AVV — Auftragsverarbeitungsvertrag

Präambel

Dieser Auftragsverarbeitungsvertrag (im Folgenden "AVV") regelt die Verarbeitung personenbezogener Daten zwischen:

• Verantwortlicher:die jeweilige Arzt-/Zahnarzt-Praxis, die PraxisOS einsetzt (im Folgenden "Praxis" oder "Verantwortliche")
• Auftragsverarbeiter:MPP Technologies GmbH i.Gr., Ahlbecker Str. 6, 10437 Berlin (im Folgenden "MPP" oder "Auftragsverarbeiter")

Der AVV ergänzt den zugrundeliegenden Hauptvertrag (Software-as-a-Service für PraxisOS) und regelt die Pflichten des Auftragsverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag.

1. Gegenstand der Verarbeitung

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software PraxisOS (Praxis-Management, Qualitätsmanagement, Mitarbeiter-Verwaltung, CIRS-System, Patient-Anfragen-Modul). Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen.

2. Art und Zweck der Verarbeitung

Zweck der Verarbeitung ist die technische Bereitstellung und der Betrieb der Software PraxisOS für die Verwaltung des Praxis-Betriebs, des Qualitätsmanagements (KBV-QM-Richtlinie) sowie ggf. der Patient-Anfragen.

Art der Verarbeitung umfasst u.a.:

• Erhebung und Speicherung von Mitarbeiter-Stammdaten
• Verarbeitung von Schulungs- und Fortbildungsstatus
• Anonymisierte Erfassung von Pulse-Antworten und CIRS-Vorfällen
• Optional: Verarbeitung von Patient-Anfragen (Art. 9 DSGVO)
• Audit-Logging zu Compliance-Zwecken
• Backup und technische Wartung

3. Art der personenbezogenen Daten

• Mitarbeiter-Stammdaten: Name, E-Mail, Rolle, Eintrittsdatum, Telefonnummer (optional), Profilbild (optional)
• Schulungs- und Compliance-Daten: Fortbildungsstatus, abgelegte Schulungen, Zertifikate, CME-Punkte
• Pulse-Antworten: anonymisiert (keine Rückführung auf Einzelpersonen)
• CIRS-Vorfälle: anonymisiert (Anonymity-Schutz technisch erzwungen)
• Patient-Anfragen (falls aktiviert): Name, Geburtsdatum, Krankenversicherung, Anliegen-Text — Art. 9 DSGVO Gesundheitsdaten
• Praxis-Inhaber-Daten: Stammdaten, Vertragsdaten, Abrechnungsdaten
• Audit-Logs: Änderungen an Datensätzen, Login-Versuche, Aktionen mit Zeitstempel

4. Kategorien betroffener Personen

• Mitarbeiter:innen der Praxis (MFAs, Ärzte, Verwaltung)
• Praxis-Inhaber:innen
• Patient:innen (falls Patient-Anfragen-Modul aktiviert)
• Externe Dienstleister mit Plattform-Zugang (z.B. QM-Berater)

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Weisungsgebundenheit: Verarbeitung der Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen
• Vertraulichkeit: Verpflichtung aller mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
• Technische Maßnahmen: Umsetzung geeigneter technischer und organisatorischer Maßnahmen (siehe Ziffer 7)
• Subunternehmer-Liste: aktuelle Liste aller Subunternehmer (siehe Ziffer 6) — Information bei Änderungen mit 14 Tagen Vorlauf
• Unterstützung: Unterstützung des Verantwortlichen bei Betroffenenrechten (Auskunft, Löschung, Berichtigung)
• Datenschutz-Folgenabschätzung: Mitwirkung bei DSFA gemäß Art. 35 DSGVO

6. Subunternehmer

Der Verantwortliche stimmt dem Einsatz folgender Subunternehmer ausdrücklich zu:

• Supabase Inc.: Datenbank (Region: EU, Frankfurt) — DPA vorhanden
• Vercel Inc.: Hosting (Region: EU, Frankfurt) — DPA vorhanden
• Anthropic PBC: KI-Verarbeitung (Mara — KI-Assistentin) — DPA mit Zero-Retention vorhanden
• Resend.com: Transaktions-Email (Magic-Link, Benachrichtigungen) — DPA vorhanden
• AssemblyAI: Meeting-Transkription (nur bei aktivem Meetings-Modul) — DPA vorhanden
• Sentry.io: Error-Tracking (DSGVO-konforme PII-Filter, EU-Region) — DPA vorhanden

Der Auftragsverarbeiter hat mit allen Subunternehmern entsprechende Verträge gemäß Art. 28 DSGVO geschlossen.

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

• Verschlüsselung: TLS 1.3 für alle Datenübertragungen, Verschlüsselung at-rest in der Datenbank
• Pseudonymisierung: wo technisch möglich (z.B. Pulse-Antworten, CIRS-Vorfälle)
• Zugriffskontrolle: Row-Level Security (RLS) auf Datenbank-Ebene, mandantengebundene Daten-Trennung via current_practice_id()
• Authentifizierung: Magic-Link-Login (passwortlos), 2FA optional, Session-Management mit CSRF-Token
• Eingabekontrolle: Audit-Trail für alle Datenänderungen (mit Nutzer-ID und Zeitstempel)
• Verfügbarkeitskontrolle: tägliche Backups (Supabase), Recovery-Test quartalsweise
• Trennung: mandantengebundene Datenbank-Schemata pro Praxis
• Sicherheits-Header: CSP, HSTS, X-Frame-Options, Rate-Limit auf alle PII-Endpoints
• Error-Tracking: Sentry mit PII-Strip-Filter (Body-Daten von PII-Endpoints werden nie an Sentry übertragen)

8. Mitwirkungspflichten bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15-22 DSGVO):

• Auskunft über gespeicherte Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung von Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit in maschinenlesbarem Format (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)

Anfragen werden innerhalb von 14 Tagen bearbeitet. Direkte Anfragen betroffener Personen werden an den Verantwortlichen weitergeleitet.

9. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung. Die Meldung enthält:

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl betroffener Personen
• Wahrscheinliche Folgen der Verletzung
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
• Name und Kontaktdaten des Datenschutzbeauftragten

10. Löschung/Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags hat der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO):

• Export-Frist: 30 Tage nach Vertragsende für Daten-Export im JSON/CSV-Format
• Lösch-Frist: 60 Tage nach Vertragsende für vollständige Löschung aus aktiven Systemen
• Backup-Lösch-Frist: 90 Tage nach Vertragsende für Löschung aus Backups (technisch bedingt)
• Aufbewahrungspflichten: gesetzliche Aufbewahrungspflichten (z.B. Handelsrecht 6 Jahre, KBV-QM-RL 5 Jahre für CIRS) bleiben unberührt — Daten werden in einem separaten Archiv gehalten

11. Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, sich von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen sowie der vertraglichen Pflichten zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO). Dies kann erfolgen durch:

• Anforderung eines aktuellen TOM-Berichts (kostenfrei, einmal jährlich)
• Vor-Ort-Audit nach Voranmeldung (mind. 4 Wochen Vorlauf, Kosten trägt der Verantwortliche)
• Akzeptanz von Zertifikaten (z.B. ISO 27001, falls vorhanden) als Nachweis

12. Schlussbestimmungen

• Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform (Textform genügt).
• Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
• Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin, soweit gesetzlich zulässig.
• Dieser AVV gilt für die gesamte Laufzeit des Hauptvertrags und endet mit diesem.