Auftragsverarbeitungsvereinbarung

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien, die sich aus der im Hauptvertrag beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragnehmers oder durch diesen beauftragte Unterauftragnehmer personenbezogene Daten des Auftraggebers verarbeiten.

§ 1 Vertragsparteien

Auftraggeber (Verantwortlicher)

Der registrierte Anbieter (Arztpraxis, medizinische Einrichtung), der ExploreYourDoc Pro im Rahmen eines Pro-Abonnements nutzt.

Auftragnehmer (Auftragsverarbeiter)

§ 2 Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Bereitstellung der Cloud-Praxissoftware ExploreYourDoc Pro, insbesondere:

• Speicherung und Verwaltung von Patientenstammdaten
• Speicherung und Verwaltung der elektronischen Patientenakte
• Terminmanagement und Online-Terminbuchung
• Versand von Terminerinnerungen (E-Mail, SMS)
• E-Card-Abfragen und Versicherungsdatenverarbeitung (sofern der Auftraggeber über einen eigenen GIN-Anschluss verfügt)
• Erstellung von Backups und Datensicherungen

2.2 Dauer

Die Verarbeitung beginnt mit Abschluss des Pro-Abonnements und endet mit dessen Beendigung. Nach Vertragsende werden die Daten gemäß § 10 dieser Vereinbarung behandelt.

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

3.1 Patientenstammdaten

• Name, Vorname, Geburtsdatum
• Anschrift, Telefonnummer, E-Mail-Adresse
• Sozialversicherungsnummer
• Versicherungsdaten

3.2 Gesundheitsdaten (Art. 9 DSGVO)

• Diagnosen und ICD-Codes
• Anamnese und Krankengeschichte
• Befunde und Laborergebnisse
• Behandlungsverläufe und Therapien
• Medikation und Verschreibungen
• Medizinische Dokumente (Arztbriefe, Bilder)

3.3 Termindaten

• Terminart und -zeitpunkt
• Behandelnder Arzt
• Terminnotizen

3.4 Abrechnungsdaten

• Erbrachte Leistungen
• Honorare und Rechnungen
• Zahlungshistorie

§ 4 Kategorien betroffener Personen

• Patienten des Auftraggebers
• Mitarbeiter des Auftraggebers (soweit deren Daten verarbeitet werden)
• Kontaktpersonen/Angehörige von Patienten (soweit angegeben)

§ 5 Pflichten des Auftragnehmers

5.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet.

5.2 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Sicherheit der Verarbeitung

Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen. Die technischen und organisatorischen Maßnahmen sind in § 8 dieser Vereinbarung dokumentiert.

5.4 Unterauftragsverarbeiter

Der Auftragnehmer nimmt keine weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch. Im Fall einer allgemeinen Genehmigung informiert der Auftragnehmer den Auftraggeber über jede beabsichtigte Änderung, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

Aktuelle Unterauftragsverarbeiter sind in § 9 aufgeführt.

5.5 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung:

• Bei der Beantwortung von Anfragen betroffener Personen (Art. 15-22 DSGVO)
• Bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung)

5.6 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Bekanntwerden, jede Verletzung des Schutzes personenbezogener Daten.

§ 6 Pflichten des Auftraggebers

Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich. Er hat insbesondere:

• Die erforderlichen Einwilligungen seiner Patienten einzuholen
• Seine Informationspflichten nach Art. 13, 14 DSGVO zu erfüllen
• Für die Richtigkeit der übermittelten Daten zu sorgen
• Die ärztliche Schweigepflicht (§ 54 ÄrzteG) einzuhalten
• Angemessene Zugriffsberechtigungen für seine Mitarbeiter festzulegen

§ 7 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich von der Einhaltung dieser Vereinbarung durch den Auftragnehmer zu überzeugen. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen.

Überprüfungen sind nach vorheriger Ankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten möglich. Der Auftraggeber trägt die Kosten der Überprüfung, sofern keine Verstöße festgestellt werden.

§ 8 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

8.1 Vertraulichkeit

• Zutrittskontrolle: Die eingesetzten Infrastruktur-Anbieter (Vercel, MongoDB Atlas, Microsoft Azure) betreiben ihre Rechenzentren mit physischen Sicherheitsmaßnahmen (Zugangskontrolle, Überwachung, Zutritt nur für autorisiertes Personal)
• Zugangskontrolle: Sichere Passwortrichtlinien, automatische Sperrung bei Inaktivität
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept, Protokollierung aller Zugriffe
• Trennungskontrolle: Logische Mandantentrennung innerhalb der Datenbank durch strikte Zuordnung der Daten zum jeweiligen Auftraggeber

8.2 Integrität

• Weitergabekontrolle: TLS 1.3 Verschlüsselung, VPN für administrative Zugriffe
• Eingabekontrolle: Vollständige Protokollierung aller Datenänderungen (Audit-Log)

8.3 Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: Georedundante Datenspeicherung über MongoDB Atlas, tägliche verschlüsselte Backups
• Belastbarkeit: Skalierbare Cloud-Infrastruktur der eingesetzten Anbieter (Vercel, Microsoft Azure) mit integriertem DDoS-Schutz und Load Balancing

8.4 Verfahren zur Überprüfung

• Regelmäßige Prüfung auf bekannte Schwachstellen und Sicherheitsupdates
• Dokumentation und Überprüfung der TOMs mindestens jährlich

8.5 Verschlüsselung

• Verschlüsselung bei der Übertragung: TLS 1.3
• Verschlüsselung bei der Speicherung: AES-256
• Verschlüsselte Backups
• Sichere Schlüsselverwaltung (Key Management) mit regelmäßiger Rotation

8.6 Netzwerksicherheit

• Firewall: Netzwerk-Firewall und DDoS-Schutz über die eingesetzten Infrastruktur-Anbieter (Vercel, Microsoft Azure)
• Überwachung: Monitoring der Anwendung auf Fehler und sicherheitsrelevante Ereignisse
• Getrennte Umgebungen: Separate Produktions- und Entwicklungsumgebungen
• Verschlüsselung: Sämtliche Kommunikation zwischen Client, Servern und Datenbank erfolgt über verschlüsselte Verbindungen (TLS)

8.7 Anwendungssicherheit

• Sichere Entwicklung: Berücksichtigung von Sicherheitsaspekten bei der Softwareentwicklung
• Dependency Management: Regelmäßige Aktualisierung von Softwareabhängigkeiten und Sicherheitspatches
• OWASP Top 10: Schutzmaßnahmen gegen die häufigsten Webanwendungs-Schwachstellen (z.B. SQL-Injection, XSS)
• Input Validation: Validierung aller Benutzereingaben

8.8 Incident Response

• Benachrichtigung des Auftraggebers innerhalb von 24 Stunden bei relevanten Sicherheitsvorfällen
• Analyse und Dokumentation von Sicherheitsvorfällen
• Unverzügliche Einleitung von Gegenmaßnahmen bei erkannten Bedrohungen

8.9 Datenstandort und Zertifizierungen

Die Datenverarbeitung erfolgt über folgende Infrastruktur-Anbieter:

§ 9 Unterauftragsverarbeiter

Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragnehmer wird den Auftraggeber über Änderungen per E-Mail informieren und ihm eine Frist von 14 Tagen zum Einspruch einräumen.

Der Auftragnehmer stellt sicher, dass mit jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten vereinbart werden, wie sie in dieser Vereinbarung festgelegt sind.

Aktuelle Unterauftragsverarbeiter:

SCCs = EU-Standardvertragsklauseln

§ 10 Beendigung der Auftragsverarbeitung

10.1 Rückgabe der Daten

Nach Beendigung des Vertrags wird der Auftragnehmer dem Auftraggeber auf Wunsch sämtliche in seinem Besitz befindlichen personenbezogenen Daten in einem gängigen, maschinenlesbaren Format (z.B. CSV, JSON) zur Verfügung stellen.

10.2 Löschung der Daten

Nach Ablauf einer Frist von 90 Tagen nach Vertragsende oder auf Weisung des Auftraggebers löscht der Auftragnehmer alle personenbezogenen Daten, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht.

10.3 Nachweis der Löschung

Der Auftragnehmer bestätigt dem Auftraggeber die ordnungsgemäße Löschung schriftlich.

§ 11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Der Auftragnehmer haftet für Schäden, die durch eine nicht ordnungsgemäße Erfüllung seiner Pflichten aus dieser Vereinbarung entstehen.

Für Schäden, die durch rechtswidrige Weisungen des Auftraggebers entstehen, haftet der Auftraggeber allein.

§ 12 Schlussbestimmungen

12.1 Rangfolge

Bei Widersprüchen zwischen dieser Vereinbarung und anderen Vereinbarungen zwischen den Parteien (insbesondere den AGB) hat diese Vereinbarung Vorrang in Bezug auf datenschutzrechtliche Belange.

12.2 Anwendbares Recht

Diese Vereinbarung unterliegt österreichischem Recht. Gerichtsstand ist Wien.

12.3 Änderungen

Änderungen dieser Vereinbarung bedürfen der Schriftform. Der Auftragnehmer wird den Auftraggeber über notwendige Anpassungen (z.B. aufgrund geänderter Rechtslage) rechtzeitig informieren.

Kontakt

Bei Fragen zu dieser Auftragsverarbeitungsvereinbarung wenden Sie sich bitte an: