TrichoSuite ist eine umfassende Software für Haartransplantationskliniken mit LiDAR-3D-Scanner, KI-Transplantat-Rechner und vollständigem Patientenmanagement.

Wie funktioniert der 3D-Scanner?

Der 3D-Scanner erfasst hochauflösende Bilder der Kopfhaut mit iPhone und LiDAR-Sensor, um die Follikeldichte zu analysieren und die Transplantation präzise zu planen.

Ist TrichoSuite mit meiner Klinik kompatibel?

TrichoSuite ist für Kliniken jeder Größe konzipiert, von Einzelpraxen bis hin zu großen internationalen Haarklinik-Ketten.

Was kostet TrichoSuite?

TrichoSuite bietet Pläne von 399 EUR/Monat (Core) bis 1.499 EUR/Monat (Pro) mit einem individuellen Enterprise-Plan für Multi-Standort-Kliniken.

Gibt es eine 30-Tage-Geld-zurück-Garantie?

Ja. Bezahlte Pläne werden ab dem ersten Tag aktiviert. Wenn Sie innerhalb der ersten 30 Tage entscheiden, dass TrichoSuite nicht das Richtige für Ihre Klinik ist, erstatten wir den vollen Betrag — ohne Fragen.

Data Processing Agreement

Last updated: 3. Februar 2026

Diese Datenverarbeitungsvereinbarung (DPA) wird gemäß Artikel 28 der DSGVO (EU 2016/679) abgeschlossen und ist integraler Bestandteil des Dienstleistungsvertrags zwischen TrichoSuite und der Klinik.

DPA herunterladen (PDF)

Vertragsparteien

Verantwortlicher

Die Klinik, die TrichoSuite-Dienste in Anspruch nimmt ("der Kunde")

Auftragsverarbeiter

TrichoSuite Technologies S.L. (CIF: — · Anmeldung ausstehend)

1. Gegenstand und Anwendungsbereich

Dieser Vertrag regelt die Bedingungen, unter denen TrichoSuite Technologies S.L. (im Folgenden "der Auftragsverarbeiter") personenbezogene Daten im Auftrag der Klinik (im Folgenden "der Verantwortliche") im Rahmen der Bereitstellung der TrichoSuite-Plattformdienste verarbeitet.

Diese DPA gilt für alle Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter im Namen des Verantwortlichen durchführt, einschließlich Speicherung, Änderung, Abfrage, Übermittlung und Löschung von Daten.

2. Verarbeitete Daten

Der Auftragsverarbeiter verarbeitet folgende Kategorien personenbezogener Daten:

•Identifikationsdaten der Patienten: Name, Vorname, Personalausweis, E-Mail, Telefon, Geburtsdatum, Adresse.
•Gesundheitsdaten (Art. 9 DSGVO): Norwood/Ludwig-Klassifikation, klinische Fotografien, 3D-Scans, Krankengeschichte, Allergien, Medikationen, Operationsprotokolle, Nachsorgedokumentation.
•Kommunikationsdaten: Nachrichten mit dem klinischen Personal, KI-Chatbot-Gespräche, digital unterzeichnete Einwilligungsformulare.
•Daten des klinischen Personals: Name, berufliche E-Mail, Rolle, Zugangsdaten, Aktivitätsprotokolle.
•Finanzdaten: Rechnungen, Angebote, Zahlungsbelege (über Stripe verwaltet).

WICHTIG: Gesundheitsdaten sind besondere Kategorien personenbezogener Daten gemäß Artikel 9 der DSGVO. Ihre Verarbeitung erfolgt unter der Ausnahme des Art. 9(2)(h) – Zwecke der Präventivmedizin, medizinischen Diagnose oder Gesundheitsversorgung.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich zu:

•Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen zu verarbeiten.
•Personenbezogene Daten nicht für eigene Zwecke zu verwenden, einschließlich Marketing, Profiling oder Verkauf an Dritte.
•Sicherzustellen, dass zur Verarbeitung befugte Personen Vertraulichkeitsverpflichtungen eingegangen sind.
•Geeignete technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO umzusetzen.
•Den Verantwortlichen bei der Erfüllung von Betroffenenanfragen zu unterstützen.
•Den Verantwortlichen bei Datenschutz-Folgenabschätzungen (DSFA) zu unterstützen.
•Alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung von Art. 28 DSGVO nachzuweisen.
•Den Verantwortlichen unverzüglich über jede von einem Betroffenen erhaltene Anfrage zu informieren.

4. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich zu:

•Die erforderliche Einwilligung von Patienten für die Verarbeitung ihrer Gesundheitsdaten einzuholen.
•Rechtmäßige und DSGVO-konforme Anweisungen an den Auftragsverarbeiter zu erteilen.
•Sicherzustellen, dass eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten besteht.
•Den Auftragsverarbeiter über Änderungen der Verarbeitungsanweisungen zu informieren.
•Ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen.

5. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert über Änderungen mindestens 30 Tage im Voraus.

Anbieter	Dienst	Standort	Schutzmaßnahme
AWS	Cloud-Infrastruktur	EU (Frankfurt)	SCCs + DPA
Railway	Hosting	EU	SCCs + DPA
Anthropic	KI (Claude Chatbot)	US	EU-US DPF + SCCs
OpenAI	Embeddings	US	EU-US DPF + SCCs
Stripe	Zahlungen	EU/US	PCI-DSS + SCCs
Resend	Email	EU	DPA
PostHog	Analyse	EU	DPA
Sentry	Überwachung	EU/US	SCCs + DPA

6. Sicherheitsmaßnahmen

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

•Verschlüsselung bei der Übertragung (TLS 1.3) und im Ruhezustand (AES-256).
•Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der minimalen Rechtevergabe.
•Obligatorische Multi-Faktor-Authentifizierung (MFA) für Administratoren.
•Unveränderliche Prüfprotokolle aller Zugriffe und Änderungen.
•Verschlüsselte Backups mit Geo-Redundanz.
•Regelmäßige Sicherheitsbewertungen und jährliche Penetrationstests.
•Kontinuierliche Überwachung und Bedrohungserkennung.
•Dokumentierte Verfahren zur Reaktion auf Vorfälle.

7. Meldung von Datenpannen

Im Falle einer Datenpanne benachrichtigt der Auftragsverarbeiter den Verantwortlichen innerhalb von 24 Stunden. Die Benachrichtigung enthält:

•Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personen.
•Kontaktdaten des Datenschutzbeauftragten.
•Voraussichtliche Folgen der Verletzung.
•Ergriffene oder vorgeschlagene Maßnahmen zur Abhilfe.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung an die Aufsichtsbehörde (72h, Art. 33 DSGVO) und an die betroffenen Personen (Art. 34 DSGVO).

8. Rechte der Betroffenen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Rechtsanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität und Widerspruch). Die Plattform bietet integrierte Tools für den Datenexport und die selektive Datensatzlöschung.

9. Internationale Übermittlungen

Medizinische Daten werden hauptsächlich in der EU gespeichert. Für Übermittlungen außerhalb des EWR werden Standardvertragsklauseln (SCC) oder die Teilnahme am EU-US Data Privacy Framework gewährleistet.

10. Laufzeit und Kündigung

Diese DPA bleibt für die Dauer des Dienstleistungsvertrags in Kraft und erlischt automatisch bei dessen Beendigung. Vertraulichkeitspflichten überleben die Kündigung.

11. Datenrückgabe und -löschung

Bei Beendigung gibt der Auftragsverarbeiter alle personenbezogenen Daten (einschließlich Kopien) nach Wahl des Verantwortlichen zurück oder löscht sie. Die Rückgabe erfolgt in Standardformaten (CSV, JSON, PDF) innerhalb von 30 Tagen. Backups werden innerhalb von 90 Tagen gelöscht.

12. Prüfung und Aufsicht

Der Auftragsverarbeiter stellt alle erforderlichen Informationen zur Verfügung, um die Einhaltung nachzuweisen, und ermöglicht Prüfungen mit einer Mindestankündigung von 30 Tagen, während der Geschäftszeiten und ohne Beeinträchtigung des Betriebs.

Unterschriften

Für den Verantwortlichen:

Name, Titel, Datum und Unterschrift

Für den Auftragsverarbeiter:

TrichoSuite Technologies S.L.

Kontakt

Bei Fragen zu dieser DPA oder zur Anforderung einer unterzeichneten Kopie:

dpo@trichosuite.com

TrichoSuite LLC — SIMULATED — 1209 Orange Street, Wilmington, DE 19801, USA (c/o Registered Agent TBD)