Auftragsverarbeitungsvertrag (AVV) – Muster
Dieses Muster regelt die Verarbeitung personenbezogener Daten im Auftrag und wird zwischen dem Kunden (Verantwortlicher) und dem Anbieter (Auftragsverarbeiter) als Bestandteil des Nutzungsvertrags über die Software „Pflegedesk“ geschlossen. Es wird mit den konkreten Angaben des Kunden ausgefüllt und von beiden Parteien in Textform vereinbart.
Parteien
Verantwortlicher (Kunde)
Firma / Einrichtung: ________________________________
Anschrift: ________________________________
Vertreten durch: ________________________________
Auftragsverarbeiter (Anbieter)
Polonskyi & Bothe GbR Bügelstraße 43, 47138 Duisburg Vertreten durch: Mykhailo Polonskyi und Joshua Bothe E-Mail: kontakt@pflegesoftware.online
§ 1 Gegenstand und Dauer des Auftrags
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Bereitstellung der Software „Pflegedesk“ gemäß dem zugrunde liegenden Nutzungsvertrag (Hauptvertrag). (2) Gegenstand, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1. (3) Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Pflichten, die ihrer Natur nach über das Vertragsende hinaus fortbestehen (insbesondere Löschung, Rückgabe, Vertraulichkeit), bleiben unberührt.
§ 2 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung in Drittländer, es sei denn, er ist hierzu nach dem Recht der EU oder eines Mitgliedstaats verpflichtet. In einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, soweit das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. (2) Der Hauptvertrag, dieser Vertrag samt Anlagen sowie die Nutzung der Funktionen der Software durch den Verantwortlichen bilden die anfänglichen Weisungen. Weitere Weisungen erfolgen in Textform. (3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
§ 3 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet die Daten nur im Rahmen des Auftrags und der Weisungen. (2) Er gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. (3) Er trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (Anlage 2). (4) Er unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten Maßnahmen bei der Erfüllung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung). (5) Er benennt dem Verantwortlichen eine Ansprechperson für Datenschutzfragen. (6) Er führt ein Verzeichnis der im Auftrag durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.
§ 4 Technische und organisatorische Maßnahmen
(1) Der Auftragsverarbeiter setzt die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um und hält sie während der Vertragslaufzeit aufrecht. (2) Er ist berechtigt, die Maßnahmen weiterzuentwickeln und anzupassen, solange das vereinbarte Schutzniveau dadurch nicht unterschritten wird.
§ 5 Unterauftragsverhältnisse
(1) Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung der in Anlage 3 aufgeführten Unterauftragsverarbeiter. (2) Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 DSGVO). (3) Beabsichtigt der Auftragsverarbeiter die Hinzuziehung eines weiteren oder den Austausch eines Unterauftragsverarbeiters, informiert er den Verantwortlichen vorab in Textform. Der Verantwortliche kann der Änderung innerhalb von vier Wochen aus wichtigem datenschutzrechtlichem Grund widersprechen. (4) Keine Unterauftragsverarbeitung im Sinne dieses Paragraphen sind Nebenleistungen, die der Auftragsverarbeiter bei Dritten in Anspruch nimmt (z. B. Telekommunikations- oder Reinigungsleistungen).
§ 6 Rechte der betroffenen Personen
(1) Wendet sich eine betroffene Person mit einem Antrag auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragbarkeit unmittelbar an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter. (2) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Betroffenenrechte.
§ 7 Kontrollrechte des Verantwortlichen
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen. (2) Überprüfungen erfolgen nach angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne vermeidbare Störung des Betriebsablaufs. Der Auftragsverarbeiter kann den Nachweis auch durch geeignete Zertifizierungen, Testate oder aktuelle Prüfberichte erbringen.
§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes der im Auftrag verarbeiteten personenbezogenen Daten bekannt geworden ist. Die Meldung enthält die zur Erfüllung der Pflichten des Verantwortlichen nach Art. 33 und 34 DSGVO erforderlichen Informationen, soweit verfügbar.
§ 9 Löschung und Rückgabe nach Beendigung
(1) Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der EU oder eines Mitgliedstaats eine Pflicht zur Speicherung besteht. (2) Der Auftragsverarbeiter stellt dem Verantwortlichen nach Beendigung des Hauptvertrags für einen Zeitraum von 30 Tagen die Möglichkeit zum Export der Daten bereit. Nach Ablauf dieser Frist werden die Daten gelöscht.
§ 10 Haftung und Schlussbestimmungen
(1) Für die Haftung gelten Art. 82 DSGVO sowie die Haftungsregelungen des Hauptvertrags. (2) Änderungen und Ergänzungen dieses Vertrags bedürfen mindestens der Textform. (3) Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses Vertrags vor. (4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 – Gegenstand und Einzelheiten der Verarbeitung
Gegenstand: Bereitstellung und Betrieb der Software „Pflegedesk“ zur Verwaltung und Organisation des Pflegebetriebs des Verantwortlichen. Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln (an genehmigte Unterauftragsverarbeiter), Einschränken und Löschen. Zweck: Klienten- und Mitarbeiterverwaltung, Dienst- und Tourenplanung, Leistungserfassung, Abrechnung, Dokumentation sowie automatische Texterkennung (OCR) hochgeladener Dokumente. Art der personenbezogenen Daten: Stamm- und Kontaktdaten, Gesundheitsdaten (besondere Kategorien nach Art. 9 DSGVO), Pflege- und Leistungsdaten, Abrechnungs- und Vertragsdaten, Einsatz-, Touren- und Arbeitszeitdaten. Kategorien betroffener Personen: Pflegeklient:innen, deren Angehörige und Kontaktpersonen sowie Mitarbeiter:innen des Verantwortlichen.
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit: • Zutrittskontrolle: Betrieb in zertifizierten Rechenzentren der Unterauftragsverarbeiter innerhalb der EU. • Zugangskontrolle: individuelle Benutzerkonten, Speicherung von Passwörtern ausschließlich als Hash, rollen- und rechtebasiertes Zugriffskonzept. • Zugriffskontrolle: Beschränkung der Datenzugriffe nach dem Need-to-know-Prinzip, Protokollierung von Zugriffen. • Trennungskontrolle: mandantengetrennte Verarbeitung der Daten unterschiedlicher Kunden. Integrität: • Weitergabekontrolle: verschlüsselte Datenübertragung (TLS) und verschlüsselte Datenspeicherung (Verschlüsselung at rest). • Eingabekontrolle: Nachvollziehbarkeit von Eingaben und Änderungen durch Protokollierung. Verfügbarkeit und Belastbarkeit: • regelmäßige (in der Regel tägliche) Datensicherungen und Wiederherstellungsverfahren. • Betrieb auf ausfallsicherer Infrastruktur in EU-Rechenzentren. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.
Anlage 3 – Genehmigte Unterauftragsverarbeiter
• Hetzner Online GmbH, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Deutschland – Hosting und Betrieb der Anwendungsserver; Rechenzentren in Deutschland (EU). • Supabase, Inc. (Vertragspartner für die Datenübermittlung: Supabase Pte. Ltd., Singapur) – Authentifizierung und Datenbank; Region eu-central-1 (Frankfurt, EU). • Google (Google Cloud EMEA Limited bzw. Google Ireland Limited, Dublin, Irland) – Google Cloud Storage (Region europe-west3, Frankfurt) für die Ablage hochgeladener Dokumente, Vertex AI (Region europe-west3) für die automatische Texterkennung sowie Google Maps Platform (Routes API) für die Berechnung von Fahrzeiten. Soweit bei einzelnen Diensten eine Übermittlung in Drittländer in Betracht kommt, sind EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO als geeignete Garantie vereinbart.