Präambel

Dieser Vertrag zur Auftragsverarbeitung („AVV“) wird geschlossen zwischen der Doctos GmbH, Pilotystr. 4, 80538 München (im Folgenden „Auftragnehmer“ oder „Doctos“) und dem Kunden, der Vertragspartner der Nutzungsvereinbarung über die Erbringung der von dem Auftragnehmer angebotenen Dienstleistungen ist (im Folgenden „Auftraggeber“ oder „Kunde“). Jede Partei wird einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

Der Auftragnehmer bietet mit der App „Doctos“ (die „App“) einen KI-gestützten Assistenten für Dokumentation und Abrechnung zahnärztlicher Behandlungen an („Software“). Die Parteien haben einen Vertrag über die Bereitstellung und Nutzung der Software geschlossen (der „Hauptvertrag“). Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (die „DSGVO“). Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden AVV, dessen Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

1. Gegenstand und Umfang der Beauftragung

1.1) Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass der Auftragnehmer und seine Beschäftigten Zugriff auf personenbezogene Daten erhalten (nachfolgend „Auftraggeberdaten“) und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO verarbeitet.

1.2) Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag (und, sofern vorhanden, aus der dazugehörigen Leistungsbeschreibung) sowie aus der Anlage 1 zu diesem AVV. Der Kreis der von der Datenverarbeitung betroffenen Personen und der Datenarten ist in Anlage 2 zu diesem AVV dargestellt. Dem Auftragnehmer ist eine abweichende oder über die Festlegungen in Anlage 1 und Anlage 2 hinausgehende Verarbeitung von Auftraggeberdaten untersagt. Dies gilt auch für die Verwendung anonymisierter Daten.

1.3) Der Auftraggeber ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung und für die Wahrung der Rechte der betroffenen Personen im Verhältnis zwischen den Parteien. Insbesondere ist der Auftraggeber verpflichtet, die erforderlichen Rechtsgrundlagen für die Verarbeitung der Auftraggeberdaten nach diesem AVV zu schaffen. Hierzu gehört insbesondere die Einholung aller notwendigen Einwilligungen der betroffenen Personen (insbesondere gemäß den Anforderungen des Art. 9 Abs. 2 lit. a DSGVO), sofern die Verarbeitung auf einer solchen Einwilligung beruht.

1.4) Der Auftraggeber ist dafür verantwortlich, dem Auftragnehmer rechtzeitig erforderliche Daten für die Erbringung der Dienstleistungen gemäß dem Hauptvertrag zur Verfügung zu stellen, und er ist für die Qualität der Daten verantwortlich. Er ist dafür verantwortlich, die Nutzer der Software darauf hinzuweisen, dass diese insbesondere den Grundsatz der Datenminimierung zu beachten haben und dem Auftragnehmer nur die Daten zur Verfügung stellen dürfen, die für die Erbringung der Dienstleistungen gemäß dem Hauptvertrag erforderlich sind. Der Auftraggeber unterrichtet den Auftragnehmer unverzüglich und vollständig, wenn er bei der Prüfung der Ergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten in Bezug auf die Datenschutzbestimmungen oder seine Anweisungen feststellt.

1.5) Der Auftraggeber verpflichtet sich, die ärztliche Schweigepflicht, soweit diese anwendbar ist, einzuhalten und für deren Einhaltung Sorge zu tragen.

1.6) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

2. Weisungsrechte des Auftraggebers

2.1) Der Auftragnehmer darf Auftraggeberdaten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers verarbeiten. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern dies rechtlich gestattet ist.

2.2) Die Weisungen des Auftraggebers werden anfänglich durch diesen AVV festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen im Hinblick auf die Berichtigung und Löschung von Daten sowie auf die Einschränkung der Verarbeitung.

2.3) Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die im Hauptvertrag vereinbarten Leistungen hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers an den Auftragnehmer entstehen, bleiben unberührt.

2.4) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

3. Schutzmaßnahmen des Auftragnehmers

3.1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

3.2) Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses AVV betraut werden („Mitarbeiter“), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen.

3.3) Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gemäß Art. 32 DSGVO, insbesondere die in Anlage 3 zu diesem AVV aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrechtzuerhalten.

3.4) Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer hat den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Anlage 3 nicht mehr ausreichend sind, und wird sich mit ihm hinsichtlich weiterer technischer und organisatorischer Maßnahmen abstimmen.

3.5) Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 3 bestimmten technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.

4. Informations- und Unterstützungspflichten des Auftragnehmers

4.1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte, wird der Auftragnehmer den Auftraggeber unverzüglich informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldungen haben jeweils zumindest die in Art. 33 Abs. 3 DSGVO genannten Angaben zu enthalten.

4.2) Der Auftragnehmer wird den Auftraggeber im vorgenannten Falle bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen unterstützen, soweit ihm dies zumutbar ist. Der Auftragnehmer wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.

4.3) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß Ziff. 6 Abs. 1 dieses AVV erforderlich sind. Ferner wird der Auftragnehmer dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung stellen.

4.4) Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung des Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 DSGVO, bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO in angemessenem Umfang zu unterstützen. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen. Kosten, die dem Auftragnehmer durch seine Unterstützungshandlungen entstehen, sind ihm im angemessenen Umfang zu erstatten.

5. Sonstige Pflichten des Auftragnehmers

5.1) Der Auftragnehmer ist verpflichtet, ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gemäß Art. 30 Abs. 2 DSGVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

5.2) Der Auftragnehmer bestätigt, dass er, soweit eine gesetzliche Verpflichtung hierzu besteht, einen Datenschutzbeauftragten bestellt hat. Die Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mitzuteilen. Diese befinden sich in Anlage 1. Ein Wechsel in der Person des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen.

5.3) Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegt.

6. Kontrollrechte des Auftraggebers

6.1) Der Auftraggeber ist berechtigt, sich auf eigene Kosten regelmäßig von der Einhaltung der Regelungen dieses AVV, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gemäß Ziff. 3.3 dieses AVV, zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Beauftragt der Auftraggeber einen sachkundigen Dritten mit der Durchführung dieser Prüfung, so verpflichtet der Auftraggeber den Dritten schriftlich in gleicher Weise, wie er sich gegenüber dem Auftragnehmer gemäß dieser Ziff. 6 des AVV verpflichtet. Darüber hinaus verpflichtet der Auftraggeber den Dritten zur Geheimhaltung und Vertraulichkeit, es sei denn, der Dritte unterliegt einer beruflichen Verschwiegenheitspflicht. Auf Verlangen des Auftragnehmers legt der Auftraggeber diesem unverzüglich die Verpflichtungsvereinbarungen mit dem Dritten vor.

6.2) Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang (grundsätzlich eine Kontrolle pro Kalenderjahr) durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

6.3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

7. Einsatz von Subunternehmern

7.1) Die derzeitigen Subunternehmer, die für die Durchführung dieses AVV eingesetzt und zwischen den Parteien vereinbart wurden, sind in der Anlage 4 im Einzelnen aufgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Sollte der Auftragnehmer weitere Subunternehmer mit der Verarbeitung personenbezogener Daten betrauen wollen, so informiert er den Auftraggeber hierüber vorab und räumt diesem das Recht ein, der Beauftragung des betreffenden Subunternehmers binnen 14 Tagen zu widersprechen. Sollte diese Frist fruchtlos verstreichen, gilt der angekündigte Subunternehmer als genehmigt. Der Auftraggeber darf nur aus wichtigem Grund widersprechen.

7.2) Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Bei der Einschaltung von Subunternehmern hat der Auftragnehmer diese entsprechend den Regelungen dieses AVV zu verpflichten und sicherzustellen, dass der Auftraggeber seine Rechte aus diesem AVV (insbesondere seine Prüf- und Kontrollrechte) ggf. direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.

7.3) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen Subunternehmerverhältnisse i.S.d. Abs. 1 dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.

8. Rechte Betroffener

8.1) Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten des Auftraggebers nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO.

8.2) Macht eine betroffene Person Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich ihrer Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist die betroffene Person unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

8.3) Soweit dem Auftragnehmer durch die Unterstützungsleistungen ein zusätzlicher Aufwand entsteht, der über die Standardleistungen hinausgeht, kann der Auftragnehmer hierfür eine Vergütung nach Aufwand auf Basis der vereinbarten Stundensätze verlangen.

9. Laufzeit und Kündigung

9.1) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung entsprechend. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses AVV und eine Kündigung dieses AVV als Kündigung des Hauptvertrages.

9.2) Der Auftraggeber ist jederzeit zu einer außerordentlichen Kündigung dieses AVV aus wichtigem Grund berechtigt.

10. Löschung und Rückgabe nach Vertragsende

10.1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragnehmer unter Einhaltung der jeweiligen Aufbewahrungsfristen bis zur Beendigung dieses AVV (und ggf. danach) aufzubewahren.

10.2) Auf Anfrage des Auftraggebers, wird der Auftragnehmer dem Auftraggeber die Löschung schriftlich bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

10.3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

11. Haftung

11.1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem AVV oder dem Hauptvertrag bleibt hiervon unberührt.

11.2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Der vorstehende Satz gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

11.3) Sofern vorstehend nicht anders geregelt, entspricht die Haftung im Rahmen dieses AVV der des Hauptvertrages.

12. Schlussbestimmungen

12.1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

12.2) Bei Widersprüchen zwischen den Regelungen dieses AVV und dem Hauptvertrag gehen die datenschutzrechtlichen Bestimmungen dieses AVV vor. Im Übrigen bleiben die Regelungen des Hauptvertrags unberührt.

12.3) Sollten einzelne Regelungen dieses AVV unwirksam oder nicht durchführbar sein, bleibt die Wirksamkeit der übrigen Regelungen hiervon unberührt.

12.4) Dieser AVV unterliegt deutschem Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist München, Deutschland.

Stand: Mai 2026

Doctos GmbH
Pilotystr. 4
80538 München
+49 89 4444 38120
info@doctos.de

Anlage 1

Konkretisierung von Art, Umfang und Zweck der Datenverarbeitung

Art und Umfang der Datenverarbeitung

Die Datenverarbeitung erfolgt im Rahmen der Nutzung der Software durch den Auftraggeber, die für die sprachbasierte Dokumentation von Behandlungen sowie die KI-gestützte Abrechnung eingesetzt wird. Hierbei werden personenbezogene Daten der Patienten sowie Stimmaufzeichnungen der Ärzte, Praxismitarbeiter, anderer Nutzer verarbeitet, die zur Dokumentation der Behandlungen und zur Abrechnung verwendet werden. Die Verarbeitung beinhaltet grundsätzlich das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Einschränkung, das Löschen oder die Vernichtung von Daten.

Der Umfang und die konkrete Ausgestaltung der Datenverarbeitung richten sich nach dem jeweils vom Kunden gewählten Nutzungspaket bzw. der gebuchten Softwarelizenz.

Zweck der Datenverarbeitung

Der Hauptzweck der Datenverarbeitung im Rahmen der Nutzung der Software besteht darin, eine effiziente und strukturierte Dokumentation der Patientenbehandlungen zu ermöglichen und die Abrechnung der erbrachten Leistungen zu optimieren. Insbesondere sollen:

• Behandlungsdaten durch Spracheingabe erfasst und gespeichert werden,

• Stimmaufzeichnungen in strukturierte Dokumentation umgewandelt werden,

• Abrechnungsdaten automatisch analysiert und den korrekten Abrechnungspositionen zugeordnet werden.

Datenschutzbeauftragter

Die Kontatkdaten des Datenschutzbeauftragten lauten wie folgt:

Martin Bastius

Telefon: +498941325320

E- Mail: datenschutz@heydata.de

Anlage 2

Kategorien der betroffenen Personen und Art der Daten

Kategorien betroffener Personen

Die betroffenen Personen sind:

• Patienten des Auftraggebers: Personen, deren personenbezogene Daten im Rahmen der Behandlung und Abrechnung verarbeitet werden.

• Zahnärzte und Mitarbeiter des Auftraggebers, andere Nutzer: Personen, die die Software durch Spracheingabe nutzen.

Arten der verarbeiteten Daten

Die Art der verarbeiteten Daten hängt maßgeblich von den Informationen ab, die der Nutzer durch die Spracherkennung in die Software eingibt. Der Nutzer hat die Möglichkeit, eine Vielzahl von Daten in natürlicher Sprache zu erfassen; diese sind im Hinblick auf den Zweck der Software und die Datenverarbeitung insbesondere:

Identifikationsdaten des Patienten:

• Patienten-ID

Versicherungsstatus des Patienten

Gesundheitsdaten und Behandlungsinformationen:

• Befundaufnahme

• Diagnose- und Behandlungsdaten

• Behandlungsdauer

• Informationen zu durchgeführten Behandlungen: Z.B. zahnärztliche Eingriffe und Untersuchungen

• Zusätzliche Anmerkungen oder Kommentare, die für die Dokumentation und Behandlung relevant sind

Abrechnungsdaten:

• Abrechnungspositionen: Positionen der erbrachten Leistungen

Stimmaufzeichnungen:

• Sprachaufzeichnungen: Aufzeichnungen der Ärzte, Praxismitarbeiter, anderer Nutzer die für die Dokumentation der Behandlungen verwendet werden.

Nutzerdaten (Zahnärzte, Praxismitarbeiter, andere Nutzer):

• Nutzername: Identifikation der Nutzer in der Software

• Zugriffs- und Nutzungsdaten: Daten zur Nutzung der Software

Die Software verarbeitet die sprachlich eingegebenen Informationen. Es liegt in der Verantwortung des Auftraggebers bzw. Nutzers, sicherzustellen, dass alle eingegebenen Informationen den geltenden Datenschutzbestimmungen entsprechen, insbesondere, dass nur die notwendigen Daten in die Software eingegeben werden (z.B. sollen keine Klarnamen des Patienten oder anderer Personen eingegeben werden) und dass insbesondere die ärztliche Schweigepflicht, soweit anwendbar, eingehalten und für deren Einhaltung Sorge getragen wird.

Anlage 3

1. Technische Maßnahmen

Hetzner Cloud

Unser Unternehmen nutzt die Hetzner Cloud, einen deutschen Cloud-Service Anbieter mit Rechenzentren in Nürnberg. Die Infrastruktur ist nach ISO/IEC 27001 und C5 zertifiziert. Dieser setzt hohe Standards für Informationssicherheits-Managementsysteme voraus.

StackIT

Unser Unternehmen nutzt die StackIT Cloud, einen deutschen Cloud-Service Anbieter mit Rechenzentren in Deutschland und Österreich. Die Infrastruktur ist nach ISO/IEC 27001 und C5 zertifiziert. Dieser setzt hohe Standards für Informationssicherheits-Managementsysteme voraus.

Firewall

• Implementierung einer Firewall, die nur notwendige Verbindungen zulässt.

• Restriktive Konfiguration der Firewall zur Minimierung von unbefugten Zugriffen und Sicherheitsrisiken.

Sonstige Maßnahmen

• Zugriff auf die Server ist ausschließlich für autorisierte Nutzer mit einem spezifischen SSH-Key möglich.

• Zugriff auf Server über die Hetzner-Oberfläche ist nicht möglich.

• Nutzung von Server Access Monitoring, das regelmäßig von uns überwacht wird.

• Alle administrativen Zugänge (StackIT Web Portal, Hetzner Web Portal, SSH Keys) sind mit einem zweiten Faktor gesichert.

Datenübertragung

Maßnahmen, die geeignet sind, die Vertraulichkeit und Integrität von Daten während der Übertragung zu gewährleisten.

• Alle Datenübertragungen erfolgen ausschließlich verschlüsselt über SSL/TLS. Dies stellt sicher, dass Daten vor unbefugtem Zugriff während der Übertragung geschützt sind.

Datenbankzugriff

Maßnahmen, die geeignet sind, den Zugriff auf die Datenbank, die API und die Nutzerauthentifizierung zu schützen.

• Der Zugriff auf die Datenbank erfolgt verschlüsselt und authentifiziert über Nutzername und Passwort (PostgreSQL).

• Nur die API kennt die Zugangsdaten (Benutzername und Passwort) zur Datenbank, wodurch direkter Zugriff durch andere Systeme ausgeschlossen wird

API-Sicherheit

• Nur die API hat Zugriff auf die Datenbank und ist durch eine eigene Authentifizierung geschützt.

• Die API ist so konfiguriert, dass sie nur auf notwendige Daten zugreifen kann. Der Zugriff ist auf spezifische Endpunkte beschränkt, wodurch vollständige Datenbankabfragen und SQL-Injections ausgeschlossen werden.

Nutzerauthentifizierung:

• Die Authentifizierung der Nutzer erfolgt passwortbasiert. Passwörter werden ausschließlich als kryptografische Hashes mittels aktueller, adaptiver Hash-Verfahren gemäß OWASP-Empfehlung gespeichert.

• Authentifizierungstokens werden kryptografisch signiert. Die Integrität und Authentizität der Tokens wird bei jedem Zugriff serverseitig überprüft.

Environments:

• Es wurden separate Environments für Entwicklung (DEV) und Produktion (LIVE) eingeführt.

• Diese Environments sind strikt voneinander getrennt, um Daten- und Systemsicherheit zu gewährleisten.

• Das Live-Environment ist besonders gesichert, und Live-Daten werden ausschließlich dort verarbeitet. In anderen Environments sind keine Live-Daten vorhanden.

2. Organisatorische Maßnahmen

Mitarbeiterzugriff

• Mitarbeiter haben keinen direkten Zugriff auf die Datenbank.

• Der Zugriff erfolgt ausschließlich über ein Content-Management-System (CMS), bei dem sich die Mitarbeiter mit einem gesonderten Account und Passwort authentifizieren müssen.

• Hinter dem CMS steht eine zusätzliche API, die den Zugriff auf die Daten weiter einschränkt.

• Mitarbeiter sehen ausschließlich die Daten, für die sie berechtigt sind, und können nur Änderungen an Daten vornehmen, für die sie entsprechende Befugnisse besitzen.

Pseudonymisierung

• Der Auftraggeber bzw. Nutzer ist selbst dafür verantwortlich, ausschließlich die erforderlichen Daten in die Software einzugeben und sicherzustellen, dass insbesondere die ärztliche Schweigepflicht – soweit anwendbar – gewahrt bleibt. Um einen direkten Personenbezug zu vermeiden, sollen keine Klarnamen von Patienten oder anderen Personen erfasst werden. Die an Microsoft übermittelten Daten haben dann insoweit keinen Personenbezug. Auf Hetzner-Servern werden pseudonymisierte Behandlungsdaten verarbeitet bzw. gespeichert, d.h. lediglich mit einer Patienten-Id.

Verfügbarkeit und Wiederherstellung von Daten

• Für alle bei Hetzner gehosteten Daten werden täglich automatische Backups der Server durchgeführt. Im Falle eines Datenverlustes ist dadurch eine zeitnahe Wiederherstellung sichergestellt.

• Für die Datenbanken werden zusätzlich zu den täglichen Backups weitere, kontinuierliche Backups angefertigt, die die Wiederherstellung eines beliebigen Zeitpunkts innerhalb der letzten 30 Tage zulassen (Point-in-Time-Recovery).

Belastbarkeit der Systeme

• Unsere Systeme werden regelmäßig auf ihre Belastbarkeit und Performance geprüft, um auch bei erhöhten Zugriffszahlen eine stabile Verfügbarkeit zu gewährleisten.

• Die Infrastruktur bei Hetzner ist so ausgelegt, dass sie bei Bedarf skaliert werden kann, um erhöhte Nutzerzugriffe zu bewältigen.

Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen

• Es wird regelmäßig überprüft, ob alle eingesetzten Tools und Softwarekomponenten (z. B. die PostgreSQL-Datenbank) den aktuellen Sicherheitsstandards entsprechen.

• Bei Feststellung von notwendigen Updates oder Sicherheitspatches werden diese zeitnah implementiert, um potenzielle Sicherheitslücken zu schließen.

• Dieser kontinuierliche Überprüfungsprozess stellt sicher, dass unsere Systeme stets vor neu identifizierten Bedrohungen geschützt sind und den aktuellen Sicherheitsanforderungen gerecht werden.

Anlage 4

Subunternehmer des Auftragnehmers

Microsoft

Microsoft Ireland Operations Limited

One Microsoft Place

South County Business Park

Leopardstown

Dublin 18, D18 P521, Irland

• Dienstleistungen bzw. Zweck der Verarbeitung:

• Azure Cloud: Infrastruktur- und Plattformdienste, einschließlich Spracherkennungstechnologien; eine dauerhafte Speicherung der Daten (insbesondere Sprachaufzeichnungen und der transkribierten Texte) in der Azure-Cloud findet nicht statt.

• Office 365: Bereitstellung von Produktivitätsanwendungen und Cloud-Diensten.

• Datenverarbeitung in Drittländern:

• Microsoft speichert und verarbeitet Daten primär innerhalb der Europäischen Union (EU), insbesondere in der von uns gewählten Azure-Region (Frankfurt, Deutschland). In bestimmten Fällen kann es erforderlich sein, dass Daten in Länder außerhalb der EU, einschließlich der USA, übertragen werden. In solchen Fällen stellt Microsoft sicher, dass angemessene Schutzmaßnahmen ergriffen werden. Für Übermittlungen personenbezogener Daten aus der EU gelten die Standardvertragsklauseln (SCCs) der Europäischen Kommission von 2021, die Microsoft implementiert hat. Darüber hinaus ist Microsoft nach dem EU-U.S. Data Privacy Framework zertifiziert.

Hetzner

Hetzner Online GmbH

Industriestraße 25

91710 Gunzenhausen

Deutschland

• Dienstleistungen bzw. Zweck der Verarbeitung: Webhosting und Cloud-Dienste.

• Datenverarbeitung in Drittländern:

• Hetzner verarbeitet Daten grundsätzlich innerhalb der Europäischen Union. Falls Daten außerhalb der EU verarbeitet werden, werden geeignete Sicherheitsmaßnahmen ergriffen, um den Datenschutz gemäß der DSGVO zu gewährleisten.

Stackit

Schwarz Digits Cloud GmbH & Co. KG
Stiftsbergstraße 1
74172 Neckarsulm
Sitz: Neckarsulm

Dienstleistungen bzw. Zweck der Verarbeitung: Webhosting und Cloud-Dienste.

• Datenverarbeitung in Drittländern:

• Hetzner verarbeitet Daten grundsätzlich innerhalb der Europäischen Union. Falls Daten außerhalb der EU verarbeitet werden, werden geeignete Sicherheitsmaßnahmen ergriffen, um den Datenschutz gemäß der DSGVO zu gewährleisten.