Auftragsverarbeitungsvertrag (AVV)
1. Anwendungsbereich
Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Zusammenhang mit einem integrierten MVZ / Praxis-Controllingsystem gemäß schriftlichem Vertrag vom 2. Juli 2025 (im Folgenden: „Hauptvertrag“). Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung („DS-GVO“). Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden Vertrag, dessen Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.
Im Rahmen des Auftragsverhältnisses kann es zu einer Verarbeitung personenbezogener Daten von Patienten bei der Zuordnung und Abrechnung von Forderungen nach dem Hauptvertrag kommen. Hierbei verarbeitet der Auftragnehmer personenbezogene Daten, bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“). Diese Anlage zum Hauptvertrag spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-Daten zur Erbringung der Leistungen nach dem Hauptvertrag.
2. Umfang und Dauer der Beauftragung / Weisungsbefugnisse des Auftraggebers
2.1 Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2.2 Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt ausschließlich in der Art, dem Umfang und zu dem Zweck wie in dem Hauptvertrag und ergänzend in Annex 1 zu dieser Auftragsverarbeitungsvereinbarung spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.
2.3 Der Auftraggeber behält sich das Recht zur Erteilung von weiteren Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten vor. Die Weisungen des Auftraggebers sollen grundsätzlich (Ausnahmen sind möglich) in Schrift- oder Textform erfolgen. Bei Bedarf kann der Auftraggeber Weisungen auch mündlich oder telefonisch erteilen. Mündlich oder telefonisch erteilte Weisungen bedürfen jedoch einer unverzüglichen Bestätigung in Schrift- oder Textform, sofern zumutbar. Der Auftragnehmer ist verpflichtet, sämtliche wesentlichen Weisungen des Auftraggebers zu dokumentieren.
2.4 Ist der Auftragnehmer der begründeten Ansicht, dass eine Weisung des Auftraggebers gegen diese Vereinbarung oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber mit mindestens 14-tägiger Frist berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. Bestätigt der Auftraggeber die Weisung, ist der Auftragnehmer verpflichtet, sie zu befolgen.
2.5 Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Entsprechend den Verpflichtungen aus dem Hauptvertrag endet die Verarbeitung im Auftrag jeweils entweder (i) mit Kündigung des Hauptvertrages, (ii) mit Kündigung dieses Vertrages, (iii) mit Löschung / Vernichtung der Daten nach Ablauf der gesetzlich vorgeschriebenen Aufbewahrungsfristen gemäß den Vorgaben des Hauptvertrages oder (iv) wenn der Patient der Aufbewahrung seiner Daten durch den Auftragnehmer widerspricht. Im Zweifel gilt eine Kündigung des Hauptvertrages auch als Kündigung dieses Vertrages.
3. Anforderungen an Personal
3.1 Der Auftragnehmer hat alle ihm unterstellten natürlichen Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.
3.2 Der Auftragnehmer stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zu einer anderweitigen Verarbeitung verpflichtet.
4. Sicherheit der Verarbeitung
4.1 Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
4.2 Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten neben den im Hauptvertrag niedergelegten Verpflichtungen insbesondere die in Annex 2 zu dieser Vereinbarung spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während des Hauptvertrages aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird. Die Verpflichtung zu eigenen technischen und organisatorischen Maßnahmen besteht nur, soweit zwingend erforderlich und dem Auftragnehmer binnenorganisatorisch zumutbar ist.
5. Inanspruchnahme weiterer Auftragsverarbeiter
5.1 Der Auftragnehmer nimmt keinen Unterauftragnehmer ohne Zustimmung des Auftraggebers in Anspruch. Der Auftragnehmer stellt sicher, dass eine entsprechende Zustimmung des Auftraggebers für alle im Zusammenhang mit der vertragsgegenständlichen Verarbeitung eingesetzten weiteren Unterauftragnehmer vorliegt. Der Auftragnehmer wird den Auftraggeber rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern informieren, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Die Zustimmung gilt als erteilt, soweit der Auftraggeber nicht innerhalb von drei Wochen Einspruch erhebt. Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung aus anderen als aus wichtigen Gründen, kann der Auftragnehmer den Vertrag zum Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers kündigen.
5.2 Der Auftragnehmer hat den weiteren Auftragsverarbeiter in dem Unterauftragsverarbeitungsvertrag schriftlich ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieser Vereinbarung gegenüber dem Auftraggeber verpflichtet ist. Dem Auftraggeber sind im Unterauftragsverarbeitungsvertrag gegenüber dem weiteren Auftragsverarbeiter unmittelbar sämtliche Kontrollrechte gemäß Ziffer 9 dieser Vereinbarung einzuräumen (echter Vertrag zugunsten Dritter). Der Auftragnehmer haftet für ein Verschulden jedes weiteren Auftragsverarbeiters wie für eigenes Verschulden.
5.3 Der Auftragnehmer hat die Einhaltung der vertraglichen Verpflichtungen des weiteren Auftragsverarbeiters regelmäßig (d. h. mindestens einmal jährlich) in geeigneter Form zu überprüfen und das Ergebnis der Prüfung zu dokumentieren. Der Auftraggeber bleibt berechtigt, die Ausübung der Kontrollbefugnisse durch den Auftragnehmer uneingeschränkt zu überwachen und kann jederzeit auch selbst diese Kontrolle gegenüber dem weiteren Auftragsverarbeiter ausüben.
6. Rechte der betroffenen Personen
6.1 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren mit technischen und organisatorischen Maßnahmen dabei unterstützen, seinen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.
6.2 Der Auftragnehmer wird insbesondere:
– den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer wenden sollte;
– dem Auftraggeber auf Anfrage alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt.
7. Sonstige Unterstützungspflichten des Auftragnehmers
7.1 Der Auftragnehmer meldet dem Auftraggeber unverzüglich, nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen. Die Meldung enthält nach Möglichkeit eine Beschreibung:
– der Art der Verletzung des Schutzes der Auftraggeber-Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
– der wahrscheinlichen Folgen der Verletzung des Schutzes der Auftraggeber-Daten;
– der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
7.2 Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf deren Anfrage unterstützen, diese Pflichten einzuhalten.
7.3 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
8. Datenlöschung und -zurückgabe
Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrages oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten oder Datenträger zurückgeben oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Im Falle des Widerspruchs eines Patienten gegen die Aufbewahrung durch den Auftragnehmer wird der Auftragnehmer die Daten an den Auftraggeber zurückgeben, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.
9. Nachweise und Überprüfungen
9.1 Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit dieser Anlage, einschließlich des in Annex 1 festgelegten Umfangs der Verarbeitung der Auftraggeber-Daten, sowie den Weisungen des Auftraggebers in Einklang steht.
9.2 Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser Auftragsverarbeitungsvereinbarung in geeigneter Weise dokumentieren und dem Auftraggeber entsprechende Nachweise auf dessen Anfrage vorlegen. Der Auftraggeber ist berechtigt, den Auftragnehmer vor dem Beginn der Verarbeitung von Auftraggeber-Daten und regelmäßig während der Laufzeit des Hauptvertrages bezüglich der Einhaltung der Regelungen dieser Anlage, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß Annex 2, selbst oder durch einen von ihm beauftragten Prüfer zu überprüfen. Der Auftragnehmer ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei.
10. Haftung
10.1 Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber bzw. des Auftraggebers gegenüber dem Auftragnehmer wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt. Dies gilt insbesondere für von dem Auftraggeber im Rahmen des Hauptvertrages gegenüber dem Auftragnehmer übernommene Garantien und/oder Haftungsfreistellungen.
10.2 Die Parteien stellen sich jeweils von der Haftung nach Art. 82 DSGVO frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Der vorstehende Satz gilt im Falle einer gegen eine Partei verhängten Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt. Soweit betroffen, gehen in diesem Zusammenhang nach dem Hauptvertrag übernommene Haftungsfreistellungen vor.
11. Schlussbestimmungen
11.1 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 28 DSGVO am besten gerecht wird.
11.2 Im Fall von Widersprüchen zwischen dieser Vereinbarung und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieser Vereinbarung vor.
Annex 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen
Zweck der Datenverarbeitung:
– Erstellung einer integrierten Controlling- und Steuerungsübersicht
– Kommunikation mit Abrechnungsstellen und Kostenträgern
– Maßnahmen zur Planung von Behandlungen
– Durchführung von Personalgesprächen und Bewerbungsgesprächen
– Weitere personalbezogene Maßnahmen
Art der Daten:
– Stammdaten
– Versicherungsdaten
– Korrespondenzdaten
– Kontodaten
– Planungsdateien bzgl. geplanter und/oder durchgeführter Behandlungen
– Produktionsdateien CAD/CAM-Systeme
Kategorien betroffener Personen:
– Patienten
– Arbeitnehmer
Annex 2: Technische und organisatorische Maßnahmen
Dem Auftragnehmer ist die Notwendigkeit der folgenden technischen und organisatorischen Maßnahmen (TOM) bewusst. Er wird diese, soweit der Zuschnitt seines Unternehmens und dessen interne Organisationsstruktur es vertretbar zulassen, so weit wie möglich umsetzen.
1. Vertraulichkeit der IT-Systeme und Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)
a) Zutrittskontrolle
Der Zutritt zu den Räumlichkeiten, in denen personenbezogene Daten verarbeitet oder gespeichert werden, ist durch geeignete physische Sicherheitsmaßnahmen – wie Schließsysteme, Zugangskarten und Überwachungssysteme – auf autorisierte Personen beschränkt.
b) Zugangskontrolle
Der Zugriff auf IT-Systeme, in denen personenbezogene Daten verarbeitet werden, ist durch individuelle Benutzerkennungen, starke Passwortrichtlinien und Mehr-Faktor-Authentifizierung geschützt. Unbefugte erhalten keinen Zugang zu den Systemen.
c) Zugriffskontrolle
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich durch autorisierte Personen mit definierten Zugriffsrechten. Die Vergabe und Verwaltung der Rechte erfolgen nach dem Need-to-Know-Prinzip und werden regelmäßig überprüft.
d) Trennungskontrolle
Personenbezogene Daten, die für unterschiedliche Zwecke verarbeitet werden, sind durch geeignete technische und organisatorische Maßnahmen voneinander getrennt. Dies umfasst logische und physische Trennung in Datenbanken, Berechtigungskonzepte sowie separate Verarbeitungsprozesse.
e) Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO; Art. 25 Abs. 1 DSGVO)
Personenbezogene Daten werden, soweit möglich und erforderlich, durch Pseudonymisierung geschützt. Dies erfolgt durch die Verwendung von eindeutigen Kennungen anstelle direkter Identifikatoren, sodass eine Rückführbarkeit auf einzelne Personen ohne zusätzliche Informationen ausgeschlossen oder erheblich erschwert wird.
2. Integrität der IT-Systeme und Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)
a) Weitergabekontrolle
Die Übermittlung personenbezogener Daten, insbesondere über elektronische Kommunikationswege, erfolgt ausschließlich über gesicherte und verschlüsselte Verbindungen (z. B. TLS, VPN). Es bestehen interne Richtlinien zur Zugriffsbeschränkung sowie zur Protokollierung von Datenweitergaben, um eine unbefugte Offenlegung oder Veränderung zu verhindern.
b) Eingabekontrolle
Die Erfassung, Änderung und Löschung personenbezogener Daten wird durch technische Maßnahmen nachvollziehbar gemacht. Hierzu werden Änderungen protokolliert, revisionssicher gespeichert und regelmäßig überprüft. Die Zugriffsrechte für die Eingabe oder Bearbeitung von Daten sind auf autorisierte Personen beschränkt.
3. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO; Art. 25 Abs. 1 DSGVO)
Die Wirksamkeit der technischen und organisatorischen Maßnahmen wird regelmäßig überprüft, bewertet und bei Bedarf angepasst. Dies umfasst interne Audits, Sicherheitsüberprüfungen, Penetrationstests sowie die laufende Analyse neuer Risiken und Bedrohungen im Datenschutz- und IT-Sicherheitsbereich.