen Ernährungsplan, empfohlene Rezepte und andere vom Fachmann freigegebene Informationen direkt auf seinem Smartphone einzusehen. Dies fördert ein kontinuierliches Monitoring und eine direktere Interaktion zwischen Fachmann und Kunde über die Plattform.
3.4 Algorithmen zur Nährwertanalyse. In allen oben beschriebenen Bereichen verwendet die Tuduu-Plattform fortschrittliche Algorithmen zur Nährwertanalyse von Rezepten und Produkten. Diese Algorithmen verarbeiten die von den Nutzern bereitgestellten Daten (Rezeptzutaten, Nährwertinformationen der Produkte, Portionen usw.) und erzeugen automatisch Ausgaben wie: die Berechnung von Nährwerten (z. B. Energie, Makro- und Mikronährstoffe), Hinweise auf Allergene oder bestimmte vorhandene Stoffe sowie Vorschläge zur Eignung von Rezepten/Produkten für spezielle Diäten (zum Beispiel, ob ein Rezept für eine vegane oder glutenfreie Ernährung geeignet ist). Die Algorithmen sollen nützliche und genaue Informationen liefern; sie arbeiten jedoch auf Grundlage der verfügbaren Daten und allgemeiner Regeln, ohne direkte menschliche Intervention. Daher können die erzeugten Ausgaben nicht immer vollkommen präzise oder für jede Situation geeignet sein. Es liegt in der Verantwortung des Nutzers (insbesondere des Ernährungsfachmanns), die Genauigkeit der Nährwertinformationen und der algorithmisch bereitgestellten Vorschläge zu prüfen und zu verifizieren, bevor er sie verwendet oder an seine Kunden weitergibt. Die Vorgehensweise, wie Nutzer mit eventuellen Fehlern oder Unstimmigkeiten umgehen sollen, wird in den folgenden Abschnitten dieser Bedingungen beschrieben.
4.1 Ordnungsgemäße und rechtmäßige Nutzung. Der Nutzer verpflichtet sich, die Plattform und die damit verbundenen Dienste in Übereinstimmung mit diesen Bedingungen, etwaigen von Drilldown bereitgestellten Anweisungen sowie unter Einhaltung der anwendbaren Gesetze und Vorschriften zu nutzen. Dem Nutzer ist es untersagt, die Plattform für illegale oder nicht autorisierte Zwecke zu verwenden. Insbesondere darf der Nutzer nicht: (i) die Plattform so nutzen, dass Rechte Dritter oder gesetzliche Vorschriften verletzt werden (z. B. Vorschriften zum geistigen Eigentum, zum Schutz personenbezogener Daten, zum fairen Wettbewerb usw.); (ii) schädliche, beleidigende, verleumderische, obszöne oder anderweitig unangemessene Inhalte oder Materialien einbringen; (iii) versuchen, ohne Autorisierung auf Funktionen der Plattform, auf fremde Accounts oder auf IT-Systeme von Drilldown zuzugreifen oder die Sicherheit bzw. Integrität der Plattform zu beeinträchtigen (z. B. durch Einbringen von Viren, Malware oder andere störende Aktivitäten).
4.2 Prüfung algorithmischer Ausgaben. Wie in Absatz 3.4 beschrieben, generiert die Plattform automatisch Nährwertinformationen und Vorschläge mithilfe von Algorithmen. Der Nutzer erkennt an, dass diese Informationen indikativ sind und stets kritisch bewertet werden müssen. Es ist Pflicht des Nutzers, insbesondere wenn er ein Fachmann für Ernährung ist, die Genauigkeit und Konsistenz der algorithmischen Ausgaben zu überprüfen (z. B. berechnete Nährwerte für ein Rezept, einem Produkt zugewiesene Nährwert- oder Diätkennzeichnungen), bevor er sie beruflich verwendet oder an seine Kunden oder die Öffentlichkeit weitergibt. Stellt der Nutzer Fehler, Unstimmigkeiten oder Anomalien in den von der Plattform erzeugten Daten fest, verpflichtet er sich, diese unverzüglich über die bereitgestellten Support- oder Kontaktwege an Drilldown zu melden. Der Nutzer ist sich bewusst, dass die Nichtbeachtung dieser Prüfpflicht zur Verbreitung ungenauer Informationen führen kann, für die er selbst als verantwortlich gilt.
4.3 Inhalte des Nutzers – Lizenzen und Garantien. Alle vom Nutzer auf der Plattform hochgeladenen, veröffentlichten oder anderweitig eingegebenen Inhalte (einschließlich, beispielhaft: Texte, Rezepte, Zutaten, Fotos, Videos, Marken, Logos, Produktbeschreibungen) müssen sich rechtmäßig im Besitz des Nutzers befinden. Der Nutzer garantiert, über die erforderlichen Rechte (geistiges Eigentum und/oder Nutzungsrechte) an diesen Inhalten zu verfügen oder die entsprechenden Genehmigungen von den Rechteinhabern erhalten zu haben, sodass die Nutzung der Inhalte auf der Plattform und durch Drilldown gemäß diesen Bedingungen keine Rechte Dritter verletzt. Darüber hinaus räumt der Nutzer Drilldown mit dem Hochladen von Inhalten auf die Plattform das nicht ausschließliche, unterlizenzierbare und unentgeltliche Recht und die Lizenz ein, diese Inhalte ausschließlich im Zusammenhang mit der Bereitstellung der Plattformdienste und den damit verbundenen Werbeaktivitäten zu nutzen, zu vervielfältigen, zu ändern, zu veröffentlichen, zu übersetzen, zu verbreiten, anzuzeigen und aufzuführen. Diese Lizenz endet, sobald der Nutzer die Inhalte aus seinem Account oder von der Plattform entfernt, vorbehaltlich der Fälle, in denen die Aufbewahrung aufgrund gesetzlicher Verpflichtungen oder zum Schutz von Rechten erforderlich ist. Der Nutzer garantiert außerdem, dass die bereitgestellten Inhalte korrekt und wahrheitsgemäß sind (z. B. stimmen die Nährwertangaben oder Zutaten eines Rezepts mit der Wahrheit überein) und nicht gegen Gesetze oder Verordnungen verstoßen (z. B. keine irreführenden oder im Lebensmittelbereich unzulässigen Aussagen enthalten). Der Nutzer übernimmt die volle Verantwortung für die Inhalte, die er auf der Plattform einstellt, und stellt Drilldown von allen Ansprüchen Dritter frei, die sich aus diesen Inhalten ergeben (siehe auch die Freistellungsklausel in Abs. 9.4). Drilldown behält sich das Recht vor, sämtliche Nutzerinhalte zu entfernen oder auszublenden, die nach eigenem unanfechtbarem Ermessen gegen diese Bedingungen oder Rechte Dritter verstoßen oder unangemessen sind.
4.4 Besondere Pflichten für E-Commerce-Betreiber. Der Nutzer, der den Bereich Shop in der Eigenschaft als E-Commerce-Betreiber nutzt, ist allein verantwortlich für die von ihm bereitgestellten Produkte und die über die Plattform gegebenenfalls abgeschlossenen kommerziellen Transaktionen. Dies umfasst, beispielhaft und nicht abschließend: die Einhaltung der geltenden Vorschriften für Lebensmittelprodukte (z. B. in Bezug auf Lebensmittelsicherheit, Kennzeichnung, zulässige Nährwert- und Gesundheitsangaben); die Wahrhaftigkeit und Vollständigkeit der Produktbeschreibungen (Zutaten, Allergene, Nährwerteigenschaften, Preis usw.); die Verwaltung von Bestellungen der Endnutzer, des dazugehörigen Versands, der Lieferung, der Rechnungsstellung sowie des Kundendienstes nach dem Verkauf, von Rücksendungen und Rückerstattungen gemäß den geltenden gesetzlichen Bestimmungen (z. B. dem Verbrauchergesetzbuch, sofern es auf den Endkunden anwendbar ist). Drilldown stellt ausschließlich die technologische Infrastruktur der Plattform bereit, um das Zusammentreffen zwischen dem E-Commerce-Betreiber und den kaufenden Endnutzern zu erleichtern: Drilldown ist, sofern nicht Partner Dritter eingreifen, nicht Vertragspartei der Kaufverträge über Produkte zwischen dem E-Commerce-Betreiber-Nutzer und den Endkunden und übernimmt keine Garantiepflichten für die von diesen Nutzern verkauften Produkte. Der E-Commerce-Betreiber hält Drilldown vollständig schadlos von jeglicher Haftung oder Kosten, die aus Beschwerden, Streitigkeiten, Schäden oder Verstößen im Zusammenhang mit den von ihm angebotenen Produkten oder den über die Plattform durchgeführten kommerziellen Transaktionen entstehen.
4.5 Einhaltung beruflicher Vorschriften. Ist der Nutzer ein Berufsangehöriger, der berufsrechtlichen oder speziellen gesetzlichen Anforderungen unterliegt (z. B. ein in einer Berufsordnung eingetragener Ernährungswissenschaftler), so ist er verpflichtet, die Plattform in einer Weise zu nutzen, die mit den Pflichten seines beruflichen Status vereinbar ist. Beispielsweise muss der Ernährungsfachmann sicherstellen, dass die Nutzung der Plattform-Tools (wie die Erstellung von Diäten oder Ernährungsempfehlungen) im Einklang mit den für seinen Beruf geltenden Richtlinien und Vorschriften erfolgt. Nichts in diesen Bedingungen entbindet den Nutzer von der Einhaltung solcher beruflichen Pflichten.
5.1 Kostenpflichtige Dienste und SaaS-Pläne. Der Zugriff auf bestimmte Funktionen oder Bereiche der Plattform (z. B. die erweiterte Nutzung des Bereichs Rezepte für E-Commerce oder fortgeschrittene Werkzeuge des Bereichs Nutrition) kann vom Abschluss eines kostenpflichtigen SaaS-Abonnements (Software-as-a-Service) abhängen. Drilldown kann verschiedene Pläne mit unterschiedlichen Leistungsstufen anbieten (z. B. Pläne mit einer maximalen Anzahl verwaltbarer Rezepte, Zusatzfunktionen wie „kaufbare“ Rezepte, Entfernung des Tuduu-Wasserzeichens, vorrangiger Support usw.), wie auf der Plattform oder in den kommerziellen Unterlagen von Drilldown beschrieben. Einige Pläne können eine anfängliche kostenlose Testphase vorsehen, nach deren Ablauf das Abonnement kostenpflichtig wird, sofern es nicht rechtzeitig vom Nutzer gekündigt wird.
5.2 Entgelte und Zahlungsmodalitäten. Die Preise der verschiedenen Abonnementpakete (im Folgenden „Entgelte“) sind auf der Plattform angegeben oder werden dem Nutzer bei Abschluss durch Drilldown mitgeteilt. Die Entgelte verstehen sich in der Regel netto zuzüglich Mehrwertsteuer und etwaiger anwendbarer Steuern, die bei Fälligkeit nach geltendem Steuerrecht hinzukommen. Die Zahlung der Entgelte erfolgt über externe elektronische Zahlungssysteme, beispielhaft Stripe. Bei Abschluss kann der Nutzer aufgefordert werden, die Daten einer Kreditkarte oder eines anderen unterstützten Zahlungsmittels einzugeben, und er ermächtigt Drilldown (oder den Drittanbieter Stripe), das geschuldete Entgelt automatisch in der im gewählten Plan vorgesehenen Periodizität abzubuchen (z. B. monatlich oder jährlich). Alle Transaktionen unterliegen den Geschäftsbedingungen des Zahlungsanbieters Stripe; Drilldown speichert nicht die vollständigen Kreditkartendaten des Nutzers, die sicher von Stripe verwaltet werden.
5.3 Preisänderungen. Drilldown behält sich das Recht vor, die Preise der Abonnementpläne jederzeit zu ändern. Etwaige Preisänderungen werden frühestens im auf die Mitteilung an den Nutzer folgenden Abrechnungszeitraum wirksam. Drilldown informiert den Nutzer rechtzeitig über Preisänderungen in geeigneter Weise (z. B. per E-Mail oder durch eine Mitteilung innerhalb der Plattform). Möchte der Nutzer den neuen Preis nicht akzeptieren, kann er das Abonnement vor Wirksamwerden der Änderung kündigen; die Fortsetzung der Nutzung des Dienstes nach Inkrafttreten der Änderung gilt als Zustimmung zum neuen Preis.
5.4 Laufzeit des Abonnements und Kündigung. Sofern nicht anders angegeben, werden Abonnements automatisch verlängert: Mit Ablauf jedes Zeitraums (monatlich, jährlich usw.) verlängert sich das Abonnement automatisch um einen weiteren Zeitraum gleicher Dauer, sofern es nicht durch den Nutzer oder Drilldown innerhalb der nachfolgend genannten Fristen gekündigt wird. Der Nutzer kann das Abonnement jederzeit über die entsprechende Funktion auf der Plattform (z. B. in den Kontoeinstellungen) oder durch Kontaktaufnahme mit dem Support von Drilldown kündigen. Die Kündigung wird zum Ende des bereits bezahlten Abonnementzeitraums wirksam: Bis zu diesem Zeitpunkt behält der Nutzer Zugang zu den kostenpflichtigen Funktionen, und es sind keine Rückerstattungen für nicht genutzte Zeiträume vorgesehen. Bei Nichtzahlung des Entgelts (z. B. wegen ungültiger Kreditkarte oder unzureichender Deckung) oder bei Verstoß des Nutzers gegen diese Bedingungen kann Drilldown das Abonnement sperren oder beenden; in diesem Fall bleibt der Nutzer zur Zahlung der bis zum Beendigungsdatum aufgelaufenen Beträge verpflichtet, unbeschadet des Rechts von Drilldown auf Schadenersatz für weitere Schäden, wenn die Beendigung aufgrund einer Pflichtverletzung des Nutzers erfolgt ist.
Falls Drilldown und der Nutzer eine spezielle schriftliche Vereinbarung mit besonderen Bedingungen für die Nutzung der Plattform abgeschlossen haben (z. B. einen individuellen Dienstleistungsvertrag, eine Unternehmens- oder Partnervereinbarung) oder für die Veröffentlichung von Inhalten (Rezepte und Produkte) auf externen Kanälen wie dem Marktplatz Tuduu.it oder anderen gemeinsamen Kanälen, gelten die Bestimmungen dieser besonderen Vereinbarung zusätzlich zu diesen Bedingungen. Im Falle eines Widerspruchs zwischen den Klauseln des individuellen Vertrags und den in diesen Allgemeinen Bedingungen vorgesehenen Regelungen haben die Klauseln des individuellen Vertrags Vorrang, jedoch nur hinsichtlich der widersprüchlichen Aspekte. Für alle Punkte, die in der speziellen Vereinbarung nicht ausdrücklich geregelt sind, gelten weiterhin diese Allgemeinen Bedingungen.
7.1 Plattform und Inhalte von Drilldown. Die Plattform (einschließlich Software, Quellcode, Design, Benutzeroberfläche, Datenbanken, die Marken „Tuduu“ und „Drilldown“, Logos, Domainnamen und alle sonstigen Inhalte und Materialien auf der Website und in der App, mit Ausnahme der oben definierten Nutzerinhalte) ist ausschließliches Eigentum von Drilldown oder gegebenenfalls seiner Lizenzgeber. Diese Elemente sind durch Urheberrecht, Markenrecht, Patentrecht, Designrecht und/oder andere Vorschriften zum Schutz geistigen Eigentums geschützt. Der Nutzer verpflichtet sich, keinen Teil der Plattform oder ihrer geschützten Inhalte zu kopieren, zu ändern, zu verbreiten, zu verkaufen oder davon abgeleitete Werke zu erstellen, soweit dies nicht ausdrücklich von Drilldown oder gesetzlich gestattet ist. Der Zugriff auf die Plattform bedeutet in keiner Weise die Übertragung von Rechten des geistigen Eigentums an Software oder anderen Elementen im Eigentum von Drilldown auf den Nutzer, sondern lediglich die Gewährung einer begrenzten, widerruflichen und nicht ausschließlichen Nutzungslizenz zum Zweck der Nutzung der Plattform in Übereinstimmung mit diesen Bedingungen.
7.2 Inhalte des Nutzers. Der Nutzer behält die volle Inhaberschaft an den Rechten an seinen eigenen Inhalten, die er auf der Plattform hochlädt (wie in Absatz 4.3 definiert). Dennoch räumt der Nutzer Drilldown gemäß der in Klausel 4.3 festgelegten Regelung eine Nutzungslizenz an den genannten Inhalten zu den dort beschriebenen Zwecken und unter den dort genannten Beschränkungen ein. Der Nutzer nimmt zur Kenntnis, dass diese auf der Plattform veröffentlichten Inhalte für andere Nutzer oder im Falle öffentlich zugänglicher Rezepte oder Informationen auch für nicht registrierte Besucher sichtbar sein können, und er ermächtigt Drilldown, etwaige Veröffentlichungs-, Teilungs- oder Indexierungsaktivitäten vorzunehmen, die erforderlich sind, um diesen Inhalten im Rahmen der Funktionen der Plattform Sichtbarkeit zu verschaffen.
7.3 Feedback und Vorschläge. Wenn der Nutzer Drilldown Kommentare, Vorschläge oder Ideen zur Plattform oder zu den Diensten übermittelt (z. B. Hinweise auf neue Funktionen oder Verbesserungen), gelten diese Beiträge nicht als vertraulich. Drilldown kann dieses Feedback frei für jeden Zweck nutzen, ohne dass dem Nutzer dafür ein Anspruch auf Vergütung oder Anerkennung entsteht und ohne dass dadurch Rechte des Nutzers an etwa umgesetzten Änderungen oder Verbesserungen entstehen.
8.1 Verarbeitung personenbezogener Daten. Drilldown verarbeitet die vom Nutzer bereitgestellten oder im Zuge der Nutzung der Plattform anderweitig erhobenen personenbezogenen Daten in Übereinstimmung mit der EU-Verordnung 2016/679 („GDPR“) und den anwendbaren italienischen Datenschutzvorschriften. Informationen über die Art und den Zweck der Verarbeitung personenbezogener Daten sind in der dem Nutzer bereitgestellten und auf der Website der Plattform verfügbaren Datenschutzerklärung aufgeführt. Mit der Annahme dieser Bedingungen erklärt der Nutzer, diese Datenschutzerklärung gelesen zu haben.
8.2 Vom Nutzer eingegebene Daten Dritter. Falls der Nutzer (z. B. ein Ernährungsfachmann) auf der Plattform personenbezogene Daten Dritter eingibt, etwa Informationen über seine Kunden oder Patienten (z. B. Name, Kontaktdaten, Gesundheits- oder Ernährungsdaten), garantiert er, diese Daten rechtmäßig erhoben zu haben und, soweit erforderlich, die informierte Einwilligung der Betroffenen für die Nutzung dieser Daten innerhalb der Plattform eingeholt zu haben. In Bezug auf solche Verarbeitungen gilt der Nutzer als Verantwortlicher und Drilldown handelt gemäß Art. 28 GDPR als Auftragsverarbeiter, beschränkt auf die Speicherung und Verarbeitung, die zur Bereitstellung der Dienste der Plattform erforderlich sind. In diesem Zusammenhang kann eine spezielle Vereinbarung zur Datenverarbeitung (Data Processing Agreement) erstellt werden, die die jeweiligen Pflichten im Bereich des Schutzes personenbezogener Daten im Detail regelt; diese Vereinbarung gilt, sofern anwendbar, als integraler Bestandteil dieser Bedingungen.
8.3 Nutzungsdaten und aggregierte Daten. Drilldown ist berechtigt, Daten über die Nutzung der Plattform durch die Nutzer zu erfassen und zu verarbeiten (z. B. verwendete Funktionen, Anzahl erstellter Rezepte, Suchparameter, Navigationsstatistiken, gegebenes Feedback usw.), um den Dienst zu verbessern und das ordnungsgemäße Funktionieren der Plattform zu gewährleisten. Diese Nutzungsdaten können nach ihrer Erfassung anonymisiert und aggregiert werden, sodass eine direkte oder indirekte Identifizierung der Nutzer oder natürlicher Personen nicht mehr möglich ist. Der Nutzer nimmt ausdrücklich zur Kenntnis und akzeptiert, dass Drilldown diese anonymen und aggregierten Daten im Einklang mit dem geltenden Recht für statistische Analysen, Forschung und Entwicklung sowie auch zu kommerziellen und Monetarisierungszwecken verwenden darf. Dies kann beispielsweise die Veröffentlichung von Berichten oder Insights zu Ernährungstrends, die aus Gesamtdaten der Nutzer gewonnen wurden, oder die Weitergabe streng anonymisierter statistischer Daten an interessierte Dritte (z. B. Geschäftspartner) umfassen. In keinem Fall führen solche Tätigkeiten zur Weitergabe personenbezogener identifizierbarer Daten des Nutzers an Dritte ohne dessen Einwilligung oder ohne eine andere gültige Rechtsgrundlage.
9.1 Funktionen der Plattform – „wie gesehen“. Die Tuduu-Plattform und alle ihre Dienste und Funktionen werden dem Nutzer nach dem Prinzip „wie sie sind“ und „wie verfügbar“ („as is“ und „as available“) bereitgestellt. Das bedeutet, dass Drilldown zwar bestrebt ist, die Plattform betriebsbereit und aktuell zu halten, jedoch keine spezifische Garantie für das Fehlen von Fehlern oder Unterbrechungen übernimmt. Insbesondere garantiert Drilldown nicht, dass: (i) die Plattform vollständig den spezifischen Anforderungen des Nutzers entspricht; (ii) die durch die Nutzung der Plattform erzielten Ergebnisse (einschließlich algorithmischer Nährwertanalysen) stets genau, präzise oder zuverlässig sind; (iii) der Betrieb der Plattform frei von Unterbrechungen, Verzögerungen, Fehlfunktionen oder Fehlern ist; (iv) etwaige Fehler oder Bugs der Software sofort behoben werden. Der Nutzer akzeptiert, dass die Nutzung der Plattform auf eigenes Risiko erfolgt.
9.2 Haftungsbeschränkung von Drilldown. Soweit nach dem anwendbaren Recht maximal zulässig, haftet Drilldown nicht für indirekte, zufällige, Folge-, Sonder- oder Strafschäden, die dem Nutzer oder Dritten im Zusammenhang mit der Nutzung der Plattform oder der Unmöglichkeit ihrer Nutzung entstehen. Vom Schadensersatz ausgeschlossen sind in jedem Fall, innerhalb der vorgenannten Grenzen, Schäden wie: entgangener Gewinn, entgangene Einsparungen, Verlust von Geschäftsmöglichkeiten, Datenverlust, Betriebsunterbrechung oder Ansprüche Dritter gegen den Nutzer. Sollte Drilldown aus irgendeinem Grund im Rahmen des Vertragsverhältnisses mit dem Nutzer haftbar gemacht werden, darf die Gesamthaftung von Drilldown den Betrag der Entgelte nicht übersteigen, die der Nutzer Drilldown in den 12 Monaten vor dem Ereignis, das die Haftung ausgelöst hat, gezahlt hat (bzw., falls die Nutzung der Plattform kostenlos erfolgt, einen Betrag von 100 Euro als Höchstbetrag). Diese Haftungsbeschränkung gilt im nach dem Gesetz maximal zulässigen Umfang, und nichts in diesen Bedingungen soll die Haftung von Drilldown für Vorsatz oder grobe Fahrlässigkeit oder andere Fälle, in denen eine Beschränkung gesetzlich nicht zulässig ist, einschränken.
9.3 Keine medizinische oder diagnostische Beratung. Der Nutzer erkennt an, dass die Plattform und die bereitgestellten Funktionen kein Medizinprodukt darstellen und in keiner Weise eine medizinische Beratung, Diagnose oder personalisierte Gesundheitsbehandlung anbieten. Die über Tuduu generierten Nährwertinformationen, Daten und Vorschläge dienen ausschließlich Informations- und professionellen Unterstützungszwecken und ersetzen keinesfalls die ärztliche Meinung oder die Beurteilung eines zugelassenen Gesundheitsfachmanns. Jede Entscheidung hinsichtlich Gesundheit, Ernährung oder Behandlung einer Person muss von einer kompetenten Fachperson auf Grundlage einer direkten Bewertung des konkreten Falls getroffen werden. Ist der Nutzer ein Ernährungsfachmann, bleibt er in vollem Umfang für die Beratung seiner Kunden/Patienten verantwortlich: Die Nutzung der Plattform entbindet den Nutzer nicht von der Pflicht zur eigenen Beurteilung und zur Einhaltung der besten beruflichen Praxis. Ist der Nutzer kein Gesundheitsfachmann, muss er für Diagnosen oder therapeutische Ratschläge stets Ärzte oder qualifizierte Spezialisten konsultieren. Drilldown garantiert keinerlei gesundheitliches oder körperliches Ergebnis aus der Nutzung der Plattform und übernimmt keine Verantwortung für Folgen, die sich daraus ergeben, dass man sich ausschließlich auf über die Plattform erhaltene Informationen verlässt.
9.4 Freistellung durch den Nutzer. Der Nutzer verpflichtet sich, Drilldown sowie dessen Vertreter, Mitarbeiter und Beauftragte von jeglichem Verlust, Schaden, Haftung, Kosten oder Aufwendungen (einschließlich angemessener Anwaltskosten) freizustellen und schadlos zu halten, die aus jeglichem Anspruch oder einer Forderung Dritter entstehen, verursacht durch oder in Verbindung mit: (i) vom Nutzer auf der Plattform bereitgestellten Inhalten, die Rechte Dritter oder gesetzliche Vorschriften verletzen; (ii) einem Verstoß des Nutzers gegen diese Bedingungen oder gesetzliche Pflichten bei der Nutzung der Plattform; (iii) Fahrlässigkeit, Unvorsichtigkeit oder Vorsatz des Nutzers bei der Nutzung der Plattform; (iv) Produkten, die vom Nutzer über die Plattform verkauft oder vermarktet werden (im Fall eines E-Commerce-Betreibers), einschließlich etwaiger Beanstandungen hinsichtlich Qualität, Konformität oder Sicherheit dieser Produkte. Drilldown wird den Nutzer unverzüglich über das Entstehen solcher Ansprüche informieren und bei der Verteidigung in angemessener Weise zusammenarbeiten, wobei Drilldown das Recht behält, seine rechtliche Verteidigung eigenständig zu bestimmen.
10.1 Vertragslaufzeit. Diese vertragliche Vereinbarung zwischen dem Nutzer und Drilldown tritt mit der Annahme der Bedingungen durch den Nutzer in Kraft (Registrierung und/oder erste Nutzung der Plattform) und bleibt für die gesamte Dauer der Nutzung der Plattform durch den Nutzer gültig. Der Account und ein etwaiges Abonnement des Nutzers laufen auf unbestimmte Zeit mit automatischen periodischen Verlängerungen, wie oben beschrieben, vorbehaltlich einer Beendigung gemäß den nachstehenden Bestimmungen.
10.2 Kündigung durch den Nutzer. Der Nutzer kann dieses Vertragsverhältnis jederzeit beenden, indem er die Löschung seines Accounts beantragt und die Nutzung der Plattform einstellt. Die Löschung des Accounts kann über die entsprechende Funktion auf der Plattform (sofern verfügbar) oder durch schriftliche Kontaktaufnahme mit Drilldown erfolgen. Im Falle einer freiwilligen Kündigung hat der Nutzer keinen Anspruch auf Erstattung bereits gezahlter Entgelte für nicht vollständig genutzte Dienste, vorbehaltlich der vorstehenden Ziffer 5.4 für laufende Abonnements. Die Schließung des Accounts führt dazu, dass auf die vom Nutzer in die Plattform eingegebenen Daten und Inhalte künftig nicht mehr zugegriffen werden kann, vorbehaltlich gesetzlicher Aufbewahrungspflichten oder des Schutzes von Rechten, wie in der Privacy Policy angegeben.
10.3 Sperrung oder Beendigung durch Drilldown. Drilldown behält sich das Recht vor, den Zugang des Nutzers zur Plattform vorübergehend zu sperren oder diesen Vertrag mit sofortiger Wirkung zu beenden (durch Deaktivierung des Accounts), in folgenden Fällen: (i) wenn dies erforderlich ist, um die Sicherheit der Plattform oder der Daten zu gewährleisten (z. B. bei einer Verletzung oder Bedrohung der IT-Sicherheit); (ii) bei schwerem oder wiederholtem Verstoß des Nutzers gegen diese Bedingungen (z. B. rechtswidrige Nutzung der Plattform, Nichtzahlung geschuldeter Entgelte, unbefugte Weitergabe vertraulicher Daten usw.); (iii) wenn dies durch eine behördliche Anordnung oder eine gesetzliche Vorschrift verlangt wird; (iv) bei Einstellung der Tätigkeit von Drilldown in Bezug auf die Plattform oder bei nachträglicher Unmöglichkeit, die Dienste bereitzustellen. Sofern dies nicht durch Gesetz oder behördliche Anordnungen verboten ist (z. B. Anordnung einer sofortigen Sperrung), wird Drilldown den Nutzer schriftlich über die Sperrung oder Beendigung informieren und die Gründe nennen, möglichst mit angemessener Vorankündigung. Im Falle einer dem Nutzer nicht zurechenbaren Beendigung (z. B. unter vorstehender Ziffer (iv)) wird Drilldown, soweit anwendbar, dem Nutzer den bereits gezahlten Teil des Entgelts für den nach dem Wirksamkeitsdatum der Beendigung nicht genutzten Abonnementzeitraum erstatten.
10.4 Wirkungen der Beendigung. Nach Beendigung des Vertragsverhältnisses, aus welchem Grund auch immer, muss der Nutzer die Nutzung der Plattform unverzüglich einstellen. Alle Klauseln dieser Bedingungen, die ihrer Natur nach über das Vertragsende hinaus fortgelten sollen (wie beispielhaft: aufgelaufene Zahlungspflichten, Haftungsausschlüsse, Haftungsbeschränkungen, Freistellungen, Bestimmungen zum geistigen Eigentum und zur Datenverarbeitung), bleiben in vollem Umfang wirksam. Die Beendigung der Wirksamkeit der Bedingungen berührt keine etwaigen bis dahin entstandenen Rechte oder Rechtsbehelfe der Parteien.
Drilldown behält sich das Recht vor, diese Bedingungen jederzeit zu aktualisieren oder zu ändern, beispielsweise um sie an gesetzliche Änderungen, die Einführung neuer Funktionen oder Dienste oder andere organisatorische Erfordernisse anzupassen. Im Falle wesentlicher Änderungen der Bedingungen wird Drilldown den Nutzer mit angemessener Vorankündigung informieren, indem eine Mitteilung auf der Website der Plattform veröffentlicht und/oder eine Mitteilung an die registrierte E-Mail-Adresse des Nutzers gesendet wird. Die Änderungen werden ab dem in der Mitteilung angegebenen Datum wirksam (oder, falls kein Datum angegeben ist, 15 Tage nach der Mitteilung). Wenn der Nutzer die Änderungen nicht akzeptieren möchte, kann er bis zum Wirksamkeitsdatum vom Vertrag zurücktreten, indem er seinen Account löscht. Erfolgt innerhalb dieser Frist kein Rücktritt, gelten die neuen Bedingungen als akzeptiert und finden ab dem angegebenen Wirksamkeitsdatum auf den Nutzer Anwendung.
Diese Bedingungen und alle daraus resultierenden Vertragsverhältnisse unterliegen dem italienischen Recht. Jegliche Streitigkeit zwischen Drilldown und dem Nutzer im Zusammenhang mit der Auslegung, Gültigkeit, Durchführung oder Beendigung dieser Bedingungen oder im Zusammenhang mit der Nutzung der Plattform unterliegt der ausschließlichen Zuständigkeit des Gerichts in Mailand, unbeschadet etwaiger zwingender Gerichtsstände nach anwendbarem Recht.
13.1 Gesamte Vereinbarung. Diese Bedingungen (zusammen mit den darin genannten oder beigefügten Dokumenten wie der Datenschutzerklärung und, sofern anwendbar, der Vereinbarung zur Datenverarbeitung) stellen die gesamte Vereinbarung zwischen dem Nutzer und Drilldown in Bezug auf die Nutzung der Plattform durch den Nutzer dar und ersetzen alle früheren mündlichen oder schriftlichen Absprachen oder Vereinbarungen zwischen den Parteien über denselben Gegenstand. Die Möglichkeit, maßgeschneiderte Verträge gemäß Art. 6 oben abzuschließen, bleibt davon unberührt.
13.2 Teilnichtigkeit. Sollte eine Bestimmung dieser Bedingungen von einer zuständigen Behörde (z. B. einem Gericht) für nichtig, ungültig oder unwirksam erklärt werden, so wird sie im größtmöglichen zulässigen Umfang angewendet, und dies berührt weder die Gültigkeit noch die Wirksamkeit der übrigen Bestimmungen, die weiterhin vollständig gültig und verbindlich bleiben.
13.3 Kein Verzicht. Das eventuelle unterlassene oder verzögerte Ausüben eines Drilldown durch diese Bedingungen eingeräumten Rechts oder einer solchen Befugnis stellt in keiner Weise einen Verzicht auf dieses Recht oder diese Befugnis dar; es kann auch zu einem späteren Zeitpunkt im gesetzlich zulässigen Umfang geltend gemacht werden.
13.4 Abtretung des Vertrags. Der Nutzer darf diesen Vertrag (d. h. seinen Account sowie die aus den Bedingungen resultierenden Rechte/Pflichten) nicht ohne vorherige schriftliche Zustimmung von Drilldown an Dritte abtreten oder übertragen. Drilldown kann diesen Vertrag nach vorheriger Mitteilung an den Nutzer im Rahmen von Unternehmensübertragungen, außerordentlichen gesellschaftsrechtlichen Vorgängen oder an Mutter-, Tochter- oder verbundene Unternehmen abtreten, wobei die Rechte des Nutzers aus diesen Bedingungen davon unberührt bleiben.
13.5 Sprache und Versionen. Diese Allgemeinen Nutzungsbedingungen sind in italienischer Sprache verfasst. Eventuelle Übersetzungen in andere Sprachen oder lokale Fassungen dienen ausschließlich der besseren Verständlichkeit; im Falle von Abweichungen oder Auslegungszweifeln hat der italienische Text Vorrang.
13.6 Kontakt. Für jede Mitteilung im Zusammenhang mit diesen Bedingungen oder der Nutzung der Plattform kann der Nutzer Drilldown unter den auf der Website angegebenen Kontaktdaten erreichen (z. B. unter der angegebenen Support-E-Mail-Adresse). Drilldown kann den Nutzer unter den bei der Registrierung angegebenen Kontaktdaten (E-Mail, Adresse) kontaktieren.
Parteien: Diese Vereinbarung zur Datenverarbeitung wird geschlossen zwischen:
Verantwortlicher (im Folgenden „Verantwortlicher“): der Fachmann (natürliche oder juristische Person), der das Nutrition-Modul verwendet und Zwecke sowie Mittel der Verarbeitung personenbezogener Daten der Patienten bestimmt;
Auftragsverarbeiter (im Folgenden „Auftragsverarbeiter“): das Unternehmen, das das Nutrition-Modul bereitstellt (z. B. Software-/CRM-Plattform) und personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
1.1 Gegenstand
Gemäß Art. 28 der Verordnung (EU) 2016/679 (GDPR) regelt diese Vereinbarung die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen des Nutrition-Moduls des dem Verantwortlichen bereitgestellten Dienstes vornimmt. Insbesondere verarbeitet der Auftragsverarbeiter die vom Verantwortlichen im CRM eingegebenen Daten (Name, Nachname, Kontakte, Ernährungsdaten der Patienten usw.) ausschließlich zur Bereitstellung der Funktionen des Nutrition-Moduls und in Übereinstimmung mit den Anweisungen des Verantwortlichen (siehe Abschnitt 6). Die Verarbeitung personenbezogener Daten erfolgt gemäß den in Art. 4 Abs. 2 GDPR genannten zulässigen Vorgängen wie Erhebung, Erfassung, Organisation, Speicherung, Abfrage, Nutzung, Änderung, Löschung usw., die für die Erbringung des Dienstes erforderlich sind.
1.2 Dauer
Die Laufzeit dieser Vereinbarung entspricht der des Vertragsverhältnisses zwischen Verantwortlichem und Auftragsverarbeiter hinsichtlich der Nutzung des Nutrition-Moduls. Die Vereinbarung bleibt in Kraft, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Bei Beendigung des Hauptdienstes (z. B. Account-Löschung oder Ende des Dienstvertrags) gelten die Bestimmungen zur Rückgabe/Löschung der Daten gemäß Abschnitt 10. Der Verantwortliche ist berechtigt, diese Vereinbarung mit sofortiger Wirkung zu kündigen, falls der Auftragsverarbeiter schwer gegen Datenschutzvorschriften oder die hierin vorgesehenen Pflichten verstößt. Das Recht jeder Partei, Schadensersatz für etwaige aus dem Verstoß gegen die Vereinbarung entstandene Schäden zu verlangen, bleibt unberührt.
Der Auftragsverarbeiter stellt dem Verantwortlichen eine Softwareplattform (Nutrition-Modul) im Software-as-a-Service-Modell zur Verwaltung der ernährungsbezogenen Tätigkeit der Patienten bereit. Zweck der Verarbeitung ist es, dem Verantwortlichen die Speicherung und Verarbeitung von Informationen über seine Patienten zu ermöglichen, um personalisierte Ernährungsberatungen anzubieten, Ernährungspläne zu erstellen, die Entwicklung des Gewichts und anderer Gesundheitsparameter zu überwachen sowie die Kommunikation mit den Patienten und damit verbundene Termine zu verwalten. Diese Funktionen fallen in den Bereich der medizinischen/ernährungsbezogenen Tätigkeiten, die von der Software verwaltet werden, ähnlich wie digitale Gesundheitsdienste zur Verwaltung von Patientenakten und Behandlungsplänen.
Konkret umfasst die Art der vorgenommenen Verarbeitung alle zur Bereitstellung des Nutrition-Moduls erforderlichen Vorgänge, darunter Erhebung, Organisation, Abfrage, Änderung, Speicherung, Auszug, Mitteilung an den Verantwortlichen selbst, Löschung oder Vernichtung der im System eingegebenen Daten gemäß den Anweisungen des Verantwortlichen. Der Auftragsverarbeiter wird die Daten nicht für eigene Zwecke verwenden, die über die vereinbarten hinausgehen, noch sie an Dritte weitergeben, außer auf Anweisung des Verantwortlichen oder aufgrund gesetzlicher Verpflichtung (wie weiter unten beschrieben).
Im Rahmen des Nutrition-Moduls verarbeitet der Auftragsverarbeiter im Auftrag des Verantwortlichen die folgenden Arten personenbezogener Daten der Patienten des Verantwortlichen:
Stammdaten und Kontaktdaten: Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und -ort, Telefonnummern und ggf. Adressen (z. B. um den Patienten zu kontaktieren).
Ernährungs-/Gesundheitsdaten: Informationen über den Gesundheitszustand und die Ernährungsgewohnheiten des Patienten, beispielsweise Ernährungspräferenzen oder -einschränkungen (spezielle Diäten, Nahrungsmittelallergien, vegetarische/vegane Ernährungsweisen usw.), Daten zur Gewichtsüberwachung und anthropometrische oder ähnliche Gesundheitsparameter sowie etwaige Notizen zum Lebensstil, die für die Ernährung relevant sind. Diese Informationen gehören zu den personenbezogenen Daten im Zusammenhang mit der Gesundheit im Sinne von Art. 4 Abs. 15 GDPR und/oder können indirekt religiöse oder philosophische Überzeugungen offenbaren (z. B. Ernährungsentscheidungen) und stellen besondere Kategorien personenbezogener Daten im Sinne von Art. 9 GDPR dar. Folglich verpflichten sich sowohl der Verantwortliche als auch der Auftragsverarbeiter, die erforderlichen Vorsichtsmaßnahmen und Sicherheitsmaßnahmen gemäß den gesetzlichen Vorschriften zum Schutz dieser sensiblen Daten zu ergreifen.
Die Kategorien betroffener Personen, deren Daten zur Durchführung dieser Vereinbarung verarbeitet werden, sind: die Patienten (Kunden) des Verantwortlichen, natürliche Personen, die vom Verantwortlichen eine Ernährungsberatung oder andere Dienstleistungen erhalten und deren personenbezogene Daten im Nutrition-Modul eingegeben werden.
Der Verantwortliche verpflichtet sich zu:
Rechtmäßigkeit und Transparenz: Sicherzustellen, dass die dem Auftragsverarbeiter anvertrauten personenbezogenen Daten der Patienten rechtmäßig erhoben und verarbeitet werden (z. B. durch Einholung der informierten Einwilligung des Patienten, soweit erforderlich, oder einer anderen gültigen Rechtsgrundlage gemäß Art. 6 GDPR) und dass die Betroffenen angemessen über Zwecke und Modalitäten der Verarbeitung gemäß Art. 13 und 14 GDPR informiert wurden. Der Verantwortliche bleibt gegenüber den Betroffenen für die Einhaltung der gesetzlichen Verpflichtungen in Bezug auf diese Daten verantwortlich.
Dokumentierte Anweisungen: Dem Auftragsverarbeiter dokumentierte, klare und aktuelle Anweisungen zur Verarbeitung der Daten zu erteilen (z. B. über diese Vereinbarung und etwaige Richtlinien oder operative Hinweise). Zusätzliche Anweisungen oder Änderungen der anfänglichen Anweisungen müssen schriftlich mitgeteilt (auch per PEC-E-Mail oder elektronischem Ticketsystem) und als Referenz aufbewahrt werden. Der Auftragsverarbeiter verarbeitet die Daten nur gemäß den erhaltenen Anweisungen. Hält der Auftragsverarbeiter eine Anweisung des Verantwortlichen für einen Verstoß gegen das Datenschutzrecht, informiert er den Verantwortlichen unverzüglich (siehe auch Abschnitt 6).
Überwachung und Audit: Vor Beginn und anschließend regelmäßig zu prüfen, ob der Auftragsverarbeiter ausreichende Garantien in Bezug auf geeignete technische und organisatorische Maßnahmen zum Schutz der anvertrauten Daten bietet und die Bestimmungen dieser Vereinbarung einhält. Der Verantwortliche hat das Recht, nach angemessener Vorankündigung regelmäßige Audits (z. B. jährlich) und Inspektionen der Tätigkeiten des Auftragsverarbeiters in Bezug auf die anvertrauten Daten durchzuführen oder durchführen zu lassen, um die Einhaltung der Datenschutzvorschriften und der vereinbarten Anweisungen zu kontrollieren. Der Auftragsverarbeiter verpflichtet sich, zu kooperieren und im vereinbarten Rahmen Informationen oder angemessenen Zugang zu den Infrastrukturen bereitzustellen (siehe Abschnitte 6 und 8 für Details zu Audits und Unterauftragnehmern).
Meldung von Unregelmäßigkeiten: Den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler, Unstimmigkeiten oder Verstöße in den vom Auftragsverarbeiter vorgenommenen Verarbeitungsmodalitäten feststellt, die zu einer Nichtkonformität mit dieser Vereinbarung oder den geltenden Datenschutzvorschriften führen können. Die Parteien arbeiten zusammen, um festgestellte Unregelmäßigkeiten umgehend zu beheben.
Vertraulichkeit von Informationen: Alle Informationen über Sicherheitsmaßnahmen, Systeme und Geschäftsgeheimnisse des Auftragsverarbeiters, von denen er im Rahmen des Vertragsverhältnisses Kenntnis erlangt, streng vertraulich zu behandeln. Diese Vertraulichkeitspflicht gilt auch nach Beendigung dieser Vereinbarung fort.
Umgang mit Anfragen Betroffener: Der Verantwortliche bleibt dafür verantwortlich, Auskunftsersuchen und sonstige Anträge auf Ausübung von Rechten seiner Patienten zu beantworten (Zugang, Berichtigung, Löschung, Widerspruch, Übertragbarkeit usw. – Kapitel III GDPR). Erhält der Auftragsverarbeiter direkt Mitteilungen oder Anfragen einer betroffenen Person zu den Gegenständen dieser Vereinbarung, hat er diese unverzüglich an den Verantwortlichen weiterzuleiten, ohne selbst tätig zu werden, sofern keine besondere Genehmigung vorliegt. Der Verantwortliche wird dem Auftragsverarbeiter die erforderlichen Anweisungen zur Erfüllung solcher Anfragen geben, wobei der Auftragsverarbeiter den Verantwortlichen im gesetzlich vorgesehenen Umfang unterstützt (siehe Abschnitt 6).
Der Auftragsverarbeiter verpflichtet sich, alle Pflichten gemäß Art. 28 GDPR zu erfüllen. Insbesondere muss der Auftragsverarbeiter, unbeschadet der an anderer Stelle in dieser Vereinbarung näher beschriebenen Pflichten:
Nur auf Anweisung verarbeiten: personenbezogene Daten ausschließlich auf dokumentierte Anweisung des Verantwortlichen verarbeiten. Dies gilt auch für eventuelle Datenübermittlungen in Drittstaaten oder an internationale Organisationen: Solche Vorgänge sind dem Auftragsverarbeiter ohne vorherige Anweisung/Genehmigung des Verantwortlichen nicht gestattet (siehe auch Abschnitt 9), es sei denn, ein Recht der Union oder eines Mitgliedstaats verpflichtet den Auftragsverarbeiter zu einer bestimmten Verarbeitung; in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, sofern das Gesetz eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses untersagt.
Vertraulichkeit des Personals: sicherstellen, dass die von ihm zur Verarbeitung personenbezogener Daten autorisierten Personen (eigene Mitarbeiter oder etwaige Beauftragte) angemessene Anweisungen zur Einhaltung der Datenschutzvorschriften erhalten haben und sich vertraglich zur Vertraulichkeit verpflichtet haben (oder einer entsprechenden gesetzlichen Vertraulichkeitspflicht unterliegen). Der Auftragsverarbeiter überwacht, dass alle Personen, die unter seiner Autorität handeln und Zugriff auf die personenbezogenen Daten des Verantwortlichen haben, diese nur auf dessen Anweisung verarbeiten. Diese Vertraulichkeitspflicht bleibt auch nach Beendigung dieser Vereinbarung bestehen.
Datensicherheit: geeignete technische und organisatorische Maßnahmen gemäß Art. 32 GDPR ergreifen und aufrechterhalten, um ein dem Risiko der anvertrauten Verarbeitung angemessenes Schutzniveau zu gewährleisten. Zu diesen Maßnahmen gehören unter anderem Pseudonymisierung und Verschlüsselung personenbezogener Daten (wo angemessen), Zugriffs- und Authentifizierungskontrollen, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen, sowie die Fähigkeit, den Zugang zu den Daten bei physischen oder technischen Vorfällen zeitnah wiederherzustellen. Der Auftragsverarbeiter wird Verfahren anwenden, um die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen regelmäßig zu testen, zu überprüfen und zu bewerten (siehe auch Abschnitt 7 unten für weitere Details zu den Sicherheitsmaßnahmen).
Nutzungsbeschränkungen: die vom Verantwortlichen bereitgestellten personenbezogenen Daten nicht für eigene Zwecke verwenden und keine Kopien oder Duplikate der Daten anfertigen, sofern dies nicht für die Erbringung des Dienstes erforderlich ist und jedenfalls nur mit Zustimmung/Anweisung des Verantwortlichen. Der Auftragsverarbeiter gewährleistet, dass die für den Verantwortlichen verarbeiteten Daten logisch oder physisch von denen anderer Kunden oder von eigenen Datenbanken getrennt aufbewahrt werden, um Vermischungen zu vermeiden.
Subunternehmer: keine Unterauftragsverarbeiter (Sub-processors) mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen ohne vorherige schriftliche Genehmigung dieses Letzteren beauftragenhttps://www.privacy-regulation.eu/it/28.htm. Bei Genehmigung des Einsatzes von Unterauftragsverarbeitern (siehe Abschnitt 8 für Details) hat der Auftragsverarbeiter diesen dieselben datenschutzrechtlichen Pflichten aufzuerlegen, die in dieser Vereinbarung vorgesehen sind, und bleibt gegenüber dem Verantwortlichen voll für die Erfüllung der Pflichten des Unterauftragsverarbeiters verantwortlich.
Unterstützung des Verantwortlichen: unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen den Verantwortlichen bei der Erfüllung seiner datenschutzrechtlichen Pflichten unterstützen. Insbesondere leistet der Auftragsverarbeiter dem Verantwortlichen angemessene Unterstützung, damit dieser Anträge auf Ausübung der Rechte Betroffener (Auskunft, Berichtigung, Löschung, Widerspruch, Übertragbarkeit usw.) erfüllen kann, indem er beispielsweise Softwarefunktionen bereitstellt, die es dem Verantwortlichen ermöglichen, Daten von Patienten auf Anfrage auszulesen, zu berichtigen oder zu löschen. Zudem unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der Datensicherheitsverpflichtungen und, falls anwendbar, bei der Meldung etwaiger Verletzungen personenbezogener Daten an Aufsichtsbehörden oder Betroffene gemäß Art. 32-34 GDPR (z. B. indem er dem Verantwortlichen unverzüglich Informationen zu einem Datenvorfall bereitstellt, damit dieser die Meldung innerhalb von 72 Stunden vornehmen kann, siehe auch folgenden Punkt). Ebenso arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen, falls eine Datenschutz-Folgenabschätzung (DPIA) oder vorherige Konsultationen mit der Aufsichtsbehörde nach Art. 35-36 GDPR erforderlich sind, und stellt die entsprechenden Informationen bereit.
Meldung von Verstößen: den Verantwortlichen im Falle von Sicherheitsverletzungen oder Vorfällen (z. B. unbefugte Zugriffe, Verlust, Zerstörung oder versehentliche Offenlegung personenbezogener Daten) unverzüglich über die im Auftrag des Verantwortlichen verarbeiteten Daten informieren. Diese Mitteilung muss alle Informationen enthalten, die dem Auftragsverarbeiter bekannt sind und die dem Verantwortlichen nützlich sind, um die Schwere des Vorfalls zu bewerten und etwaige Meldepflichten gegenüber der Datenschutzbehörde und/oder Mitteilungspflichten gegenüber Betroffenen gemäß Art. 33 und 34 GDPR zu erfüllen. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen bei der Analyse und Bearbeitung des Vorfalls sowie bei der Erstellung der entsprechenden Meldungen oder Mitteilungen gemäß den Anweisungen des Verantwortlichen zu unterstützen.
Nachweis der Konformität und Audit: dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der in dieser Vereinbarung vorgesehenen Verpflichtungen nachzuweisen. Auf Verlangen des Verantwortlichen stellt der Auftragsverarbeiter Unterlagen über die implementierten Sicherheitsmaßnahmen bereit (z. B. Zertifizierungen, Berichte interner/externer Audits, Konformitätsbescheinigungen) und erleichtert Inspektionen oder Überprüfungen durch den Verantwortlichen oder eine von ihm beauftragte Person. Die Modalitäten des Audits (Zeitpunkte, Umfang, Sicherheitsmaßnahmen zum Schutz der Daten anderer Kunden usw.) werden zwischen den Parteien unter Berücksichtigung ihrer gegenseitigen Anforderungen vereinbart.
Meldung widersprüchlicher Anweisungen: Hält der Auftragsverarbeiter eine vom Verantwortlichen erteilte Anweisung für einen Verstoß gegen die GDPR oder andere gesetzliche Bestimmungen zum Datenschutz, muss er den Verantwortlichen unverzüglich vor Ausführung dieser Anweisung informieren und kann deren Anwendung bis zur Bestätigung oder Änderung durch den Verantwortlichen aussetzen (wie in Art. 28 Abs. 3 GDPR zulässig).
Der Auftragsverarbeiter erklärt, geeignete technische und organisatorische Maßnahmen ergriffen zu haben, um ein dem Risiko der durchgeführten Verarbeitungen angemessenes Sicherheitsniveau zu gewährleisten, im Einklang mit Art. 32 GDPR. Die Auswahl dieser Maßnahmen erfolgte unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen. Insbesondere setzt der Auftragsverarbeiter Maßnahmen ein wie:
Zugangskontrolle: Zugriff auf personenbezogene Daten nur für autorisiertes Personal zu den unbedingt erforderlichen Zwecken; Einführung sicherer Authentifizierungssysteme für Nutzer und Administratoren (z. B. starke Passwörter, Zwei-Faktor-Authentifizierung).
Verschlüsselung und Pseudonymisierung: Verwendung von Verschlüsselungsprotokollen zum Schutz personenbezogener Daten während der Übertragung (z. B. HTTPS/TLS) und, soweit möglich, Verschlüsselung ruhender Daten auf Servern oder in Backups. Gegebenenfalls Pseudonymisierung identifizierender Patientendaten in aggregierten Analysen, damit diese ohne zusätzliche Informationen keiner bestimmten natürlichen Person zugeordnet werden können.
Integrität und Verfügbarkeit: regelmäßige Datensicherungen und Wiederherstellungsverfahren, um die Verfügbarkeit und den schnellen Zugriff auf personenbezogene Daten im Falle physischer oder technischer Vorfälle sicherzustellen. Einsatz von Anti-Malware-Maßnahmen, Firewalls und Monitoring zur Verhinderung unbefugter Zugriffe oder Datenverluste.
Tests und Monitoring: regelmäßige Überprüfung der Wirksamkeit der getroffenen Sicherheitsmaßnahmen durch interne Audits, Schwachstellentests, Überwachung der Sicherheitsprotokolle und gegebenenfalls zeitnahe Behebung festgestellter Schwachstellen.
Die vom Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen sind in einer speziellen technischen Dokumentation näher beschrieben (z. B. Anhang zu den technischen und organisatorischen Maßnahmen), die dem Verantwortlichen auf Anfrage zur Verfügung gestellt werden kann und als integraler Bestandteil dieser Vereinbarung gilt. Der Auftragsverarbeiter garantiert, diese Maßnahmen aktuell zu halten, um sie an die Entwicklung der Risiken und der besten Sicherheitspraktiken anzupassen, und den Verantwortlichen über etwaige wesentliche Änderungen zu informieren, die den Schutz der anvertrauten Daten betreffen könnten.
Der Auftragsverarbeiter darf andere Stellen nur nach vorheriger Genehmigung des Verantwortlichen als Unterauftragsverarbeiter einsetzen. Die Genehmigung kann spezifisch für einen einzelnen Unterauftragsverarbeiter oder allgemein für Kategorien von Unterauftragsverarbeitern (z. B. Hosting-Anbieter, E-Mail-Dienste usw.) erteilt werden, die zum Zeitpunkt des Vertragsschlusses bekannt sind: In letzterem Fall informiert der Auftragsverarbeiter den Verantwortlichen dennoch über jede geplante Hinzufügung oder Ersetzung solcher Unterauftragsverarbeiter, damit dieser der Änderung widersprechen kann, bevor der Unterauftragsverarbeiter mit der Verarbeitung beginnt.
Etwaige autorisierte Unterauftragsverarbeiter werden vom Auftragsverarbeiter schriftlich durch einen Vertrag gebunden, der mindestens dieselben Datenschutzpflichten vorsieht wie diese Vereinbarung, insbesondere einschließlich angemessener Garantien in Bezug auf Sicherheit und Vertraulichkeit. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten der von ihm benannten Unterauftragsverarbeiter verantwortlich; verstößt ein Unterauftragsverarbeiter gegen seine Pflichten, haftet der Auftragsverarbeiter dem Verantwortlichen gegenüber persönlich für jede Pflichtverletzung.
Die Verarbeitung personenbezogener Daten, die Gegenstand dieser Vereinbarung sind, erfolgt ausschließlich in Infrastrukturen (Servern, Rechenzentren), die sich im Gebiet der Europäischen Union oder des Europäischen Wirtschaftsraums befinden. Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) durch den Auftragsverarbeiter ist nicht vorgesehen, außer soweit dies gegebenenfalls für die Nutzung von vom Verantwortlichen gemäß Abschnitt 8 genehmigten Unterauftragsverarbeitern erforderlich ist. In jedem Fall kann eine Übermittlung von Daten in ein Drittland oder an eine internationale Organisation durch den Auftragsverarbeiter (oder seine Unterauftragsverarbeiter) nur im Einklang mit Kapitel V GDPR erfolgen. Insbesondere muss die vorherige Genehmigung des Verantwortlichen eingeholt werden, und es müssen die in Art. 44 ff. GDPR vorgesehenen Bedingungen vorliegen, etwa auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission oder durch den Einsatz von von der Kommission genehmigten Standardvertragsklauseln, verbindlichen Unternehmensregeln oder anderen geeigneten Garantien. Der Auftragsverarbeiter informiert den Verantwortlichen über die Modalitäten und die Rechtsgrundlagen der vorgesehenen Übermittlung, damit der Verantwortliche die Genehmigung prüfen und erteilen oder verweigern kann.
Bei Beendigung, aus welchem Grund auch immer, des Dienstverhältnisses zwischen den Parteien in Bezug auf das Nutrition-Modul (z. B. bei Kündigung oder Ablauf des Hauptvertrags oder endgültiger Einstellung des Dienstes durch den Auftragsverarbeiter) stellt der Auftragsverarbeiter jede weitere Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen ein. Nach Wahl des Verantwortlichen, die diesem schriftlich bei Vertragsende oder innerhalb einer vereinbarten Frist mitgeteilt wird, wird der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten zurückgeben (z. B. durch Export in einem interoperablen Format) oder alle diese Daten endgültig aus seinen Systemen löschen. In jedem Fall löscht der Auftragsverarbeiter alle vorhandenen Kopien der Daten (einschließlich Backup-Kopien), sofern die Aufbewahrung der Daten nicht durch das auf den Auftragsverarbeiter anwendbare Unions- oder Mitgliedstaatenrecht vorgeschrieben ist (in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen die Daten und die Rechtsvorschriften mit, die die Aufbewahrung verlangen, und verarbeitet sie nur zu diesem Zweck der gesetzlichen Aufbewahrung). Die erfolgte Löschung auf Anfrage wird auf Wunsch schriftlich vom Auftragsverarbeiter bestätigt.
Die vom Auftragsverarbeiter und dem autorisierten Personal während der Laufzeit dieser Vereinbarung übernommenen Vertraulichkeitspflichten bleiben auch nach deren Beendigung bestehen. Der Auftragsverarbeiter gewährleistet außerdem, dass im Falle der Beendigung etwaige benannte Unterauftragsverarbeiter an dieselben Verpflichtungen zur Rückgabe/Löschung der personenbezogenen Daten des Verantwortlichen gebunden sind.