Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen:

Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen und wird automatisch mit Abschluss des Nutzungsvertrages vereinbart.

(1) Gegenstand: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der cloudbasierten Praxisverwaltungssoftware „Sanothera".

(2) Dauer: Die Verarbeitung erfolgt für die Dauer des Hauptvertrages (Nutzungsvertrag der Software). Nach Vertragsende werden die Daten gemäß § 10 dieses AVV gelöscht.

(1) Art der Verarbeitung:

• Erhebung, Speicherung und Organisation von Daten
• Bereitstellung zum Abruf durch den Verantwortlichen
• Sicherung (Backup) der Daten
• Verschlüsselung sensibler Daten
• Löschung nach Weisung oder Vertragsende

(2) Zweck der Verarbeitung:

• Verwaltung von Patientenstammdaten
• Terminplanung und -verwaltung
• Dokumentation von Behandlungen
• Verwaltung medizinischer Aufzeichnungen
• Abrechnung und Rechnungsstellung

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

• Patienten des Verantwortlichen
• Mitarbeiter und Therapeuten der Praxis
• Angehörige von Patienten (soweit erfasst)
• Zuweisende Ärzte und andere Leistungserbringer

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.

(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen:

• zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen
• nur auf Weisung des Verantwortlichen handeln
• in Datenschutz und IT-Sicherheit geschult sind

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

• der Wahrnehmung der Betroffenenrechte (Art. 12-22 DSGVO)
• der Einhaltung der Pflichten aus Art. 32-36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung)
• der Meldung von Datenschutzverletzungen

(4) Der Auftragsverarbeiter löscht oder gibt alle personenbezogenen Daten nach Beendigung der Verarbeitung nach Wahl des Verantwortlichen zurück und löscht vorhandene Kopien (§ 10).

(5) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Art. 28 DSGVO nachzuweisen, und ermöglicht Überprüfungen (§ 8).

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen.

(2) Derzeit eingesetzte Unterauftragsverarbeiter:

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.

(4) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen einhalten wie in diesem AVV festgelegt.

(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Vereinbarungen dieses AVV zu überprüfen.

(2) Der Auftragsverarbeiter stellt auf Anfrage folgende Nachweise bereit:

• Aktuelle technische und organisatorische Maßnahmen
• Zertifikate (z.B. ISO 27001 des Rechenzentrums)
• Ergebnisse von Sicherheitsaudits (soweit nicht vertraulich)

(3) Vor-Ort-Inspektionen sind nach Abstimmung und mit angemessener Vorankündigung (mindestens 14 Tage) möglich. Der Verantwortliche trägt die Kosten, sofern keine Verstöße festgestellt werden.

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
• Name und Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und den Betroffenen.

(1) Nach Beendigung des Hauptvertrages stellt der Auftragsverarbeiter dem Verantwortlichen seine Daten für 30 Tage zum Export zur Verfügung.

(2) Verfügbare Exportformate:

• CSV (Stammdaten, Termine)
• PDF (Patientenakten, Dokumentation)
• JSON (vollständiger Datenexport)

(3) Nach Ablauf der 30-Tage-Frist werden alle personenbezogenen Daten unwiderruflich gelöscht, einschließlich aller Backups.

(4) Ausnahme: Daten, deren Aufbewahrung aufgrund gesetzlicher Vorschriften erforderlich ist, werden gesperrt und nach Ablauf der Aufbewahrungsfrist gelöscht.

(5) Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage schriftlich.

(1) Der Verantwortliche kann Weisungen zur Verarbeitung personenbezogener Daten erteilen. Weisungen erfolgen in der Regel per E-Mail an datenschutz@sanothera.de.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.

(3) Der Auftragsverarbeiter ist berechtigt, die Durchführung einer solchen Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

(1) Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.

(2) Im Innenverhältnis haftet jede Partei für Schäden, die durch von ihr zu vertretende Verstöße gegen die DSGVO oder diesen AVV verursacht wurden.

(3) Weitergehende Haftungsregelungen in den AGB bleiben unberührt.

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters.

(4) Dieser AVV tritt mit Abschluss des Nutzungsvertrages in Kraft und endet automatisch mit dessen Beendigung.