Auftragsverarbeitungsvertrag (AV)
Gemäß Art. 28 DSGVO · Template zum Download
1. Parteien
Verantwortlicher: Arztpraxis (Kunde). Auftragsverarbeiter: MeinPraxisHelfer GmbH.
2. Gegenstand und Dauer
Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Gegenstand: Verarbeitung von Patient-Stammdaten, Termin-Daten, Befunde, Rezepten und anderen Gesundheitsdaten nach Art. 9 DSGVO.
3. Art und Zweck
Automatisierte Cloud-Verarbeitung zur Praxis-Management-Unterstützung, Patienten-Kommunikation, KI-gestützter Workflow-Automatisierung.
4. Art der Daten
Stammdaten (Name, Geburtsdatum, Kontakt), Gesundheitsdaten (Befunde, Diagnosen, Medikation), Versicherungs-Daten, Nutzungs-Daten.
5. Betroffene Personen
Patienten, Mitarbeiter der Praxis, Ärzte.
6. Technisch-organisatorische Maßnahmen (Art. 32)
- Verschlüsselung: TLS 1.3 auf dem Transport, AES-256 at rest
- Zugangskontrolle: Supabase RLS, Multi-Faktor-Auth
- Backup: tägliche automatische Sicherung, 30-Tage-Retention
- Monitoring: 24/7 Uptime-Check, Error-Logs
- Pseudonymisierung wo möglich
- Test von TOMs jährlich
7. Unterauftragsverhältnisse
- Vercel Inc. (Hosting, EU-Frankfurt) – SCC
- Supabase Inc. (Datenbank, EU-Frankfurt) – SCC
- Anthropic PBC (KI-Modelle, USA) – SCC, kein Training auf Kundendaten
- Resend Inc. (E-Mail, USA) – SCC
8. Rechte der Betroffenen
Wir unterstützen den Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und Einschränkungs-Anfragen innerhalb angemessener Fristen.
9. Löschung und Rückgabe
Nach Vertragsende werden alle personenbezogenen Daten binnen 30 Tagen gelöscht oder (auf Wunsch) zurückgegeben.
10. Kontrolle
Der Verantwortliche kann uns im Rahmen angemessener Vorankündigung (mind. 4 Wochen) Audit-Rechte wahrnehmen.