Vertrag zur Auftragsverarbeitung
Datenschutzrechtliche Vereinbarung für die Verarbeitung personenbezogener Daten im Auftrag der Praxis.
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Dokument: Vertrag zur Auftragsverarbeitung (AVV)
Version: 1.4
Stand: 17.06.2026
Status: Produktion – Pilot
Auftragsverarbeiter: Jan Jerusalem, handelnd unter der Geschäftsbezeichnung „Flurin”, Freiburger Str. 25, 79853 Lenzkirch
Verantwortlicher: jeweilige Praxis gemäß Vertrag / Praxiskonto
Geltungsbereich: Verträge mit Praxen mit Sitz in Deutschland; Nutzung außerhalb Deutschlands nur nach gesonderter Freischaltung oder Vereinbarung
Hauptvertrag: Allgemeine Geschäftsbedingungen für Praxen, Leistungsbeschreibung und jeweils gebuchte Leistungen
Aufsichtsbehörde (Flurin): Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg)
1. Präambel
1.1 Hintergrund
Flurin stellt Praxen eine cloudbasierte Software-as-a-Service-Plattform zur digitalen Organisation von Wartelisten, Terminlücken, Aufnahmeformularen, Patientenkommunikation und weiteren administrativen Praxisprozessen bereit.
Im Rahmen der Nutzung der Plattform verarbeitet Flurin personenbezogene Daten im Auftrag der jeweiligen Praxis. Hierzu können insbesondere Patientendaten und Gesundheitsdaten gehören.
1.2 Zweck dieses Vertrags
Dieser Vertrag zur Auftragsverarbeitung regelt die datenschutzrechtlichen Rechte und Pflichten zwischen der Praxis als Verantwortlichem und Flurin als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
Er ergänzt die Allgemeinen Geschäftsbedingungen für Praxen, die Leistungsbeschreibung, die technischen und organisatorischen Maßnahmen sowie sonstige zwischen Flurin und der Praxis vereinbarte Vertragsdokumente.
1.3 Rollenverteilung
Die Praxis entscheidet über Zwecke und Mittel der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Plattform. Flurin verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung der Praxis, soweit Flurin nicht aufgrund zwingender gesetzlicher Vorschriften zu einer abweichenden Verarbeitung verpflichtet ist.
1.4 Keine eigene therapeutische Leistung
Durch diesen Vertrag entsteht kein Behandlungsvertrag, Beratungsvertrag oder sonstiges therapeutisches Rechtsverhältnis zwischen Flurin und Patientinnen oder Patienten. Flurin erbringt ausschließlich technische und organisatorische Unterstützungsleistungen für die Praxis.
1.5 Betriebsmodell in der Pilot- und Aufbauphase
Flurin befindet sich in einer frühen Aufbauphase und wird durch ein kleines agiles Team betrieben. Die technischen und organisatorischen Maßnahmen sind so gestaltet, dass sie mit einer schlanken, dokumentierten und realistisch umsetzbaren Betriebsorganisation eingehalten werden können. Maßgeblich ist nicht die Existenz formaler Konzern- oder Enterprise-DevOps-Prozesse, sondern ein dem Risiko angemessenes und tatsächlich gelebtes Schutzniveau.
2. Begriffsbestimmungen
2.1 Einheitliche Begriffe
Die in den Allgemeinen Geschäftsbedingungen für Praxen definierten Begriffe gelten auch für diesen Vertrag, soweit in diesem Vertrag nichts Abweichendes geregelt ist.
2.2 Personenbezogene Daten
„Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
2.3 Verarbeitung
„Verarbeitung” bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Bereitstellen, Abgleichen, Einschränken, Löschen oder Vernichten.
2.4 Patientendaten
„Patientendaten” sind personenbezogene Daten von Patientinnen und Patienten, die im Rahmen der Nutzung der Plattform verarbeitet werden, insbesondere Stammdaten, Kontaktdaten, Termindaten, Wartelistendaten, Kommunikationsdaten und gesundheitsbezogene Angaben.
2.5 Gesundheitsdaten
„Gesundheitsdaten” sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
2.6 Unterauftragsverarbeiter
„Unterauftragsverarbeiter” sind weitere Auftragsverarbeiter, die Flurin zur Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag der Praxis einsetzt.
2.7 Produktivdaten
„Produktivdaten” sind personenbezogene Daten, die im produktiven Betrieb der Plattform verarbeitet werden, insbesondere Praxisdaten, Patientendaten und Gesundheitsdaten.
3. Gegenstand, Art und Zweck der Verarbeitung
3.1 Gegenstand der Verarbeitung
Gegenstand der Verarbeitung ist die technische Bereitstellung, der Betrieb, die Wartung, die Sicherung, der Support und die Weiterentwicklung der Flurin-Plattform im Auftrag der Praxis.
3.2 Zwecke der Verarbeitung
Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:
- Einrichtung und Verwaltung eines Praxiskontos,
- Verwaltung von Nutzerkonten und Berechtigungen,
- Bereitstellung digitaler Aufnahmeformulare,
- Erfassung und Verwaltung von Patientinnen und Patienten auf Wartelisten,
- Organisation von Terminlücken und kurzfristigen Terminangeboten,
- technische Unterstützung eines Springersystems,
- technische Übermittlung von Patientenkommunikation im Namen der Praxis,
- Speicherung, Anzeige, Export und Löschung von Praxis- und Patientendaten,
- Bereitstellung von Supportleistungen,
- Sicherstellung von Verfügbarkeit, Integrität, Vertraulichkeit und Belastbarkeit der Plattform,
- Fehleranalyse, Protokollierung und Missbrauchsprävention,
- Durchführung von Backups und Wiederherstellungsmaßnahmen,
- Umsetzung dokumentierter Weisungen der Praxis.
3.3 Art der Verarbeitung
Die Verarbeitung kann insbesondere folgende Vorgänge umfassen:
- Erheben,
- Erfassen,
- Speichern,
- Strukturieren,
- Anzeigen,
- Übermitteln,
- Bereitstellen,
- Abgleichen,
- Auswerten im Rahmen der vereinbarten Plattformfunktionen,
- Einschränken,
- Exportieren,
- Löschen,
- Anonymisieren,
- Sichern und Wiederherstellen.
3.4 Umfang der Verarbeitung
Der konkrete Umfang der Verarbeitung richtet sich nach der Nutzung der Plattform durch die Praxis, den aktivierten Funktionen, den eingegebenen Daten, der gebuchten Leistung und den Weisungen der Praxis.
3.5 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des zugrunde liegenden Vertragsverhältnisses zwischen Flurin und der Praxis. Nach Vertragsende gelten die Regelungen dieses Vertrags zur Rückgabe, Löschung, Anonymisierung und Aufbewahrung von Daten.
4. Kategorien betroffener Personen und personenbezogener Daten
4.1 Kategorien betroffener Personen
Die Verarbeitung kann sich insbesondere auf folgende Kategorien betroffener Personen beziehen:
- Patientinnen und Patienten,
- gesetzliche Vertreterinnen und Vertreter von Patientinnen und Patienten,
- Eltern, Sorgeberechtigte oder sonstige Kontaktpersonen,
- Interessentinnen und Interessenten an einer Behandlung,
- Nutzerinnen und Nutzer des Praxiskontos,
- Mitarbeitende und Beauftragte der Praxis,
- Ansprechpartnerinnen und Ansprechpartner der Praxis.
4.2 Kategorien personenbezogener Daten
Je nach Nutzung der Plattform können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:
- Stammdaten,
- Kontaktdaten,
- Kommunikationsdaten,
- Daten aus Aufnahmeformularen,
- Wartelistendaten,
- Termindaten,
- Verfügbarkeiten und Präferenzen,
- Angaben zur Behandlungsanfrage,
- Angaben zu Heilmittelbereichen oder Therapiewünschen,
- organisatorische Praxisdaten,
- Nutzer- und Berechtigungsdaten,
- Login- und Authentifizierungsdaten,
- technische Protokoll- und Metadaten,
- Supportdaten,
- Abrechnungs- und Vertragsdaten, soweit diese im Auftrag verarbeitet werden.
4.3 Besondere Kategorien personenbezogener Daten
Die Verarbeitung kann besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO umfassen, insbesondere Gesundheitsdaten.
Hierzu zählen insbesondere Angaben zu Beschwerden, Behandlungsbedarf, Heilmittelbereich, therapeutischer Anfrage, Diagnoseangaben, Verordnungsbezug oder sonstige gesundheitsbezogene Informationen, soweit die Praxis oder Patientinnen und Patienten diese über die Plattform erfassen.
4.4 Daten von Minderjährigen
Je nach Praxis und Nutzung der Plattform können Daten von Minderjährigen verarbeitet werden. Die Praxis bleibt verantwortlich für die Prüfung und Einhaltung der hierfür geltenden gesetzlichen Anforderungen, insbesondere hinsichtlich Vertretungsbefugnis, Einwilligung, Informationspflichten und Kommunikation mit Sorgeberechtigten.
5. Verantwortlichkeit der Praxis
5.1 Verantwortlicher
Die Praxis ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Patientendaten und sonstigen personenbezogenen Daten, soweit sie über Zwecke und Mittel der Verarbeitung entscheidet.
5.2 Rechtmäßigkeit der Verarbeitung
Die Praxis ist verantwortlich für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Dies umfasst insbesondere:
- das Vorliegen geeigneter Rechtsgrundlagen,
- die Einhaltung der Anforderungen an die Verarbeitung von Gesundheitsdaten,
- die Erfüllung der Informationspflichten gegenüber betroffenen Personen,
- die Einholung erforderlicher Einwilligungen,
- die Erfüllung berufsrechtlicher und gesetzlicher Pflichten,
- die Prüfung von Aufbewahrungs- und Löschpflichten,
- die Bearbeitung von Betroffenenrechten,
- die Bewertung, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
5.3 Inhalte und Weisungen
Die Praxis ist verantwortlich für sämtliche Inhalte, Daten und Weisungen, die sie oder ihre Nutzer in die Plattform einstellen, dort verarbeiten oder über die Plattform übermitteln.
Flurin prüft Patientendaten und Kommunikationsinhalte nicht auf medizinische, therapeutische, rechtliche oder sachliche Richtigkeit.
5.4 Datenschutzinformationen der Praxis
Die Praxis ist verantwortlich dafür, dass Patientinnen und Patienten die erforderlichen Datenschutzinformationen der Praxis erhalten.
Soweit die Praxis eigene Links zu Impressum, Datenschutzhinweisen oder sonstigen rechtlichen Informationen innerhalb der Plattform hinterlegt, ist die Praxis für deren Richtigkeit, Aktualität und Rechtmäßigkeit verantwortlich.
5.5 Mitwirkung der Praxis
Die Praxis wirkt angemessen mit, soweit dies für eine sichere und rechtmäßige Verarbeitung erforderlich ist. Hierzu gehören insbesondere die Pflege aktueller Kontaktdaten, die sachgerechte Vergabe von Nutzerrechten, die Nutzung sicherer Endgeräte und die datensparsame Gestaltung von Aufnahmeformularen und Patientenkommunikation.
6. Pflichten von Flurin als Auftragsverarbeiter
6.1 Weisungsgebundene Verarbeitung
Flurin verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der Praxis, soweit Flurin nicht durch das Recht der Europäischen Union, eines Mitgliedstaats oder sonstiges anwendbares Recht zu einer Verarbeitung verpflichtet ist.
In einem solchen Fall informiert Flurin die Praxis vor der Verarbeitung über diese rechtliche Anforderung, sofern das betreffende Recht eine solche Information nicht wegen eines wichtigen öffentlichen Interesses verbietet.
6.2 Verbot der Verarbeitung zu eigenen Zwecken
Flurin verarbeitet Patientendaten nicht zu eigenen Zwecken, insbesondere nicht für eigene Werbung, Profilbildung, Verkauf, eigenständige Patientenvermittlung oder eigene medizinische Analysen.
Eine Verarbeitung anonymisierter oder aggregierter Daten zu Zwecken der Sicherheit, Stabilität, Produktverbesserung oder statistischen Analyse ist zulässig, sofern ein Personenbezug nicht mehr besteht und eine Re-Identifizierung nach angemessenen Maßstäben ausgeschlossen ist.
6.3 Vertraulichkeit
Flurin stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Dies gilt insbesondere für Gründer, Mitarbeitende, freie Mitarbeitende, technische Dienstleister und sonstige beauftragte Personen, soweit sie Zugriff auf personenbezogene Daten oder produktive Systeme erhalten können.
6.4 Verbindliche Verpflichtung nach § 203 StGB (Berufsgeheimnis)
6.4.1 Berücksichtigung des Behandlungskontexts
Flurin berücksichtigt, dass über die Plattform Daten aus einem besonders vertraulichen Behandlungskontext verarbeitet werden können. Soweit die Praxis berufsrechtlichen oder strafrechtlichen Verschwiegenheitspflichten unterliegt, unterstützt Flurin die Praxis durch Vertraulichkeitsverpflichtungen, Zugriffsbeschränkungen und datensparsame Prozesse.
6.4.2 Einordnung von Flurin als sonstige mitwirkende Person
Soweit Angehörige der in der Praxis tätigen Heilberufe einer strafbewehrten Schweigepflicht nach § 203 Abs. 1 StGB unterliegen, wirkt Flurin durch die technische Bereitstellung, den Betrieb, die Wartung, die Sicherung und den Support der Plattform an deren beruflicher Tätigkeit mit, ohne selbst Berufsgeheimnisträger zu sein. Flurin ist damit „sonstige mitwirkende Person” im Sinne von § 203 Abs. 3 Satz 2 StGB. Die berufsrechtliche Einordnung der konkret in der Praxis tätigen Berufsgruppe richtet sich nach den jeweils einschlägigen Vorschriften und obliegt der Praxis.
6.4.3 Verbindliche Geheimhaltungsverpflichtung
Flurin verpflichtet sich gegenüber der Praxis verbindlich zur Geheimhaltung nach § 203 Abs. 3, 4 StGB hinsichtlich aller Geheimnisse, die Flurin im Rahmen der Mitwirkung an der beruflichen Tätigkeit der Praxis zur Kenntnis gelangen. Flurin stellt sicher, dass alle für Flurin handelnden Personen sowie alle eingesetzten Unterauftragsverarbeiter mit möglicher Zugriffsmöglichkeit auf geschützte Geheimnisse vor Aufnahme des Zugriffs zur Geheimhaltung nach § 203 StGB beziehungsweise zu einer inhaltlich gleichwertigen Verschwiegenheitspflicht verpflichtet werden (Weiterverpflichtungskette nach § 203 Abs. 4 StGB). Damit erfüllt Flurin die Voraussetzung des § 203 Abs. 4 Satz 2 Nr. 1 StGB, dass die mitwirkende Person zur Geheimhaltung verpflichtet ist.
6.4.4 Maßgebliche Ausgestaltung in Anlage 5
Die nähere Ausgestaltung dieser Verpflichtung, die Weiterverpflichtung der Unterauftragsverarbeiter, die Statusführung sowie der Hinweis auf die Strafbarkeit nach § 203 Abs. 4 Satz 1 StGB ergeben sich aus der Verpflichtungserklärung zur Geheimhaltung nach § 203 Abs. 3, 4 StGB (Anlage 5). Anlage 5 ist Bestandteil dieses Vertrags und konkretisiert die §§ 6.3, 6.4 und 9 sowie Anlage 3. Im Falle eines Verstoßes gelten ergänzend § 13 (Meldung von Verletzungen) und § 21 (Haftung).
6.5 Zugriffsbeschränkung
Flurin stellt sicher, dass interne Zugriffe auf Produktivdaten auf das erforderliche Maß beschränkt werden. Zugriffe erfolgen grundsätzlich nur aus berechtigtem Anlass, insbesondere zur Fehleranalyse, zur Bearbeitung einer Supportanfrage, zur Sicherheitsprüfung, zur Wiederherstellung oder zur Umsetzung einer dokumentierten Weisung.
6.6 Unterstützung der Praxis
Flurin unterstützt die Praxis nach Maßgabe dieses Vertrags angemessen bei der Erfüllung ihrer datenschutzrechtlichen Pflichten, soweit dies durch die Art der Verarbeitung möglich ist und die hierfür erforderlichen Informationen Flurin zur Verfügung stehen.
6.7 Nachweispflichten
Flurin stellt der Praxis die erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen, soweit diese Informationen nicht bereits über Rechtstexte, Sicherheitsdokumentation, TOMs, Subprocessor-Listen, Zertifikate, Prüfberichte oder vergleichbare Nachweise bereitgestellt werden.
6.8 Cloud-Sicherheitsnachweise und § 393 SGB V
6.8.1 Hintergrund
Soweit die Praxis als Leistungserbringer im Sinne des Vierten Kapitels des SGB V von § 393 SGB V (Cloud-Einsatz im Gesundheitswesen) erfasst ist, kann die Verarbeitung von Sozial- und Gesundheitsdaten im Wege eines Cloud-Computing-Dienstes ein aktuelles C5-Testat (BSI-Kriterienkatalog Cloud Computing Compliance Criteria Catalogue) der datenverarbeitenden Stelle voraussetzen. Ob § 393 SGB V auf die Pilotpraxen als Heilmittelerbringer Anwendung findet, ist Gegenstand einer noch laufenden abschließenden anwaltlichen Klärung; bis zu deren Abschluss behandelt Flurin die Anforderungen vorsorglich.
6.8.2 Datenverarbeitende Stelle und maßgeblicher Nachweis
Nach der dokumentierten Architektur werden alle produktiven Praxis-, Patienten- und Gesundheitsdaten ausschließlich im Backend und in der PostgreSQL-Datenbank bei Hetzner (Deutschland) verarbeitet (vgl. § 10.2, Anlage 3). Maßgebliche datenverarbeitende Stelle für eine § 393-Bewertung ist damit Hetzner. Für Hetzner liegt ein BSI-C5-Testat des Typs 2 (Katalog C5:2020) vor; der Geltungsbereich (Scope) des Testats deckt die für Flurin genutzte Produktlinie und Region ab. Dies wurde anhand des Testats geprüft.
6.8.3 Nachrangige Anbieter
Bunny.net (Frontend, CDN, DNS), Hanko (Authentifizierung) und Brevo (E-Mail-Versand) verarbeiten nach aktueller Architektur keine produktiven Gesundheits- oder Sozialdatensätze; ihre § 393-Relevanz ist gering. Bunny.net ist nach Anbieterangaben ISO/IEC 27001 zertifiziert. Die Auftragsverarbeitungsvereinbarungen sowie die Angaben zu Sub-Unterauftragnehmern und Drittlandübermittlungen von Brevo (DPF/Standarddatenschutzklauseln), Bunny.net und Hanko werden derzeit bestätigt und abgelegt; ihre Vollständigkeit wird vor Aufnahme der jeweiligen produktiven Verarbeitung sichergestellt.
6.8.4 Bereitgestellte Nachweise und Verweis auf das Nachweisdossier
Flurin stellt der Praxis die zur Bewertung des Cloud-Einsatzes erforderlichen Informationen zur Verfügung. Die Bewertung der Anwendbarkeit des § 393 SGB V, der C5-/Sicherheitsnachweis-Status der eingesetzten Anbieter, die verbleibenden Restrisiken sowie die Kompensationsmaßnahmen sind im C5-/§-393-SGB-V-Nachweisdossier dokumentiert. Das Original-C5-Testat von Hetzner liegt mit geprüftem, für die genutzte Produktlinie und Region passendem Geltungsbereich vor und wird im Dossier als Beleg referenziert. Flurin betreibt selbst keinen eigenen C5-zertifizierten Betrieb; der maßgebliche C5-Nachweis wird anbieterseitig durch Hetzner erbracht.
6.8.5 Transparenz zu Restrisiken
Der C5-Geltungsbereich des maßgeblichen Anbieters Hetzner ist geprüft und passend; die abschließende anwaltliche Klärung der Anwendbarkeit des § 393 SGB V auf Heilmittelerbringer ist noch nicht erfolgt und wird der Praxis gegenüber transparent gehalten. Die Praxis bleibt verantwortlich, ihre eigenen gesetzlichen und berufsrechtlichen Anforderungen an den Cloud-Einsatz (einschließlich § 393 SGB V) zu prüfen; Flurin stellt hierfür die erforderlichen Informationen (Nachweisdossier, Anbieter-Testate/-Zertifikate) bereit (vgl. §§ 6.6, 6.7, 14.1). Unberührt bleiben die allgemeinen Anforderungen aus Art. 32 DSGVO und § 203 StGB (§ 6.4, Anlage 5).
7. Weisungen der Praxis
7.1 Dokumentierte Weisungen
Die Weisungen der Praxis ergeben sich aus diesem Vertrag, den Allgemeinen Geschäftsbedingungen für Praxen, der Leistungsbeschreibung, den Einstellungen innerhalb der Plattform sowie sonstigen dokumentierten Weisungen der Praxis.
7.2 Weisungskanäle
Weisungen können insbesondere erfolgen durch:
- Konfiguration innerhalb des Praxiskontos,
- Nutzung bestimmter Plattformfunktionen,
- schriftliche oder elektronische Mitteilung an Flurin,
- Supportanfragen,
- vertragliche Vereinbarungen.
7.3 Prüfung von Weisungen
Flurin darf die Umsetzung einer Weisung aussetzen, wenn Flurin der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzvorschriften verstößt.
Flurin informiert die Praxis in einem solchen Fall unverzüglich, soweit dem keine gesetzlichen Verpflichtungen entgegenstehen.
7.4 Zusatzaufwand
Weisungen, die über den vereinbarten Leistungsumfang hinausgehen, können von Flurin von einer gesonderten Vergütung abhängig gemacht werden, soweit dies angemessen ist und der Praxis vorab mitgeteilt wurde.
7.5 Weisungen nach Vertragsende
Nach Vertragsende kann die Praxis Weisungen nur noch im Rahmen der Regelungen zur Datenrückgabe, Datenlöschung, gesetzlichen Aufbewahrung und technischen Abwicklung erteilen.
8. Technische und organisatorische Maßnahmen
8.1 Grundsatz
Flurin trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Dabei berücksichtigt Flurin insbesondere den Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für Rechte und Freiheiten natürlicher Personen.
8.2 Mindestbereiche
Die technischen und organisatorischen Maßnahmen umfassen insbesondere Maßnahmen in folgenden Bereichen:
- Vertraulichkeit,
- Integrität,
- Verfügbarkeit und Belastbarkeit,
- Zugriffskontrolle,
- Zugangskontrolle,
- Benutzer- und Berechtigungskonzepte,
- Verschlüsselung,
- Protokollierung,
- Mandantentrennung,
- Backup und Wiederherstellung,
- Patch- und Schwachstellenmanagement,
- Incident Response,
- Löschung und Datenminimierung,
- regelmäßige Überprüfung und Bewertung der Wirksamkeit der Maßnahmen.
8.3 Maßgebliche TOM
Die jeweils geltenden technischen und organisatorischen Maßnahmen sind in dem Dokument „Technische und organisatorische Maßnahmen (TOM)” beschrieben, das Bestandteil dieses Vertrags ist.
Flurin darf technische und organisatorische Maßnahmen weiterentwickeln und ändern, sofern das vereinbarte Schutzniveau dadurch nicht wesentlich unterschritten wird.
8.4 Sicherheitsrelevante Änderungen
Flurin ist berechtigt, sicherheitsrelevante Änderungen unverzüglich umzusetzen, wenn dies zur Abwehr von Risiken, zur Schließung von Schwachstellen oder zur Einhaltung gesetzlicher Anforderungen erforderlich ist.
8.5 Unterstützung durch die Praxis
Die Praxis ist verpflichtet, die ihr obliegenden Sicherheitsmaßnahmen zu treffen. Hierzu zählen insbesondere sichere Passwörter, angemessene Vergabe von Zugriffsrechten, Entzug nicht mehr erforderlicher Zugriffe, sichere Endgeräte, Schutz vor unbefugtem Zugriff und Sensibilisierung eigener Nutzer.
9. Unterauftragsverarbeiter
9.1 Allgemeine Genehmigung
Die Praxis erteilt Flurin eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern, soweit diese für die Bereitstellung, den Betrieb, die Sicherheit, die Kommunikation, den Support, die Zahlungsabwicklung oder sonstige Funktionen der Plattform erforderlich sind.
9.2 Aktuelle Unterauftragsverarbeiter
Die aktuell eingesetzten wesentlichen Unterauftragsverarbeiter sind in Anlage 3 aufgeführt. Flurin stellt der Praxis eine aktuelle Liste in geeigneter Form zur Verfügung, insbesondere auf der Website, innerhalb der Plattform oder auf Anfrage.
9.3 Pflichten gegenüber Unterauftragsverarbeitern
Flurin schließt mit Unterauftragsverarbeitern Vereinbarungen, die diesen im Wesentlichen gleichwertige Datenschutzpflichten auferlegen, wie sie Flurin gegenüber der Praxis nach diesem Vertrag treffen.
9.4 Änderungen
Flurin informiert die Praxis über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.
Die Information erfolgt mit angemessenem Vorlauf, soweit dies praktisch möglich ist. Sicherheitsrelevante oder technisch zwingende Änderungen können auch kurzfristiger erfolgen, wenn dies zum Schutz der Plattform oder zur Sicherstellung des Betriebs erforderlich ist.
9.5 Widerspruchsrecht
Die Praxis kann aus wichtigem datenschutzrechtlichem Grund gegen die Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters widersprechen.
Der Widerspruch ist innerhalb von 14 Kalendertagen nach Information durch Flurin in Textform zu erklären und zu begründen.
9.6 Folgen eines Widerspruchs
Im Falle eines berechtigten Widerspruchs werden die Parteien nach einer angemessenen Lösung suchen.
Ist eine zumutbare Lösung nicht möglich, ist Flurin berechtigt, die betroffene Leistung ganz oder teilweise einzustellen oder das Vertragsverhältnis außerordentlich zu kündigen, soweit der Einsatz des Unterauftragsverarbeiters für die Leistungserbringung erforderlich ist.
10. Drittlandübermittlungen
10.1 Grundsatz
Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind oder eine dokumentierte Weisung der Praxis vorliegt.
10.2 Produktive Patientendaten
Produktive Patientendaten und Gesundheitsdaten werden im aktuellen Betriebsmodell grundsätzlich auf Backend- und Datenbanksystemen in Deutschland verarbeitet. Eine geplante Speicherung produktiver Patientendaten in Drittstaaten findet nicht statt.
10.3 Frontend, DNS, CDN und technische Zugriffsdaten
Die Frontends der Marketingseite und der App sowie die DNS-Einträge der Flurin-Domains werden über Bunny.net bereitgestellt beziehungsweise verwaltet. Dabei können technische Zugriffsdaten und DNS-bezogene Anfragedaten verarbeitet werden, insbesondere IP-Adresse oder Resolverdaten, Zeitpunkt des Abrufs oder der Anfrage, Browserdaten, angeforderte Ressourcen, Hostnamen und URL-Pfade. Über Bunny.net werden nach der aktuellen Architektur keine Backend-Datenbankinhalte und keine produktiven Patientendatensätze gespeichert.
Die Domainregistrierung erfolgt über United-Domains. United-Domains verarbeitet hierfür insbesondere Domain-, Vertrags-, Rechnungs- und Administrationsdaten von Flurin. Eine planmäßige Verarbeitung produktiver Praxis-, Patienten- oder Gesundheitsdaten über United-Domains findet nicht statt.
10.4 Zulässige Mechanismen
Soweit bei einem Unterauftragsverarbeiter oder dessen Unterauftragnehmern Drittlandübermittlungen auftreten, können diese insbesondere gestützt werden auf:
- einen Angemessenheitsbeschluss der Europäischen Kommission,
- Standarddatenschutzklauseln der Europäischen Kommission,
- zusätzliche technische, organisatorische oder vertragliche Maßnahmen,
- ausdrückliche dokumentierte Weisungen der Praxis,
- sonstige gesetzlich zulässige Übermittlungsinstrumente.
10.5 Transparenz
Informationen zu Drittlandübermittlungen und betroffenen Unterauftragsverarbeitern werden in der Liste der Unterauftragsverarbeiter oder auf Anfrage bereitgestellt.
11. Unterstützung bei Betroffenenrechten
11.1 Grundsatz
Die Praxis ist als Verantwortlicher für die Bearbeitung von Anfragen betroffener Personen verantwortlich. Flurin unterstützt die Praxis nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen.
11.2 Unterstützungsleistungen
Flurin unterstützt die Praxis insbesondere bei:
- Auskunftsersuchen,
- Berichtigungsersuchen,
- Löschersuchen,
- Einschränkung der Verarbeitung,
- Datenübertragbarkeit,
- Widersprüchen,
- Widerrufen von Einwilligungen,
- Nachvollziehbarkeit von Verarbeitungsvorgängen, soweit technisch verfügbar.
11.3 Direkte Anfragen an Flurin
Wenden sich betroffene Personen unmittelbar an Flurin und betrifft die Anfrage eine Verarbeitung im Auftrag der Praxis, leitet Flurin die Anfrage an die Praxis weiter, soweit eine Zuordnung möglich ist.
Flurin beantwortet solche Anfragen nicht eigenständig im Namen der Praxis, sofern keine ausdrückliche Weisung oder gesetzliche Verpflichtung besteht.
11.4 Kosten
Soweit Unterstützungsleistungen über den vertraglich geschuldeten Standardumfang hinausgehen, kann Flurin eine angemessene Vergütung verlangen, sofern die Praxis vorab hierüber informiert wurde.
12. Unterstützung bei Pflichten des Verantwortlichen
12.1 Sicherheit der Verarbeitung
Flurin unterstützt die Praxis angemessen bei der Einhaltung ihrer Pflichten zur Sicherheit der Verarbeitung, soweit dies die Verarbeitung durch Flurin betrifft.
12.2 Datenschutzverletzungen
Flurin unterstützt die Praxis bei der Erfüllung ihrer Pflichten im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten, soweit diese den Verantwortungsbereich von Flurin betreffen.
12.3 Datenschutz-Folgenabschätzung
Flurin unterstützt die Praxis angemessen bei einer Datenschutz-Folgenabschätzung, soweit die Verarbeitung durch Flurin betroffen ist und die erforderlichen Informationen Flurin vorliegen.
12.4 Vorherige Konsultation
Soweit erforderlich und gesetzlich vorgesehen, unterstützt Flurin die Praxis angemessen bei einer vorherigen Konsultation der zuständigen Aufsichtsbehörde.
12.5 Grenzen der Unterstützung
Flurin schuldet keine rechtliche Bewertung, keine anwaltliche Beratung und keine Entscheidung darüber, ob eine Verarbeitung durch die Praxis rechtmäßig ist.
13. Verletzungen des Schutzes personenbezogener Daten
13.1 Meldepflicht von Flurin
Flurin informiert die Praxis unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, soweit diese personenbezogene Daten betrifft, die Flurin im Auftrag der Praxis verarbeitet.
13.2 Interne Frist
Flurin strebt an, die Erstinformation an die Praxis spätestens innerhalb von 24 Stunden nach Bekanntwerden der Verletzung zu übermitteln, soweit dies unter Berücksichtigung der Umstände des Einzelfalls möglich ist.
13.3 Inhalt der Meldung
Die Meldung enthält, soweit verfügbar, insbesondere:
- eine Beschreibung der Art der Verletzung,
- die betroffenen Datenkategorien,
- die betroffenen Kategorien und ungefähre Anzahl betroffener Personen,
- die wahrscheinlichen Folgen der Verletzung,
- die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Eindämmung,
- die Kontaktdaten einer zuständigen Ansprechperson,
- sonstige Informationen, die die Praxis zur Bewertung eigener Meldepflichten benötigt.
13.4 Nachmeldung
Sind zum Zeitpunkt der Erstmeldung noch nicht alle Informationen verfügbar, stellt Flurin weitere Informationen ohne unangemessene Verzögerung bereit, sobald diese verfügbar sind.
13.5 Keine eigenständige Behördenmeldung
Flurin nimmt keine Meldung an Aufsichtsbehörden oder Benachrichtigung betroffener Personen im Namen der Praxis vor, sofern Flurin hierzu nicht ausdrücklich angewiesen wurde oder gesetzlich verpflichtet ist.
13.6 Mitwirkung der Praxis
Die Praxis stellt Flurin unverzüglich alle Informationen zur Verfügung, die für die Bewertung, Eindämmung oder Behebung einer Datenschutzverletzung erforderlich sind, soweit die Praxis über diese Informationen verfügt.
13.7 Incident-Response-Prozess und Meldevorlagen
Die operative Umsetzung dieses Abschnitts, insbesondere der Ablauf von der Erkennung bis zur Nachbereitung, die Risikobewertung und die Meldevorlagen, ist im Incident-Response-Prozess dokumentiert. Der dort festgelegte interne Zielwert für die Erstinformation an die Praxis von spätestens 24 Stunden nach Bekanntwerden ist mit § 13.2 dieses Vertrags abgestimmt und identisch; er ersetzt nicht die übergeordnete Pflicht zur unverzüglichen Information nach § 13.1. Eine etwaige Datenschutzverletzung bei einem Unterauftragsverarbeiter (Hetzner, Bunny.net, Hanko, Brevo) wird nach demselben Verfahren behandelt, soweit sie im Auftrag verarbeitete Daten betrifft.
14. Nachweise, Audits und Kontrollen
14.1 Nachweise
Flurin stellt der Praxis angemessene Nachweise zur Einhaltung dieses Vertrags zur Verfügung. Hierzu können insbesondere zählen:
- Beschreibung der technischen und organisatorischen Maßnahmen,
- Sicherheitskonzepte,
- Vertraulichkeitsnachweise,
- Anbieter- und Subprocessor-Informationen,
- Zertifikate oder Sicherheitsnachweise eingesetzter Anbieter, soweit verfügbar,
- Selbstauskünfte,
- Zusammenfassungen interner Prüfungen,
- Subprocessor-Listen,
- Datenschutz- und Sicherheitsdokumentation.
14.2 Auditrecht
Die Praxis ist berechtigt, die Einhaltung dieses Vertrags nach angemessener vorheriger Ankündigung zu überprüfen oder durch geeignete, zur Verschwiegenheit verpflichtete Prüfer überprüfen zu lassen.
14.3 Verhältnismäßigkeit
Audits müssen verhältnismäßig sein und dürfen den Betrieb, die Sicherheit, die Vertraulichkeit sowie Rechte anderer Kunden von Flurin nicht unangemessen beeinträchtigen.
14.4 Vorrang dokumentenbasierter Nachweise
Soweit Flurin geeignete aktuelle Nachweise bereitstellt, sollen Vor-Ort-Prüfungen nur erfolgen, wenn die bereitgestellten Nachweise zur Prüfung der Einhaltung dieses Vertrags nicht ausreichen.
14.5 Sicherheitsanforderungen bei Audits
Audits dürfen nur nach vorheriger Abstimmung mit Flurin durchgeführt werden.
Prüfer müssen angemessene Sicherheits-, Vertraulichkeits- und Datenschutzanforderungen erfüllen.
Ein Zugriff auf Daten anderer Kunden, Quellcode, Geschäftsgeheimnisse, Sicherheitsarchitekturen oder besonders schutzbedürftige interne Informationen ist ausgeschlossen, soweit nicht zwingend erforderlich und gesondert vereinbart.
14.6 Kosten
Die Praxis trägt die Kosten von Audits, soweit gesetzlich zulässig.
Flurin kann für Unterstützungsleistungen im Zusammenhang mit Audits eine angemessene Vergütung verlangen, sofern der Aufwand über den üblichen Standardnachweis hinausgeht und die Praxis vorab informiert wurde.
14.7 Subprozessor-Nachweis-Checkliste
Flurin dokumentiert den Abschluss und die wesentlichen Inhalte der mit den Unterauftragsverarbeitern geschlossenen Auftragsverarbeitungsvereinbarungen beziehungsweise Data Processing Agreements (DPA) sowie die zugehörigen Sicherheits- und Geheimhaltungsnachweise in einer Subprozessor-Nachweis-Checkliste. Diese erfasst je Anbieter (insbesondere Hetzner, Bunny.net, Hanko, Brevo sowie United-Domains) insbesondere:
- Status und Datum/Version des abgeschlossenen AVV/DPA sowie den Fundort,
- den einschlägigen Drittland-Übermittlungsmechanismus (Angemessenheitsbeschluss, Standarddatenschutzklauseln oder keiner),
- vorliegende Sicherheitsnachweise (z. B. C5, ISO/IEC 27001, SOC 2),
- den Status der Weiterverpflichtung nach § 203 StGB (in Verbindung mit Anlage 5).
Die Checkliste wird bei Flurin vorgehalten, im Rahmen der regelmäßigen (insbesondere quartalsweisen) Kurzprüfung aktualisiert und der Praxis auf Anfrage in geeigneter Form zur Verfügung gestellt (vgl. §§ 6.7, 14.1). Mit Hetzner als dem für die Verarbeitung produktiver Gesundheitsdaten unmittelbar eingesetzten Anbieter ist ein direkter Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen und wirksam. Die DPAs sowie die Angaben zu Sub-Unterauftragnehmern und Drittlandübermittlungen der übrigen Anbieter (insbesondere Brevo, Bunny.net und Hanko) werden in der Checkliste fortlaufend bestätigt und abgelegt.
15. Datenrückgabe, Löschung und Aufbewahrung
15.1 Datenzugriff während der Vertragslaufzeit
Während der Vertragslaufzeit kann die Praxis im Rahmen der Plattformfunktionen auf die von ihr verarbeiteten Daten zugreifen, diese bearbeiten, exportieren oder löschen, soweit die jeweilige Funktion dies vorsieht.
15.2 Rückgabe nach Vertragsende
Nach Vertragsende stellt Flurin der Praxis für einen angemessenen Zeitraum die Möglichkeit bereit, die von der Praxis eingebrachten oder im Rahmen der Plattform erzeugten Daten in einem gängigen, strukturierten und maschinenlesbaren Format zu exportieren.
15.3 Exportfenster
Soweit nicht abweichend vereinbart, beträgt das Exportfenster nach Vertragsende 30 Kalendertage.
Während dieses Zeitraums kann der Zugriff auf einen lesenden Zugriff oder auf Exportfunktionen beschränkt werden.
15.4 Löschung nach Vertragsende
Nach Ablauf des Exportfensters löscht oder anonymisiert Flurin personenbezogene Daten aus produktiven Systemen, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweisinteressen, Zahlungs- oder Abrechnungszwecke oder sonstige rechtliche Gründe entgegenstehen.
15.5 Sicherungskopien
Personenbezogene Daten können nach Löschung aus produktiven Systemen vorübergehend in Sicherungskopien verbleiben.
Der Zugriff auf Sicherungskopien ist beschränkt. Sicherungskopien werden nach den regulären Backup-Zyklen gelöscht oder überschrieben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
15.6 Gesetzliche Aufbewahrungspflichten der Praxis
Die Praxis bleibt verantwortlich für die Prüfung und Einhaltung eigener gesetzlicher Aufbewahrungspflichten.
Flurin übernimmt keine rechtliche Bewertung, welche Patientendaten oder Behandlungsunterlagen die Praxis aufbewahren muss.
15.7 Löschung auf Weisung
Während der Vertragslaufzeit führt Flurin Löschungen auf Weisung der Praxis aus, soweit dies technisch möglich, vertraglich vorgesehen und rechtlich zulässig ist.
16. Support, Wartung und administrativer Zugriff
16.1 Supportzugriff
Supportzugriffe auf personenbezogene Daten erfolgen nur, soweit dies zur Bearbeitung einer Supportanfrage, Fehleranalyse, Sicherheitsprüfung oder zur Erfüllung vertraglicher Pflichten erforderlich ist.
16.2 Zugriff nach Erforderlichkeit
Flurin beschränkt Support- und Administrationszugriffe auf das erforderliche Maß.
Soweit technisch möglich und angemessen, erfolgen Supportzugriffe protokolliert, rollenbasiert und zeitlich begrenzt.
16.3 Kleines Team und persönliche Verantwortlichkeit
Da Flurin in der Pilot- und Aufbauphase durch ein kleines Team betrieben wird, können mehrere organisatorische Rollen durch dieselbe Person wahrgenommen werden. Entscheidend ist, dass Zugriffe nachvollziehbar, begründet und auf den erforderlichen Kreis beschränkt bleiben.
16.4 Wartung
Flurin darf Wartungs-, Sicherheits- und Aktualisierungsmaßnahmen durchführen, soweit dies für den sicheren und ordnungsgemäßen Betrieb der Plattform erforderlich ist.
16.5 Fehleranalyse
Zur Fehleranalyse kann Flurin technische Protokolle, Metadaten und Systeminformationen auswerten.
Inhalte von Patientendaten werden nur verarbeitet, soweit dies zur konkreten Fehlerbehebung erforderlich ist oder die Praxis dies veranlasst.
17. Protokollierung und Nachvollziehbarkeit
17.1 Technische Protokolle
Flurin kann technische Protokolle verarbeiten, um Sicherheit, Verfügbarkeit, Integrität, Fehleranalyse, Missbrauchserkennung und Nachvollziehbarkeit zu gewährleisten.
17.2 Inhalt von Protokollen
Protokolle können insbesondere enthalten:
- Nutzerkennung,
- Zeitpunkt des Zugriffs,
- IP-Adresse,
- verwendetes Endgerät oder Browserinformationen,
- aufgerufene Funktionen,
- technische Ereignisse,
- Fehlermeldungen,
- sicherheitsrelevante Aktivitäten.
17.3 Datensparsame Protokollierung
Flurin gestaltet Protokolle datensparsam. Patientendaten und Gesundheitsdaten werden nicht planmäßig in technischen Logs gespeichert. Soweit sie ausnahmsweise zur Fehleranalyse sichtbar werden, werden sie nur im erforderlichen Umfang verarbeitet.
17.4 Zweckbindung
Protokolldaten werden nicht zur eigenständigen Profilbildung von Patientinnen und Patienten genutzt.
17.5 Aufbewahrung von Protokollen
Protokolle werden nur so lange aufbewahrt, wie dies zur Erfüllung der genannten Zwecke erforderlich ist, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.
18. Anonymisierte und aggregierte Daten
18.1 Zulässigkeit
Flurin darf Daten anonymisieren oder aggregieren, sofern ein Personenbezug nach angemessenen Maßstäben ausgeschlossen ist.
18.2 Zwecke
Anonymisierte oder aggregierte Daten dürfen insbesondere genutzt werden für:
- Verbesserung der Plattform,
- statistische Auswertungen,
- Sicherheitsanalysen,
- Fehleranalyse,
- Performanceoptimierung,
- Produktentwicklung,
- interne Berichte.
18.3 Keine Re-Identifizierung
Flurin wird anonymisierte Daten nicht gezielt re-identifizieren.
19. Automatisierte und KI-gestützte Funktionen
19.1 Grundsatz
Soweit die Plattform automatisierte oder KI-gestützte Assistenz-, Vorschlags- oder Automatisierungsfunktionen bereitstellt, dienen diese ausschließlich der technischen und organisatorischen Unterstützung der Praxis.
19.2 Keine eigenständige Entscheidung durch Flurin
Flurin trifft keine eigenständigen medizinischen, therapeutischen oder rechtlich verbindlichen Entscheidungen über Patientinnen und Patienten.
Die Praxis bleibt verantwortlich für die Prüfung, Bestätigung oder Ablehnung von Vorschlägen der Plattform.
19.3 Verarbeitung im Auftrag
Soweit automatisierte oder KI-gestützte Funktionen personenbezogene Daten im Auftrag der Praxis verarbeiten, gelten die Regelungen dieses Vertrags entsprechend.
19.4 Gesonderte Aktivierung
Flurin kann bestimmte KI-Funktionen von gesonderter Aktivierung, zusätzlicher Dokumentation, ergänzenden Bedingungen oder einer gesonderten Datenschutzprüfung abhängig machen.
19.5 Kein Training mit Patientendaten ohne Grundlage
Flurin verwendet Patientendaten nicht zum Training allgemein einsetzbarer KI-Modelle, sofern hierfür keine gesonderte Rechtsgrundlage, dokumentierte Weisung oder ausdrückliche Vereinbarung besteht.
20. Grenzen der Auftragsverarbeitung
20.1 Eigenverantwortliche Verarbeitung durch Flurin
Nicht jede Verarbeitung personenbezogener Daten durch Flurin erfolgt im Auftrag der Praxis.
Flurin kann für bestimmte Verarbeitungsvorgänge eigenständiger Verantwortlicher sein, insbesondere bei:
- Verwaltung eigener Vertragsbeziehungen mit Praxen,
- Abrechnung und Zahlungsabwicklung,
- Kommunikation mit Ansprechpartnern der Praxis,
- Betrieb der Flurin-Website,
- eigener Rechtsverteidigung,
- Erfüllung eigener gesetzlicher Pflichten,
- Missbrauchsprävention, soweit Flurin eigene rechtliche Pflichten oder berechtigte Interessen verfolgt.
20.2 Abgrenzung
Für eigenverantwortliche Verarbeitungsvorgänge gelten die Datenschutzhinweise von Flurin.
Dieser Vertrag gilt nur für Verarbeitungsvorgänge, bei denen Flurin personenbezogene Daten im Auftrag der Praxis verarbeitet.
20.3 Gemeinsame Verantwortlichkeit
Sollten zukünftige Funktionen, insbesondere ein zentrales Patientenportal, praxisübergreifendes Matching oder eigenständige Vermittlungsfunktionen, eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO begründen, werden die Parteien vor Aktivierung solcher Funktionen eine gesonderte Vereinbarung schließen oder ergänzende Bedingungen bereitstellen.
21. Haftung und Verhältnis zu sonstigen Vertragsdokumenten
21.1 Datenschutzrechtliche Haftung
Die datenschutzrechtliche Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften.
21.2 Vertragliche Haftung
Im Verhältnis zwischen Flurin und der Praxis gelten ergänzend die Haftungsregelungen der Allgemeinen Geschäftsbedingungen für Praxen, soweit zwingende gesetzliche Vorschriften nicht entgegenstehen.
21.3 Kein Ausschluss zwingender Rechte
Dieser Vertrag beschränkt keine zwingenden Rechte betroffener Personen und keine zwingenden Befugnisse zuständiger Aufsichtsbehörden.
22. Laufzeit und Beendigung
22.1 Laufzeit
Dieser Vertrag tritt mit Abschluss des Hauptvertrags oder mit Beginn der Verarbeitung personenbezogener Daten im Auftrag der Praxis in Kraft.
Er gilt für die Dauer der Verarbeitung personenbezogener Daten durch Flurin im Auftrag der Praxis.
22.2 Beendigung des Hauptvertrags
Mit Beendigung des Hauptvertrags endet auch dieser Vertrag, soweit Flurin keine personenbezogenen Daten mehr im Auftrag der Praxis verarbeitet.
Regelungen zu Vertraulichkeit, Löschung, Rückgabe, Nachweis, Haftung und Sicherungskopien gelten fort, soweit dies zur Abwicklung erforderlich ist.
22.3 Fortgeltung während Export- und Löschphase
Während einer Export-, Migrations-, Lösch- oder Backup-Abwicklungsphase gelten die Bestimmungen dieses Vertrags fort.
23. Änderungen dieses Vertrags
23.1 Änderungen aus sachlichem Grund
Flurin kann diesen Vertrag mit Wirkung für die Zukunft ändern, soweit hierfür ein sachlicher Grund besteht und die Änderung die Praxis nicht unangemessen benachteiligt.
Sachliche Gründe sind insbesondere:
- Änderungen der Gesetzeslage,
- Änderungen der Rechtsprechung,
- behördliche Vorgaben,
- Änderungen technischer oder organisatorischer Sicherheitsmaßnahmen,
- Änderungen der Plattform,
- Änderungen eingesetzter Unterauftragsverarbeiter,
- Anpassungen an neue Funktionen.
23.2 Information
Flurin informiert die Praxis über wesentliche Änderungen in Textform, innerhalb der Plattform oder über einen bereitgestellten Rechtsbereich.
23.3 Widerspruch
Soweit eine Änderung wesentliche Datenschutzrechte der Praxis betrifft, kann die Praxis aus wichtigem Grund widersprechen.
Die Folgen eines Widerspruchs richten sich nach den Allgemeinen Geschäftsbedingungen für Praxen und den gesetzlichen Vorschriften.
24. Rangfolge
24.1 Vorrang dieses Vertrags
Im Falle von Widersprüchen zwischen diesem Vertrag und den Allgemeinen Geschäftsbedingungen für Praxen geht dieser Vertrag vor, soweit der Widerspruch datenschutzrechtliche Pflichten aus der Auftragsverarbeitung betrifft.
24.2 Anlagen
Die Anlagen sind Bestandteil dieses Vertrags.
Im Falle von Widersprüchen zwischen Hauptteil und Anlagen geht der Hauptteil vor, soweit nicht ausdrücklich etwas anderes geregelt ist.
24.3 Zwingendes Recht
Zwingende gesetzliche Vorschriften gehen sämtlichen vertraglichen Regelungen vor.
24.4 Anlagenverzeichnis und ergänzende Betriebsdokumente
24.4.1 Anlagen
Bestandteil dieses Vertrags sind folgende Anlagen:
- Anlage 1 – Beschreibung der Verarbeitung,
- Anlage 2 – Technische und organisatorische Maßnahmen (TOM),
- Anlage 3 – Unterauftragsverarbeiter,
- Anlage 4 – Ansprechpartner und Weisungskanäle,
- Anlage 5 – Verpflichtungserklärung zur Geheimhaltung nach § 203 Abs. 3, 4 StGB (vgl. § 6.4).
24.4.2 Ergänzende interne Betriebsdokumente
Ergänzend zu diesem Vertrag und seinen Anlagen gelten die folgenden internen Betriebsdokumente, auf die dieser Vertrag verweist und die das vereinbarte Schutzniveau konkretisieren, ohne es zu unterschreiten:
- Lösch- und Aufbewahrungskonzept (konsolidiert die in § 15, § 17.5 und § 18 sowie in den TOM geregelten Lösch- und Aufbewahrungsfristen),
- Incident-Response-Prozess (konkretisiert § 13 und die TOM-Regelungen zu Sicherheitsvorfällen, einschließlich Meldevorlagen),
- C5-/§-393-SGB-V-Nachweisdossier (dokumentiert die Cloud-Sicherheitsnachweise und die § 393-Bewertung, vgl. § 6.8),
- Subprozessor-Nachweis-Checkliste (dokumentiert die Anbieter-AVV/DPA und Nachweise je Unterauftragsverarbeiter, vgl. § 14.7).
Diese Betriebsdokumente werden der Praxis auf Anfrage in geeigneter Form zur Verfügung gestellt (vgl. §§ 6.7, 14.1). Bei Widersprüchen zwischen einem internen Betriebsdokument und diesem Vertrag einschließlich seiner Anlagen geht dieser Vertrag vor, soweit nicht ausdrücklich etwas anderes geregelt ist.
25. Rechtsnachfolge und spätere Gesellschaftsgründung
25.1 Übertragung auf eine Flurin-Gesellschaft
Flurin ist berechtigt, diesen Vertrag im Rahmen einer Unternehmensgründung, Umstrukturierung, Ausgliederung, Verschmelzung, Unternehmensübertragung oder Übertragung des Plattformbetriebs auf eine mit dem Betrieb von Flurin befasste Gesellschaft oder einen sonstigen Rechtsnachfolger zu übertragen, sofern berechtigte Interessen der Praxis nicht unangemessen beeinträchtigt werden.
25.2 Information der Praxis
Die Praxis wird über eine solche Übertragung in angemessener Weise informiert. Die datenschutzrechtlichen Schutzpflichten aus diesem Vertrag gelten gegenüber dem Rechtsnachfolger fort oder werden durch inhaltlich gleichwertige Vereinbarungen ersetzt.
26. Schlussbestimmungen
26.1 Textform
Änderungen und Ergänzungen dieses Vertrags bedürfen mindestens der Textform, soweit gesetzlich keine strengere Form vorgeschrieben ist.
26.2 Teilunwirksamkeit
Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt die gesetzliche Regelung.
26.3 Anwendbares Recht
Soweit gesetzlich zulässig, gilt für diesen Vertrag das Recht der Bundesrepublik Deutschland.
26.4 Gerichtsstand
Soweit gesetzlich zulässig und soweit keine zwingenden datenschutzrechtlichen Zuständigkeitsregelungen entgegenstehen, gilt der in den Allgemeinen Geschäftsbedingungen für Praxen vereinbarte Gerichtsstand.
Anlage 1 – Beschreibung der Verarbeitung
1. Gegenstand der Verarbeitung
Bereitstellung, Betrieb, Wartung, Support, Sicherung und Weiterentwicklung der Flurin-Plattform für Praxen.
2. Zwecke der Verarbeitung
Die Verarbeitung erfolgt zur technischen Unterstützung der Praxis bei:
- Verwaltung von Wartelisten,
- Erfassung von Patientenanfragen,
- Bereitstellung von Aufnahmeformularen,
- Organisation freier oder kurzfristig verfügbarer Termine,
- technischer Umsetzung eines Springersystems,
- Versand von Benachrichtigungen und E-Mails im Namen der Praxis,
- Verwaltung von Praxisnutzern,
- Support, Fehleranalyse und Sicherheit,
- Datenexport und Löschung.
3. Art der Verarbeitung
- Erheben,
- Erfassen,
- Speichern,
- Strukturieren,
- Bereitstellen,
- Anzeigen,
- Übermitteln,
- Abgleichen,
- Einschränken,
- Exportieren,
- Löschen,
- Anonymisieren,
- Sichern und Wiederherstellen.
4. Kategorien betroffener Personen
- Patientinnen und Patienten,
- Erziehungsberechtigte, Sorgeberechtigte oder Kontaktpersonen,
- Interessentinnen und Interessenten,
- Nutzerinnen und Nutzer der Praxis,
- Mitarbeitende und Ansprechpartner der Praxis.
5. Kategorien personenbezogener Daten
- Name,
- Kontaktdaten,
- Geburtsdatum,
- Angaben aus Aufnahmeformularen,
- Angaben zu Behandlungsanfragen,
- Angaben zum Heilmittelbereich,
- Termindaten,
- Verfügbarkeiten,
- Wartelisteninformationen,
- Kommunikationsdaten,
- technische Nutzungs- und Protokolldaten,
- Berechtigungs- und Login-Daten,
- Supportdaten.
6. Besondere Kategorien personenbezogener Daten
- Gesundheitsdaten,
- Angaben zu Beschwerden,
- Angaben zu Behandlungsbedarf,
- Angaben zu Diagnose, Verordnung oder Therapieanliegen, soweit durch Praxis oder Patientinnen und Patienten eingegeben,
- Daten von Minderjährigen, soweit die Praxis solche Daten verarbeitet.
7. Dauer der Verarbeitung
Für die Dauer des Hauptvertrags sowie während einer anschließenden Export-, Migrations-, Lösch- oder Backup-Abwicklungsphase.
8. Verantwortlicher
Jeweilige Praxis.
9. Auftragsverarbeiter
Jan Jerusalem, handelnd unter der Geschäftsbezeichnung „Flurin”, Freiburger Str. 25, 79853 Lenzkirch. Nach Gründung oder Übertragung des Plattformbetriebs kann eine mit dem Betrieb von Flurin befasste Gesellschaft oder ein sonstiger Rechtsnachfolger an die Stelle des bisherigen Auftragsverarbeiters treten.
Anlage 2 – Technische und organisatorische Maßnahmen
Die technischen und organisatorischen Maßnahmen ergeben sich aus dem gesonderten Dokument „Technische und organisatorische Maßnahmen (TOM)”, Version 1.2 oder einer späteren, das Sicherheitsniveau nicht wesentlich unterschreitenden Version.
Anlage 3 – Unterauftragsverarbeiter
1. Grundsatz
Flurin setzt Unterauftragsverarbeiter nur ein, soweit dies für Bereitstellung, Betrieb, Kommunikation, Sicherheit, Support, Zahlungsabwicklung oder Weiterentwicklung der Plattform erforderlich ist.
2. Aktuelle Liste wesentlicher Unterauftragsverarbeiter
| Anbieter | Zweck | Standort / Sitz | Typische Datenkategorien | Drittlandtransfer | Grundlage / Schutzmaßnahmen | Sicherheitsnachweis / Testat |
|---|---|---|---|---|---|---|
| Hetzner Online GmbH | Serverbetrieb für Backend, PostgreSQL-Datenbank, Infrastruktur, Backups und technische Systemkomponenten | Deutschland / EU | Praxisdaten, Patientendaten, Gesundheitsdaten, technische Daten, Protokolldaten | Nach aktuellem Betriebsmodell keine geplante Speicherung produktiver Patientendaten außerhalb Deutschlands | Abgeschlossener und wirksamer AVV/DPA nach Art. 28 DSGVO, TOM des Anbieters, Rechenzentrums- und Infrastruktursicherheit | BSI C5 Typ 2 (C5:2020) liegt vor; Geltungsbereich deckt die genutzte Produktlinie und Region ab (geprüft); ISO/IEC 27001:2022; PCI DSS 4.0 (vgl. § 6.8, C5-/§-393-Nachweisdossier) |
| BunnyWay d.o.o. / bunny.net | Hosting und Auslieferung statischer Frontends der Marketingseite und der App, CDN, DNS-Verwaltung, technische Zugriffsdaten | Slowenien / EU, CDN-/DNS-Infrastruktur abhängig von Konfiguration | IP-Adresse, technische Zugriffsdaten, Browserdaten, angeforderte Ressourcen, Hostnamen, ggf. URL-Pfade, DNS-bezogene Anfragedaten; keine geplante Speicherung produktiver Backend-Datenbankinhalte | Abhängig von CDN-/DNS-Konfiguration und Anbieterunterlagen; keine geplante Speicherung produktiver Patientendatensätze im CDN oder DNS | DPA mit Anbieter, datensparsame Konfiguration, keine Proxy-Verarbeitung der Backend-API ohne gesonderte Prüfung | ISO/IEC 27001 nach Anbieterangaben; kein BSI-C5-Testat; DPA sowie Drittland-/Sub-Unterauftragnehmer-Nachweise werden bestätigt und abgelegt |
| Hanko GmbH | Identity Management, Login, Authentifizierung, Nutzerverwaltung | Deutschland / EU nach Anbieterunterlagen | Nutzer- und Login-Daten, E-Mail-Adressen, Authentifizierungsdaten, Session-/Login-Metadaten von Praxisnutzern; keine planmäßigen Patientendaten | Nach Anbieterunterlagen und gewähltem Hosting zu prüfen | DPA/Datenschutzvereinbarung mit Anbieter, MFA/Passkeys soweit verfügbar, Zugriffsbeschränkung | DPA sowie Drittland-/Sub-Unterauftragnehmer-Nachweise werden bestätigt und abgelegt; konkrete Zertifikate (ISO/SOC) anbieterseitig zu erfragen |
| Sendinblue SAS / Brevo | Versand transaktionaler E-Mails und sonstiger E-Mail-Kommunikation im Auftrag der Praxis | Frankreich / EU nach Anbieterunterlagen | E-Mail-Adressen, Namen, Kommunikationsinhalte, Versand- und Zustellmetadaten; Inhalte werden datensparsam gestaltet | Nach Anbieterunterlagen zu prüfen; ggf. Unterauftragnehmer | DPA mit Anbieter, SPF/DKIM/DMARC, datensparsame E-Mail-Inhalte, keine unnötigen Gesundheitsdaten in Betreffzeilen | DPA sowie Drittland- (DPF/Standarddatenschutzklauseln) und Sub-Unterauftragnehmer-Nachweise werden bestätigt und abgelegt; konkrete Zertifikate (ISO/SOC) anbieterseitig zu erfragen |
3. Weitere technische Anbieter ohne planmäßige Verarbeitung produktiver Praxis- oder Patientendaten
Die folgenden Anbieter können für den technischen Betrieb oder die organisatorische Verwaltung von Flurin relevant sein, verarbeiten nach aktueller Architektur jedoch keine produktiven Praxis-, Patienten- oder Gesundheitsdaten im Auftrag der Praxis. Sie werden aus Transparenzgründen aufgeführt.
| Anbieter | Zweck | Typische Datenkategorien | Einordnung / Hinweis |
|---|---|---|---|
| United-Domains AG | Domainregistrierung und Domainverwaltung | Domain-, Vertrags-, Rechnungs- und Administrationsdaten von Flurin; keine produktiven Praxis-, Patienten- oder Gesundheitsdaten | Nach aktueller Architektur kein Unterauftragsverarbeiter für produktive Patientendaten der Praxen; relevant für allgemeine Domain- und Unternehmensverwaltung |
4. Noch nicht aktive oder optionale Dienste
Weitere Dienste, insbesondere Zahlungsdienstleister, Monitoring-/Error-Tracking-Dienste, Analytics-Dienste oder KI-Dienstleister, werden erst nach datenschutzrechtlicher Prüfung und Aufnahme in die Unterauftragsverarbeiterliste eingesetzt, soweit sie personenbezogene Daten im Auftrag verarbeiten.
5. Änderungen
Änderungen der Unterauftragsverarbeiter erfolgen nach Maßgabe von Abschnitt 9 dieses Vertrags.
6. Geheimhaltungs- und Nachweisstatus je Unterauftragsverarbeiter
Für die in Abschnitt 2 aufgeführten Unterauftragsverarbeiter mit möglicher Zugriffsmöglichkeit auf geschützte Geheimnisse wird die Weiterverpflichtung nach § 203 StGB beziehungsweise eine inhaltlich gleichwertige Verschwiegenheitspflicht nach Maßgabe von Anlage 5 (§ 203-Verpflichtungserklärung) sichergestellt und ihr Status dort dokumentiert.
Der Abschluss und die Inhalte der Anbieter-AVV/DPA sowie die Sicherheitsnachweise je Anbieter werden in der Subprozessor-Nachweis-Checkliste (§ 14.7) geführt und im Rahmen der regelmäßigen Kurzprüfung aktualisiert. Mit Hetzner ist der AVV nach Art. 28 DSGVO abgeschlossen und wirksam; die DPAs sowie die Drittland- und Sub-Unterauftragnehmer-Nachweise der übrigen Anbieter (insbesondere Brevo, Bunny.net und Hanko) werden fortlaufend bestätigt und abgelegt. Die § 393-SGB-V-Bewertung und der C5-Status der Anbieter sind im C5-/§-393-SGB-V-Nachweisdossier dokumentiert (vgl. § 6.8).
Anlage 4 – Ansprechpartner und Weisungskanäle
1. Ansprechpartner Flurin
Für die Kommunikation mit Flurin gelten die folgenden Funktionspostfächer als maßgebliche Kontaktwege:
Datenschutzkontakt: datenschutz@flurin.app
Supportkontakt: support@flurin.app
Sicherheitskontakt: security@flurin.app
Postanschrift: Jan Jerusalem, Freiburger Str. 25, 79853 Lenzkirch
Diese Funktionspostfächer sind eingerichtet und in Betrieb. Eingehende Nachrichten werden zugestellt, der verantwortlichen Person zugeordnet und zeitnah bearbeitet.
2. Ansprechpartner der Praxis
Die Ansprechpartner der Praxis ergeben sich aus dem Praxiskonto oder aus individuellen Vereinbarungen.
Die Praxis ist verpflichtet, diese Angaben aktuell zu halten.
3. Weisungskanäle
Weisungen können über folgende Kanäle erfolgen:
- Einstellungen innerhalb der Plattform,
- E-Mail an den Support oder Datenschutzkontakt,
- Supportanfrage,
- schriftliche Vereinbarung,
- sonstige von Flurin bereitgestellte Kommunikationswege.
4. Notfallkommunikation
Bei sicherheits- oder datenschutzrelevanten Vorfällen kann Flurin die im Praxiskonto hinterlegten Administrations- und Kontaktadressen der Praxis verwenden.
Die operative Behandlung sicherheits- oder datenschutzrelevanter Vorfälle, einschließlich der Erstinformation an die Praxis und der zugehörigen Meldevorlagen, richtet sich nach dem Incident-Response-Prozess (vgl. § 13.7).
Anlage 5 – Verpflichtungserklärung zur Geheimhaltung nach § 203 Abs. 3, 4 StGB
Anlage 5 ist die gesonderte Verpflichtungserklärung zur Geheimhaltung nach § 203 Abs. 3, 4 StGB in der jeweils geltenden Fassung (Version 1.0 oder einer späteren, das Schutzniveau nicht unterschreitenden Version). Sie ist Bestandteil dieses Vertrags und konkretisiert die §§ 6.3, 6.4 und 9 sowie Anlage 3.
Inhaltlicher Kern der Anlage 5:
- ausdrückliche Verpflichtung von Flurin als „sonstige mitwirkende Person” im Sinne von § 203 Abs. 3 Satz 2 StGB zur Geheimhaltung,
- Hinweis auf die Strafbarkeit nach § 203 Abs. 4 Satz 1 StGB (Freiheitsstrafe bis zu einem Jahr oder Geldstrafe),
- Verpflichtung der für Flurin handelnden Personen vor Aufnahme des Zugriffs,
- Weiterverpflichtung der Unterauftragsverarbeiter mit Zugriffsmöglichkeit auf geschützte Geheimnisse (§ 203 Abs. 4 StGB) sowie deren Statusführung in Verbindung mit Anlage 3,
- zeitlich unbegrenzter Fortbestand der Geheimhaltungspflicht über das Vertragsende hinaus.
Im Falle von Widersprüchen zwischen dieser Anlage und dem Hauptteil gilt § 24. Zwingende gesetzliche Vorschriften, insbesondere § 203 StGB, gehen sämtlichen vertraglichen Regelungen vor. Die berufsrechtliche Einordnung der konkret in der Praxis tätigen Berufsgruppe richtet sich nach den jeweils einschlägigen Vorschriften und obliegt der Praxis.
Haftungshinweis
Dieser Vertrag zur Auftragsverarbeitung wurde mit Sorgfalt erstellt und dient der datenschutzrechtlichen Absicherung der Auftragsverarbeitung nach Art. 28 DSGVO. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle rechtliche Prüfung im Einzelfall. Die branchenspezifischen Regelungen (§ 6.4 zu § 203 StGB nebst Anlage 5; § 6.8 und Anlage 3 zu § 393 SGB V / C5) beruhen teilweise auf auslegungsabhängigen Einordnungen. Insbesondere die Anwendbarkeit des § 393 SGB V auf Heilmittelerbringer ist anwaltlich noch nicht abschließend geklärt und wird vorsorglich behandelt; die abschließende Klärung sowie die laufende Bestätigung und Ablage der DPAs, Sub-Unterauftragnehmer- und Drittlandnachweise der weiteren Anbieter werden in einer separaten Go-Live-Checkliste nachgehalten. Es wird empfohlen, diesen Vertrag vor verbindlicher Verwendung anwaltlich prüfen zu lassen. Es werden nur tatsächlich umgesetzte beziehungsweise belegbare Sachverhalte behauptet.
Ende des Vertrags zur Auftragsverarbeitung