Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der DentalFlow-Plattform.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages. Nach Beendigung des Nutzungsvertrages werden die personenbezogenen Daten gemäß § 8 dieses AVV gelöscht oder zurückgegeben.

(3) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich in der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EU/EWR).

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung, Organisation und Bereitstellung von Auftrags- und Patientendaten (pseudonymisiert)
• Speicherung und Bereitstellung von STL-Dateien (biometrische Daten gemäß Art. 9 DSGVO)
• Verwaltung von Kommunikation zwischen Laboren und Praxen
• Rechnungsstellung und Abrechnungsverwaltung
• Materialverwaltung und MDR-konforme Dokumentation
• Erstellung von Audit-Logs und Zugriffsprotokollen

(2) Der Zweck der Verarbeitung ist die Bereitstellung und der Betrieb der DentalFlow-Plattform als SaaS-Lösung für die digitale Zusammenarbeit zwischen Dentallaboren und Zahnarztpraxen.

§ 3 Art der personenbezogenen Daten

Folgende Arten personenbezogener Daten sind Gegenstand der Verarbeitung:

3.1 Allgemeine personenbezogene Daten

• Kontaktdaten (Name, E-Mail, Telefon, Adresse)
• Organisationsdaten (Firmenname, Adresse, Steuernummer)
• Zugangsdaten (E-Mail, gehashtes Passwort)
• Nutzungsdaten (Zugriffsprotokolle, IP-Adressen)
• Abrechnungsdaten (Bankverbindung, Rechnungsinformationen)

3.2 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

• Gesundheitsdaten: Zahnmedizinische Indikationen, Behandlungsinformationen, Material- und Verarbeitungsspezifikationen für Zahnersatz
• Biometrische Daten: STL-Dateien (dreidimensionale Abbildungen der Zahnstruktur), die zur eindeutigen Identifizierung einer natürlichen Person beitragen können

Hinweis: Patientendaten werden grundsätzlich pseudonymisiert verarbeitet (Chiffre-System). Die Zuordnung zwischen Chiffre und realem Patientennamen verbleibt beim Verantwortlichen (Zahnarztpraxis).

§ 4 Kategorien betroffener Personen

• Mitarbeiter des Verantwortlichen (Zahnärzte, Zahntechniker, Assistenz, Verwaltung)
• Patienten des Verantwortlichen (pseudonymisiert über Chiffre-System)
• Geschäftspartner und Kontaktpersonen

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich der Übermittlung an Drittländer, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).

(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 6 dieses AVV).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit bei der Erfüllung seiner Pflichten aus Art. 32 - 36 DSGVO.

(5) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(6) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen folgende technische und organisatorische Maßnahmen implementiert:

6.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Serverinfrastruktur wird in zertifizierten Rechenzentren in der EU betrieben, Zugang nur für autorisiertes Personal
• Zugangskontrolle: Mehrstufige Authentifizierung, sichere Passwort-Hashingverfahren, automatische Sitzungsbeendigung bei Inaktivität
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC) mit differenzierten Rollen (Admin, Manager, Techniker, Zahnarzt, Assistenz)
• Mandantentrennung: Strikte Datentrennung durch Row-Level Security (RLS) auf Datenbankebene – jede Organisation hat ausschließlich Zugriff auf ihre eigenen Daten
• Pseudonymisierung: Patientendaten werden über das Chiffre-System pseudonymisiert; eine Zuordnung zu Klarnamen erfolgt ausschließlich beim Verantwortlichen

6.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: TLS/SSL-Verschlüsselung (Transport Layer Security) für alle Datenübertragungen
• Eingabekontrolle: Vollständiges Audit-Logging aller datenschutzrelevanten Aktionen (Erstellen, Ändern, Löschen, Exportieren) mit Benutzer-Identifikation und Zeitstempel
• Datenintegrität: Validierung aller Eingaben, Prüfung von Dateiformaten und -größen

6.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verfügbarkeitskontrolle: Redundante Systemarchitektur, automatische Backups, Disaster-Recovery-Plan
• Rasche Wiederherstellbarkeit: Regelmäßige Backup-Tests, dokumentierte Wiederherstellungsprozeduren
• Belastbarkeit: Skalierbare Cloud-Infrastruktur mit automatischer Lastverteilung

6.4 Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Datenschutz-Management: Regelmäßige Überprüfung und Aktualisierung der TOMs, Datenschutz-Folgenabschätzung bei Bedarf
• Incident-Response: Dokumentierter Incident-Response-Plan mit definierten Meldewegen und Reaktionszeiten
• Mitarbeiterschulung: Regelmäßige Datenschutzschulungen für alle Mitarbeiter mit Zugang zu personenbezogenen Daten

6.5 Besondere Maßnahmen für Art. 9 DSGVO-Daten

Für die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheits- und biometrische Daten) gelten zusätzlich:

• Verschlüsselung ruhender Daten: AES-256-Verschlüsselung für STL-Dateien und Gesundheitsdaten
• Zugriffsbeschränkung: Zugriff auf Gesundheitsdaten und STL-Dateien nur für direkt am Auftrag beteiligte Benutzer
• Erweitertes Audit-Logging: Detaillierte Protokollierung aller Zugriffe auf sensible Datenkategorien
• Automatische Löschung: Implementierung automatisierter Löschmechanismen nach Ablauf der Aufbewahrungsfristen

§ 7 Unterauftragsverarbeiter

(1) Der Auftragsverarbeiter setzt derzeit folgende Unterauftragsverarbeiter ein:

(2) Der Auftragsverarbeiter informiert den Verantwortlichen schriftlich über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO).

(3) Mit jedem Unterauftragsverarbeiter wird ein Vertrag gemäß Art. 28 Abs. 4 DSGVO geschlossen, der mindestens die gleichen Datenschutzpflichten auferlegt wie dieser AVV.

§ 8 Betroffenenrechte

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen.

(2) Die DentalFlow-Plattform stellt folgende Funktionen zur Unterstützung der Betroffenenrechte bereit:

• Auskunftsrecht (Art. 15): Datenexport-Funktion (JSON-Format) über die Plattformeinstellungen
• Berichtigungsrecht (Art. 16): Bearbeitungsfunktion für alle gespeicherten Daten
• Löschungsrecht (Art. 17): Kontolöschungsfunktion mit 30-tägiger Karenzzeit und Widerrufsmöglichkeit
• Datenübertragbarkeit (Art. 20): Export aller Daten in maschinenlesbarem Format (JSON)

(3) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieser den Antrag unverzüglich an den Verantwortlichen weiterleiten.

§ 9 Löschung und Rückgabe personenbezogener Daten

(1) Nach Beendigung des Nutzungsvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

(2) Vor der Löschung hat der Verantwortliche die Möglichkeit, seine Daten über die Export-Funktion der Plattform herunterzuladen.

(3) Die Löschung erfolgt nach einer 30-tägigen Karenzzeit, in der der Verantwortliche die Löschung widerrufen kann.

(4) Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (insbesondere Rechnungsdaten gemäß §§ 147 AO, 257 HGB), werden für die Dauer der Aufbewahrungsfrist gesperrt und nach deren Ablauf gelöscht.

(5) Die vollständige Löschung wird dem Verantwortlichen schriftlich bestätigt.

§ 10 Kontrollrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen und der Vereinbarungen dieses AVV durch Inspektionen und Audits zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung und ermöglicht und trägt zu Überprüfungen bei, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden.

(3) Inspektionen vor Ort sind mit einer angemessenen Vorankündigungsfrist von mindestens 14 Werktagen durchzuführen und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.

(4) Die Kosten der Überprüfung trägt der Verantwortliche, soweit nicht ein Verstoß des Auftragsverarbeiters gegen diesen AVV festgestellt wird.

§ 11 Meldepflichten bei Datenschutzverletzungen

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung enthält mindestens:

• Art der Verletzung und betroffene Datenkategorien
• Anzahl der betroffenen Personen und Datensätze
• Wahrscheinliche Folgen der Verletzung
• Ergriffene und vorgeschlagene Maßnahmen

(3) Bei Verletzungen, die besondere Kategorien personenbezogener Daten (Gesundheits-/biometrische Daten) betreffen, erfolgt die Meldung unverzüglich, spätestens jedoch innerhalb von 12 Stunden.

§ 12 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.

(4) Im Falle von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien gehen die Regelungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.

(5) Dieser AVV tritt mit Akzeptanz durch den Verantwortlichen im Rahmen der Registrierung auf der DentalFlow-Plattform in Kraft.