FunktionenSicherheitRatgeberFAQ

Preise & Pakete

Kostenlos
30 Tage testen
Premium Monatlich
39,99 € inkl. MwSt.
Premium Jährlich
439 € (Bestpreis) inkl. MwSt.
Kostenlos registrieren

Vertrag zur Auftragsverarbeitung

AVV gemäß Art. 28 DSGVO

Zwischen

dem Nutzer / der Praxis (Heilpraktiker)

nachfolgend „Verantwortlicher“ genannt

und

Jan Koppius

HeilPraxisAssistent

Oberthstr. 15

33104 Paderborn

nachfolgend „Auftragsverarbeiter“ genannt

1. Gegenstand und Dauer des Auftrags

(1) Gegenstand dieses Vertrages ist die Bereitstellung der Software „HeilPraxisAssistent“ als Service (SaaS) zur Verwaltung von Praxisdaten, Terminplanung und Abrechnung sowie die damit verbundene verschlüsselte Speicherung (Cloud-Synchronisation) von Daten auf den Servern des Auftragsverarbeiters.

(2) Die Dauer dieses Vertrages richtet sich nach der Laufzeit der Nutzungsvereinbarung (Abonnement) für die Software.

2. Art der Daten und Kreis der Betroffenen

Im Rahmen der Softwarenutzung werden folgende Datenkategorien verarbeitet:

  • Patientenstammdaten: Name, Adresse, Geburtsdatum, Kontaktdaten.
  • Gesundheitsdaten (Art. 9 DSGVO): Diagnosen, Behandlungsnotizen, ICD-10 Codes, Rechnungsdaten gemäß GebüH.
  • Termindaten: Sitzungen und Besuche.

Kreis der Betroffenen: Patienten des Verantwortlichen.

Besonderer Hinweis (Zero-Knowledge-Architektur): Sämtliche der oben genannten Daten werden ausschließlich lokal auf dem Endgerät des Verantwortlichen verschlüsselt (AES-GCM 256-Bit), bevor sie an den Auftragsverarbeiter übermittelt werden. Der Auftragsverarbeiter hat zu keinem Zeitpunkt Zugriff auf den Klartext der Daten oder die kryptografischen Schlüssel.

3. Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten durch entsprechende Export- und Lösch-Werkzeuge direkt in der Software.

4. Technisch-organisatorische Maßnahmen (TOMs)

  • Verschlüsselung: Durchgehende Client-Side-Encryption mit AES-GCM 256-Bit. Schlüsselableitung erfolgt lokal via PBKDF2 (600.000 Iterationen).
  • Zugangskontrolle: Absicherung der Server durch Firewalls, SSH-Key-Authentication und Beschränkung administrativer Zugänge.
  • Verfügbarkeitskontrolle: Regelmäßige automatisierte Backups (verschlüsselt).
  • Trennungskontrolle: Logische Mandantentrennung auf Datenbankebene.

5. Unterauftragsverhältnisse

Der Auftragsverarbeiter bedient sich der folgenden Unterauftragsverarbeiter, denen der Verantwortliche hiermit zustimmt:

  • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland): Server-Hosting und Speicherung der verschlüsselten Datenbanken in Rechenzentren in Deutschland.

Ein entsprechender AVV zwischen dem Auftragsverarbeiter und der Hetzner Online GmbH liegt vor.

6. Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung und für die Wahrung der Betroffenenrechte allein verantwortlich.

(2) Der Verantwortliche ist allein verantwortlich für die sichere Aufbewahrung seines Master-Passworts und Notfallschlüssels.

7. Löschung der Daten nach Auftragsende

Nach Beendigung des Abonnements und Ablauf etwaiger Übergangsfristen löscht der Auftragsverarbeiter alle verarbeiteten (verschlüsselten) Datenströme, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Dieser Vertrag wird elektronisch geschlossen und ist durch die Bestätigung der AGB / Datenschutzbestimmungen im Rahmen der Registrierung in der App für beide Seiten bindend.

Gültig ab: April 2026