Vorlage — vor Unterzeichnung ausfüllen!
Alle markierten Felder durch tatsächliche Angaben ersetzen. Diese Vorlage ersetzt keine Rechtsberatung. Bitte durch einen Datenschutzbeauftragten oder Rechtsanwalt prüfen lassen.
← Zurück zum Dashboard

Auftragsverarbeitungsvertrag

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

§ 1 Vertragsparteien

Verantwortlicher (im Folgenden: „Auftraggeber"):

[PRAXISNAME]
[STRASSE, HAUSNUMMER]
[PLZ ORT]
vertreten durch: [NAME DES VERANTWORTLICHEN]
E-Mail: [E-MAIL]

Auftragsverarbeiter (im Folgenden: „Auftragnehmer"):

[NAME DES SOFTWARE-ANBIETERS / ADMINISTRATORS]
[STRASSE, HAUSNUMMER]
[PLZ ORT]
vertreten durch: [NAME]
E-Mail: [E-MAIL]

Auftraggeber und Auftragnehmer werden im Folgenden gemeinsam als „Parteien" bezeichnet.

§ 2 Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand: Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der digitalen Patientenaufklärung und -dokumentation durch den Betrieb der Software Aufklärung-Pro (self-hosted) auf einem vom Auftragnehmer administrierten Server.

2.2 Dauer: Dieser Vertrag gilt ab Unterzeichnung und endet mit Beendigung des zugrundeliegenden Dienstleistungsvertrages oder durch schriftliche Kündigung mit einer Frist von [z.B. 3 Monaten].

§ 3 Art und Zweck der Verarbeitung sowie Art der Daten und Kreis der Betroffenen

3.1 Zweck: Digitale Dokumentation von Patientenaufklärungsgesprächen gemäß § 630e BGB und Führung der Aufklärungsdokumentation als Teil der Patientenakte gemäß § 630f BGB.

3.2 Art der verarbeiteten Daten:

  • Identifikationsdaten der Patienten (Name, Geburtsdatum; verschlüsselt)
  • Gesundheitsbezogene Daten (ausgefüllte Aufklärungsbögen, Antworten zu medizinischen Risiken)
  • Elektronische Unterschriften von Patienten und Ärzten
  • Verbindungsdaten (IP-Adressen, Zeitstempel) zur Protokollierung
  • Benutzerdaten des Praxispersonals

3.3 Kreis der Betroffenen: Patienten der Praxis sowie Mitarbeiter der Praxis (Ärzte, MFA, Administratoren).

§ 4 Weisungsgebundenheit

4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Recht der Europäischen Union oder das Recht der Bundesrepublik Deutschland zur Verarbeitung verpflichtet ist.

4.2 Weisungen werden grundsätzlich schriftlich erteilt. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

4.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Meinung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 5 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, insbesondere:

  • Verschlüsselung: AES-256-GCM-Verschlüsselung sensibler Patientendaten at rest; TLS/HTTPS für alle Übertragungen
  • Integrität: SHA-256-Hashprüfung aller erzeugten Dokumente; unveränderliches Audit-Log
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem; starkes Passwort-Hashing (bcrypt); optionale Zwei-Faktor-Authentifizierung
  • Verfügbarkeit: Regelmäßige Datensicherungen; Docker-basierter Betrieb mit Restart-Richtlinien
  • Datensparsamkeit: Keine Verarbeitung über den Vertragszweck hinaus
  • Serverstandort: Ausschließliche Datenhaltung auf Servern in [SERVERSTANDORT, z.B. Deutschland]

§ 6 Unterauftragnehmer

Der Auftragnehmer setzt keine Unterauftragnehmer ein. Sollte der Einsatz von Unterauftragnehmern erforderlich werden, bedarf dies der vorherigen schriftlichen Zustimmung des Auftraggebers.

§ 7 Unterstützung bei Betroffenenrechten und Pflichten des Verantwortlichen

7.1 Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit bei der Erfüllung der Pflichten gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

7.2 Die Software stellt hierfür folgende Funktionen bereit: Datenexport (Art. 15), Datenberichtigung (Art. 16), Anonymisierung nach Ablauf der Aufbewahrungsfrist (Art. 17).

7.3 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung von Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldepflichten, Datenschutz-Folgenabschätzung).

§ 8 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten. Die Meldung erfolgt an: [E-MAIL DES AUFTRAGGEBERS]

§ 9 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Vertrages löscht oder gibt der Auftragnehmer dem Auftraggeber alle personenbezogenen Daten zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung wird schriftlich bestätigt.

§ 10 Kontrollrechte des Auftraggebers

Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrages beim Auftragnehmer zu kontrollieren oder durch einen beauftragten Dritten kontrollieren zu lassen. Der Auftragnehmer stellt alle hierfür erforderlichen Informationen zur Verfügung.

§ 11 Schlussbestimmungen

11.1 Dieser Vertrag unterliegt deutschem Recht.

11.2 Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.

11.3 Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

§ 12 Unterschriften

Auftraggeber (Praxis / Verantwortlicher)

Ort, Datum

Unterschrift, Name in Druckschrift, Funktion

Auftragnehmer (Software-Anbieter / Auftragsverarbeiter)

Ort, Datum

Unterschrift, Name in Druckschrift, Funktion

Dieser Vertrag ist in zwei gleichlautenden Ausfertigungen zu unterzeichnen. Je eine Ausfertigung verbleibt bei Auftraggeber und Auftragnehmer.