Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch JFK-Enterprise e.U. (nachfolgend „Auftragsverarbeiter") im Auftrag der Person, die WundKompass als Subscription nutzt (nachfolgend „Verantwortlicher"). Der AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) von WundKompass und wird mit Registrierung und Nutzung des Dienstes wirksam.

Auftragsverarbeiter:

JFK-Enterprise e.U.
Jakob Kaliwoda
Dorfstraße 25, 6121 Baumkirchen, Österreich
enterprise.jfk@gmail.com

§ 1 Gegenstand und Dauer

(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der Webanwendung WundKompass zur digitalen Wunddokumentation und Abrechnung. Im Rahmen der Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten — einschließlich besonderer Kategorien gemäß Art. 9 DSGVO (Gesundheitsdaten) — im Auftrag des Verantwortlichen.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des zugrundeliegenden Nutzungsvertrags gemäß den AGB.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet folgende Datenkategorien im Auftrag des Verantwortlichen:

  • Stammdaten von Patienten (Vor- und Nachname, ggf. Telefonnummer, Versicherungsnummer, Adresse)
  • Gesundheitsdaten (Wunddokumentation, Wundbilder, Behandlungsverläufe, Diagnosen, Medikamente)
  • Daten verbundener Personen (Ärzte, Angehörige — Name, Telefonnummer)
  • Abrechnungsdaten (Zeit- und Materialeinträge, generierte Rechnungen)

(2) Die Verarbeitung dient ausschließlich dem Zweck der Bereitstellung und des Betriebs der Anwendung WundKompass gemäß den AGB.

(3) Betroffene Personen sind Patienten und andere natürliche Personen, über die der Verantwortliche Informationen in der Anwendung speichert.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

(1) Weisungsgebundenheit: Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Die bestimmungsgemäße Nutzung der Anwendung durch den Verantwortlichen gilt als dokumentierte Weisung. Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt, informiert er den Verantwortlichen unverzüglich.

(2) Vertraulichkeit: Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Sicherheit: Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe § 5 dieses AVV).

(4) Unterauftragsverarbeiter: Weitere Auftragsverarbeiter (Unterauftragsverarbeiter) nur gemäß § 4 dieses AVV einzusetzen.

(5) Unterstützung bei Betroffenenrechten: Den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit) zu unterstützen, soweit dies möglich ist.

(6) Unterstützung bei Compliance: Den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen, insbesondere bei der Meldung von Datenschutzverletzungen und der Durchführung von Datenschutz-Folgenabschätzungen.

(7) Datenschutzverletzungen: Den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten zu informieren, die Patientendaten des Verantwortlichen betreffen.

(8) Löschung oder Rückgabe: Nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten auf Wunsch des Verantwortlichen zurückzugeben oder zu löschen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

(9) Nachweisführung: Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten nach Art. 28 DSGVO nachzuweisen, und Überprüfungen durch den Verantwortlichen zu ermöglichen.

§ 4 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt mit Abschluss dieses AVV die allgemeine Genehmigung zur Einschaltung folgender Unterauftragsverarbeiter:

UnternehmenSitzZweckTransferbasis
OVH GmbH, SaarbrückenDeutschland (EU)Serverinfrastruktur und DatenspeicherungInnerhalb EU/EWR
OpenAI, L.L.C.USAKI-gestützte Bildanalyse (ausschließlich anonymisierte Wundbilder ohne Patientenbezug)EU-Standardvertragsklauseln (SCC 2021/914)

(2) Bei Änderungen oder dem Hinzufügen von Unterauftragsverarbeitern informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig (mindestens 14 Tage im Voraus) per E-Mail. Der Verantwortliche kann Änderungen widersprechen; in diesem Fall ist er berechtigt, den Vertrag außerordentlich zu kündigen.

(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter denselben datenschutzrechtlichen Pflichten unterliegen wie er selbst und schließt entsprechende Verträge gemäß Art. 28 DSGVO ab.

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

Verschlüsselung und Übertragungssicherheit:

  • Verschlüsselte Datenübertragung über HTTPS/TLS
  • Verschlüsselung gespeicherter Daten (at rest)

Zugriffskontrolle:

  • Authentifizierung per E-Mail und Passwort
  • Passwörter werden ausschließlich als gehashte Werte gespeichert (kein Klartextspeicher)
  • Strikte Datentrennung: Jeder Nutzer hat ausschließlich Zugriff auf seine eigenen Daten

Verfügbarkeit und Integrität:

  • Regelmäßige automatisierte Datensicherungen (Backups)
  • Definiertes Wiederherstellungsverfahren bei Datenverlust

Betrieb und Kontrolle:

  • Protokollierung sicherheitsrelevanter Ereignisse
  • Vertraulichkeitsverpflichtung für alle mit der Verarbeitung befassten Personen

Der Auftragsverarbeiter passt die TOM laufend dem Stand der Technik an und dokumentiert wesentliche Änderungen.

§ 6 Übermittlung in Drittländer

(1) Daten werden grundsätzlich innerhalb der EU/des EWR verarbeitet und gespeichert.

(2) Für die KI-gestützte Bildanalyse werden ausschließlich Wundbilder ohne direkten Patientenbezug (keine Namen, keine Identifikatoren) an OpenAI, L.L.C. (USA) übermittelt. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln der EU-Kommission (SCC, Beschluss 2021/914). Ein mit OpenAI geschlossener Auftragsverarbeitungsvertrag stellt die Einhaltung der DSGVO-Anforderungen sicher.

§ 7 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung gegenüber den betroffenen Personen (Patienten), insbesondere für das Vorliegen einer geeigneten Rechtsgrundlage gemäß Art. 6 i.V.m. Art. 9 DSGVO.

(2) Der Verantwortliche erteilt Weisungen in der Regel durch die bestimmungsgemäße Nutzung der Anwendung. Weitergehende Weisungen sind schriftlich oder per E-Mail an enterprise.jfk@gmail.com zu erteilen.

(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er bei der Nutzung der Anwendung Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.

§ 8 Schlussbestimmungen

(1) Dieser AVV unterliegt österreichischem Recht.

(2) Änderungen dieses AVV bedürfen der Textform. Der Auftragsverarbeiter kann den AVV mit einer Frist von 30 Tagen anpassen; § 12 der AGB gilt entsprechend.

(3) Soweit einzelne Regelungen dieses AVV unwirksam sein sollten, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

JFK-Enterprise e.U. | Jakob Kaliwoda | Dorfstraße 25, 6121 Baumkirchen | enterprise.jfk@gmail.com