Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Hinweis für Therapeut:innen (Verantwortliche): Dieser Vertrag wird zwischen Ihnen als Verantwortlichem und uns als Auftragsverarbeiter geschlossen, sobald Sie den AGB bei der Registrierung zustimmen. Er ist gesetzlich vorgeschrieben, wenn Dritte (wir) Gesundheitsdaten in Ihrem Auftrag verarbeiten.

§ 1 Gegenstand und Dauer des Vertrages

(1) Dieser Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Nutzung der Plattform "Falldenken". Der Auftragnehmer (Falldenken) verarbeitet hierbei personenbezogene Daten im Auftrag des Auftraggebers (Therapeut:in).

(2) Gegenstand der Verarbeitung ist die Unterstützung bei der Erstellung von Berichtsentwürfen für Psychotherapieanträge auf Grundlage der durch den Verantwortlichen bereitgestellten Inhalte.

(3) Die Verarbeitung erfolgt ausschließlich für die Dauer der Nutzung der Plattform sowie des bestehenden Nutzerkontos. Der Vertrag endet automatisch mit Löschung des Nutzerkontos, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 2 Art und Zweck der Verarbeitung, Kreis der Betroffenen

(1) Art der Verarbeitung: Der Auftragnehmer erhebt, speichert, verändert, liest aus und übermittelt Daten (Upload von PDFs, Texteingaben, Download von Berichten) ausschließlich über die verschlüsselte Online-Plattform.

(2) Die Verarbeitung umfasst insbesondere:

  • Erhebung, Speicherung und Strukturierung von Falldaten
  • Verarbeitung von Texten und Dokumenten
  • Erstellung von Berichtsentwürfen
  • Speicherung und Bereitstellung der Ergebnisse

(3) Zweck der Verarbeitung ist ausschließlich die technische und fachliche Unterstützung bei der Erstellung psychotherapeutischer Berichtsentwürfe.

(4) Art der Daten: Es werden Gesundheitsdaten gem. Art. 9 DSGVO (z.B. Diagnosen, Symptombeschreibungen, biographische Anamnese, Behandlungsverlauf) verarbeitet. Der Auftraggeber ist angewiesen, keine direkten Identifikationsdaten (wie Klarnamen, vollständige Adressen) hochzuladen, sondern Aliase zu verwenden.

(5) Kreis der Betroffenen: Patient:innen des Verantwortlichen.

§ 3 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung (z.B. Einholung von Einwilligungen und Schweigepflichtsentbindungen der Patient:innen) allein verantwortlich.

(2) Der Auftraggeber verpflichtet sich, Daten vor der Übermittlung an den Auftragnehmer angemessen zu pseudonymisieren.

(3) Der Auftraggeber hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (TOMs) zu überzeugen.

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer darf Daten von Betroffenen nur im Rahmen des Auftrags und nach dokumentierten Weisungen des Auftraggebers verarbeiten.

(2) Verschwiegenheit (§ 203 StGB): Der Auftragnehmer ist sich der Tatsache bewusst, dass die verarbeiteten Daten der ärztlichen/psychotherapeutischen Schweigepflicht nach § 203 StGB unterliegen. Er sichert zu, dass sich alle mit der Datenverarbeitung befassten Mitarbeiter vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet haben und über die Folgen einer Verletzung der Schweigepflicht belehrt wurden.

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen der Betroffenen (z.B. Auskunfts- oder Löschungsanfragen) sowie — im Rahmen seiner technischen Möglichkeiten — bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).

(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat angemessene technische und organisatorische Maßnahmen zur Sicherung der Daten umgesetzt (Art. 32 DSGVO). Dazu gehören insbesondere:

  • Zutritts- und Zugangskontrolle: Abgesicherte Rechenzentren des Hosters, Zwei-Faktor-Authentifizierung für administrative Server-Zugänge.
  • Zugriffskontrolle: Striktes Rollenkonzept in der Applikation. Nutzer sehen nur ihre eigenen Daten.
  • Verschlüsselung: TLS-Verschlüsselung bei der Datenübertragung (Transportverschlüsselung) sowie kryptografische Verschlüsselung der hochgeladenen Dokumente auf Dateiebene (Data at Rest).
  • Verfügbarkeitskontrolle: Regelmäßige Backups der Datenbank.

§ 6 Unterauftragsverhältnisse (Subunternehmer)

(1) Der Auftraggeber stimmt der Beauftragung der folgenden Unterauftragnehmer zur Erbringung der Leistung zu:
Hostinger International Ltd. (Server-Hosting und SMTP-Versand, Rechenzentrums-Standort: Frankfurt am Main, Deutschland).

(2) Ein Wechsel des Hosters oder die Hinzuziehung weiterer Dienstleister für die Verarbeitung der sensiblen Daten ist dem Auftraggeber vorab anzuzeigen. Dem Auftraggeber steht ein Einspruchsrecht zu.

§ 7 Datengeheimnis und § 203 StGB

(1) Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung befassten Personen zur Verschwiegenheit verpflichtet sind.

(2) Dies umfasst insbesondere die strafrechtliche Schweigepflicht nach § 203 StGB für alle als berufliche Gehilfen tätigen Personen.

(3) Eine Offenlegung personenbezogener Daten gegenüber Dritten erfolgt nicht.

§ 8 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Verantwortlichen (Art. 33 Abs. 2 DSGVO), damit dieser seine eigenen Meldepflichten — insbesondere die 72-Stunden-Frist des Art. 33 Abs. 1 DSGVO gegenüber der Aufsichtsbehörde — einhalten kann.

§ 9 Rückgabe und Löschung der Daten

(1) Nach Abschluss der Verarbeitung werden sämtliche in den Besitz des Auftragnehmers gelangten patientenbezogenen Daten, Dokumente und erstellten Berichte datenschutzgerecht und unwiderruflich gelöscht bzw. auf Weisung des Verantwortlichen zurückgegeben — spätestens automatisch mit Ablauf der vereinbarten Aufbewahrungsfrist von 180 Tagen nach Erstellung; auf Weisung des Verantwortlichen (Löschfunktion im Dashboard) auch jederzeit früher.

(2) Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 10 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.

(2) Dieser AVV ergänzt die jeweils gültigen Nutzungsbedingungen (AGB) der Plattform.

Stand: Juli 2026