AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

gemäß Art. 28 DSGVO

Präambel

1. Der Auftraggeber ist Psychotherapeut/Psychologe und nutzt die Therapiedokumentations- und KI-Assistenzplattform des Auftragnehmers zur Verwaltung von Therapiesitzungen, Erstellung von Berichten und Anträgen.
2. Der Auftraggeber ist allein verantwortlich für die Einhaltung datenschutzrechtlicher Vorschriften gegenüber seinen Patienten, insbesondere für die Einholung erforderlicher Einwilligungen.
3. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers.

§ 1 Gegenstand und Dauer

(1) Vertragsgegenstand

Der Auftragnehmer stellt eine webbasierte Plattform zur Verfügung für:

• Transkription von Therapiesitzungen
• Speicherung von Sitzungsnotizen und Patientendaten
• KI-gestützte Erstellung von Therapieberichten
• KI-gestützte Erstellung von Kostenerstattungsanträgen
• Verwaltung von Patientendaten

(2) Vertragsdauer

Dieser AVV gilt für die Dauer der Nutzung der Plattform durch den Auftraggeber.

§ 2 Art und Zweck der Datenverarbeitung

(1) Verarbeitungszweck

Die Verarbeitung dient ausschließlich der Bereitstellung der Plattformfunktionen zur Therapiedokumentation.

(2) Art der Daten

• Patientendaten (Name, Vorname, optional weitere vom Auftraggeber eingegebene Daten)
• Therapiesitzungsnotizen und Transkriptionen
• Diagnosen und Behandlungsinhalte
• KI-generierte Berichte und Anträge
• Therapeutendaten (Account-Verwaltung)

(3) Kategorien betroffener Personen

• Patienten des Auftraggebers
• Der Auftraggeber selbst (als Nutzer)

§ 3 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Auftraggebers, es sei denn, er ist durch Unionsrecht oder deutsches Recht zur Verarbeitung verpflichtet.

(2) Weisungen werden erteilt durch:

• Diese Vereinbarung
• Die Nutzung der Plattformfunktionen durch den Auftraggeber
• Schriftliche oder elektronische Einzelweisungen

(3) Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

§ 4 Verantwortlichkeiten des Auftraggebers

(1) Patienteneinwilligung

Der Auftraggeber versichert, dass er die erforderlichen Einwilligungen seiner Patienten zur Datenverarbeitung gemäß Art. 6, 9 DSGVO eingeholt hat.

(2) Rechtmäßigkeit

Der Auftraggeber ist allein verantwortlich für:

• Die Rechtmäßigkeit der Datenerhebung
• Die Einhaltung therapeutischer Schweigepflichten
• Die Information der Patienten über die Datenverarbeitung
• Die Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.)

(3) Eingabe korrekter Daten

Der Auftraggeber ist verantwortlich für die Richtigkeit und Aktualität der eingegebenen Daten.

§ 5 Pflichten des Auftragnehmers

(1) Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit.

(2) Technische und organisatorische Maßnahmen

Der Auftragnehmer implementiert angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:

• AES-256 Verschlüsselung aller sensiblen Daten (at rest)
• Per-User Verschlüsselungsschlüssel
• TLS/SSL Verschlüsselung bei Datenübertragung
• IP-beschränkter Serverzugang mit 2FA
• Regelmäßige Sicherheitsupdates
• Audit-Logging aller Zugriffe
• Firewall-geschützte Server in deutschen Rechenzentren

Eine detaillierte Beschreibung der TOMs ist in Anlage 1 aufgeführt.

(3) Datenschutzverletzungen

Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich (spätestens 24h) an den Auftraggeber mit allen relevanten Informationen gemäß Art. 33 DSGVO.

§ 6 Unterauftragnehmer (Subprocessors)

(1) Genehmigte Unterauftragnehmer

Der Auftraggeber stimmt hiermit der Beauftragung folgender Unterauftragnehmer zu:

(2) Änderungen

Bei geplanter Hinzunahme oder Änderung von Unterauftragnehmern informiert der Auftragnehmer den Auftraggeber mindestens 14 Tage im Voraus per E-Mail. Der Auftraggeber kann aus datenschutzrechtlichen Gründen binnen 14 Tagen widersprechen.

(3) Verpflichtung der Unterauftragnehmer

Der Auftragnehmer verpflichtet Unterauftragnehmer zu denselben Datenschutzpflichten wie er selbst.

§ 7 Rechte betroffener Personen

(1) Unterstützung

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, etc.).

(2) Direkte Anfragen

Wendet sich eine betroffene Person direkt an den Auftragnehmer, wird diese unverzüglich an den Auftraggeber verwiesen.

(3) Technische Unterstützung

Die Plattform bietet folgende Funktionen zur Erfüllung von Betroffenenrechten:

• Datenexport (Art. 20 DSGVO - Datenportabilität)
• Datenlöschung (Art. 17 DSGVO - Recht auf Löschung)

§ 8 Datenlöschung und Rückgabe

(1) Bei Vertragsende

Nach Beendigung der Nutzung löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Datenexport

Der Auftraggeber kann vor Vertragsende alle Daten über die Exportfunktion herunterladen.

(3) Backups

Daten in verschlüsselten Backups werden nach regulärem Backup-Zyklus (max. 90 Tage) gelöscht.

§ 9 Kontroll- und Prüfrechte

(1) Nachweise

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage Informationen zur Verfügung, die die Einhaltung der Pflichten nachweisen:

• Aktuelle TOMs (technische und organisatorische Maßnahmen)
• Kopien von Unterauftragnehmer-AVVs
• Sicherheitszertifikate (soweit vorhanden)

(2) Audits

Der Auftraggeber hat das Recht, einmal jährlich eine Überprüfung durchzuführen oder durch einen unabhängigen, zur Verschwiegenheit verpflichteten Dritten durchführen zu lassen. Kosten trägt der Auftraggeber.

(3) Anlassbezogene Prüfungen

Bei konkretem Verdacht auf Datenschutzverstöße sind zusätzliche Prüfungen zulässig.

§ 10 Haftung und Schadensersatz

(1) Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.

(2) Der Auftragnehmer haftet nur für Schäden, die durch Verletzung seiner Pflichten aus diesem AVV entstehen.

(3) Der Auftraggeber haftet für alle Schäden, die durch rechtswidrige Weisungen oder mangelnde Patienteneinwilligungen entstehen.

§ 11 Vertraulichkeit

Beide Parteien verpflichten sich, alle im Rahmen dieses Vertrages bekannt gewordenen Informationen vertraulich zu behandeln.

§ 12 Schlussbestimmungen

(1) Änderungen

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform (auch elektronisch zulässig).

(2) Salvatorische Klausel

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Anwendbares Recht

Es gilt deutsches Recht.

(4) Gerichtsstand

Gerichtsstand ist Koblenz, Deutschland.

Zustimmung

ANLAGE 1: Technische und Organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

• Hetzner Rechenzentrum: Hochsicherheitszaun, Videoüberwachung, Zutrittskontrollsystem
• 2FA für administrative Serverzugriffe
• IP-Whitelist für Administratoren

Zugangskontrolle:

• Passwortpflicht mit Mindestanforderungen (min. 8 Zeichen, Groß-/Kleinschreibung, Zahlen)
• Optional: 2FA für Therapeuten-Accounts
• Automatischer Session-Timeout nach 30 Minuten Inaktivität

Zugriffskontrolle:

• Rollenbasierte Berechtigungen
• Per-User Datentrennung (ein Therapeut sieht nur seine eigenen Daten)
• Audit-Logging aller Datenzugriffe

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

• TLS 1.3 Verschlüsselung für alle Datenübertragungen
• Keine automatische Datenweiterleitung an Dritte
• Unterauftragnehmer nur über verschlüsselte Verbindungen

Eingabekontrolle:

• Logging aller Datenänderungen mit Zeitstempel und User-ID
• Versionierung bei wichtigen Dokumenten
• Protokollierung von Lösch- und Änderungsvorgängen

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle:

• Tägliche verschlüsselte Backups
• Redundante Serverinfrastruktur bei Hetzner
• 99.9% Uptime-Garantie durch Hetzner SLA
• Notfall-Wiederherstellungsplan (max. 24h)

Trennungskontrolle:

• Logische Mandantentrennung auf Zeilenebene
• Separate Verschlüsselungsschlüssel pro Nutzer
• Query-Level Isolation (automatische userId-Filterung)

4. Verschlüsselung

At Rest (gespeicherte Daten):

• AES-256 Verschlüsselung für alle sensiblen Felder
• Per-User Encryption Keys (abgeleitet von User-ID + Master Key)
• Verschlüsselt: Patientennamen, Sitzungsnotizen, KI-Berichte, Diagnosen

In Transit (Datenübertragung):

• TLS 1.3 für alle Client-Server Verbindungen
• HTTPS-only (automatische Umleitung von HTTP)
• Verschlüsselte API-Calls zu OpenAI

5. Regelmäßige Überprüfung

Verfahren zur Überprüfung:

• Jährliche Sicherheitsüberprüfung der TOMs
• Regelmäßige Penetrationstests (geplant bei Wachstum)
• Monitoring von Sicherheitsvorfällen
• Update-Management für alle Systemkomponenten

Incident Response:

• Definierter Meldeprozess bei Datenschutzverletzungen
• Benachrichtigung betroffener Therapeuten binnen 24h
• Dokumentation aller Sicherheitsvorfälle

6. Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA) wurde durchgeführt mit Ergebnis:

• Hohes Schutzniveau durch Verschlüsselung
• Risikominimierung durch technische Maßnahmen
• Residualrisiko: Gering bei ordnungsgemäßer Nutzung