GDPR/DSGVO-Richtlinie – AtemFokus
Diese Richtlinie konkretisiert Grundsätze, Rollen und Verfahren zur Einhaltung der DSGVO, soweit EU-/EWR-Bezug besteht (z. B. Teilnehmende aus der EU/EWR oder Dienstleister mit EU-Verarbeitung).
1) Rollen & Verantwortlichkeiten
AtemFokus ist Verantwortlicher für eigene Verarbeitungen; Auftragsverarbeiter/Subprozessoren werden vertraglich eingebunden (AVV/DPA) und periodisch bewertet.
2) Datenschutzprinzipien
Rechtmässigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht.
3) Verzeichnis der Verarbeitungstätigkeiten (RoPA)
Geführt für Website, Kommunikation, Buchung, Durchführung und Abrechnung; jährlicher Review oder bei Änderungen.
4) Auftragsverarbeitung & Subprozessoren
Auswahl nach TOMs, Standort, Zertifizierungen; On-/Offboarding, Weisungsbindung, Auditierbarkeit, Subprozessorverwaltung.
5) Internationale Transfers
Standardvertragsklauseln (SCC), ergänzende Schutzmassnahmen, Transfer Impact Assessments (TIA) – wo erforderlich.
6) Betroffenenrechte & Anfragen
Standardisierte Verfahren: Identitätsprüfung, Fristenmanagement, Dokumentation der Bearbeitung und Antwortschreiben.
7) Einwilligungs- & Präferenzmanagement
Dokumentation freiwilliger Einwilligungen (z. B. Newsletter, optionale Cookies), Widerrufe und Opt-outs; Consent-Logs.
8) Sicherheit & Incident Response
Prozesse zur Erkennung, Bewertung, Meldung und Nachverfolgung von Vorfällen; Lessons Learned in Qualitätsroutinen integriert.
9) Speicher- & Löschkonzept
Definierte Aufbewahrungsfristen, Datenklassifizierung, Lösch-/Anonymisierungsroutinen, Stichprobenkontrollen.
10) Schulung & Awareness
Regelmässige Sensibilisierung zu Datenschutzgrundsätzen, Rollenklarheit (Begleitung ≠ Therapie) und sicherem Umgang mit Materialien.
11) EU-Vertretung
Sofern erforderlich, Benennung einer EU-Vertretung; Angaben in der Datenschutzerklärung.
12) Änderungen
Diese Richtlinie kann aktualisiert werden; die aktuelle Fassung ist massgeblich.
Stand: September 2025