Vereinbarung zur Auftragsverarbeitung (AVV)

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Die Verarbeitung umfasst folgende Dienstleistungen:

Dienst	Beschreibung	Zutreffend
VoiceAI-EU	KI-gestützter Sprach- und Chat-Assistent für Kundenanfragen	☐
Praxis-Transkription	Transkription und Dokumentation von Arzt-Patienten-Gesprächen	☐
Automatisierung	Workflow-Automatisierung mit Kundendaten	☐

(2) Die Verarbeitung beginnt mit Unterzeichnung dieser Vereinbarung und endet mit Beendigung des Hauptvertrages.

(3) Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung erfolgt ausschließlich zur Erfüllung des Hauptvertrages und umfasst:

Spracherkennung und Transkription von Audio-Eingaben
Verarbeitung von Text-Anfragen durch KI-Systeme
Speicherung von Gesprächsprotokollen und Dokumentationen
Übermittlung von Ergebnissen an den Auftraggeber

(2) Eine Verarbeitung zu anderen Zwecken ist ausgeschlossen.

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

Kategorie	Beispiele	Besondere Kategorie (Art. 9)
Stammdaten	Name, Anschrift, Geburtsdatum	Nein
Kontaktdaten	Telefonnummer, E-Mail-Adresse	Nein
Kommunikationsdaten	Gesprächsinhalte, Anfragen, Buchungen	Nein
Gesundheitsdaten*	Symptome, Diagnosen, Behandlungen	Ja

* Besonderer Hinweis für Arztpraxen: Bei der Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) gelten erhöhte Schutzanforderungen. Der Auftragnehmer gewährleistet entsprechende technische und organisatorische Maßnahmen.

§ 4 Kategorien betroffener Personen

Kunden/Gäste des Auftraggebers
Patienten des Auftraggebers (bei medizinischen Einrichtungen)
Interessenten und Anfragende
Mitarbeiter des Auftraggebers (soweit deren Daten verarbeitet werden)

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verpflichtet sich:

Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
Die Vertraulichkeit der Verarbeitung zu gewährleisten
Alle erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zu treffen
Unterauftragnehmer nur mit vorheriger Genehmigung des Auftraggebers einzusetzen
Den Auftraggeber bei der Erfüllung seiner Pflichten zu unterstützen
Nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben
Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung bereitzustellen

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

§ 6 Unterauftragnehmer

(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zum Einsatz folgender Unterauftragnehmer:

Unterauftragnehmer	Leistung	Standort	DSGVO-Status
Microsoft Azure	Spracherkennung (Speech-to-Text)	Germany West Central (Frankfurt)	✓ EU-Rechenzentrum
Mistral AI	KI-Textverarbeitung	Paris, Frankreich	✓ EU-Unternehmen
Hetzner Online GmbH	Server-Hosting	Deutschland	✓ Deutsches Unternehmen
TENIOS GmbH	Telefonie-Infrastruktur	Deutschland	✓ Deutsches Unternehmen

(2) Der Auftragnehmer informiert den Auftraggeber über Änderungen bei Unterauftragnehmern. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen.

(3) Alle Unterauftragnehmer sind vertraglich zur Einhaltung der DSGVO verpflichtet.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer gewährleistet folgende Maßnahmen gem. Art. 32 DSGVO:

Vertraulichkeit

Zutrittskontrolle: Serverstandorte in gesicherten Rechenzentren
Zugangskontrolle: Passwortschutz, SSH-Keys, 2-Faktor-Authentifizierung
Zugriffskontrolle: Rollenbasierte Berechtigungen, Protokollierung
Trennungskontrolle: Mandantentrennung, separate Datenbanken

Integrität

Weitergabekontrolle: TLS-Verschlüsselung für alle Übertragungen
Eingabekontrolle: Protokollierung aller Dateneingaben

Verfügbarkeit und Belastbarkeit

Regelmäßige Backups
Redundante Systeme
Notfallwiederherstellungsplan

Verfahren zur regelmäßigen Überprüfung

Regelmäßige Sicherheitsupdates
Jährliche Überprüfung der TOMs
Dokumentation aller sicherheitsrelevanten Vorfälle

§ 8 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen:

Durch Einholung von Auskünften
Durch Einsichtnahme in Unterlagen und Dokumentationen
Durch Vor-Ort-Kontrollen nach Vorankündigung

(2) Der Auftragnehmer stellt auf Anfrage aktuelle Nachweise über die TOMs zur Verfügung.

§ 9 Meldepflichten bei Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich (innerhalb von 24 Stunden) über:

Verletzungen des Schutzes personenbezogener Daten
Schwerwiegende Störungen des Betriebsablaufs
Verdacht auf Datenschutzverstöße

(2) Die Meldung erfolgt an:

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Auftrags löscht der Auftragnehmer alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Auf Wunsch des Auftraggebers werden die Daten vor Löschung in einem gängigen Format übergeben.

(3) Die Löschung wird dokumentiert und dem Auftraggeber auf Anfrage bestätigt.

(4) Löschfrist nach Vertragsende: 30 Tage

§ 11 Haftung

(1) Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.

(2) Die Parteien haften gegenüber betroffenen Personen gesamtschuldnerisch.

§ 12 Schlussbestimmungen

(1) Diese Vereinbarung unterliegt deutschem Recht.

(2) Änderungen und Ergänzungen bedürfen der Schriftform.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Diese Vereinbarung tritt mit Unterzeichnung in Kraft und gilt für die Dauer des Hauptvertrages.