Vereinbarung zur Auftragsverarbeitung (AVV)

Diese AVV wird geschlossen zwischen dem Kunden (nachfolgend „Verantwortlicher“) und der Helia AI GmbH, mit Sitz in Eppstein, Deutschland (nachfolgend „Auftragsverarbeiter“).

Geltung: Diese Vereinbarung tritt in Kraft, sobald sie vom Verantwortlichen wirksam angenommen wurde. Sie ergänzt den zwischen den Parteien geschlossenen Servicevertrag (Hauptvertrag). Die Parteien werden einzeln als „Partei“ oder gemeinsam als „Parteien“ bezeichnet.

Dieses Dokument ist ein fester Bestandteil der vertraglichen Vereinbarung zwischen den Parteien und wird durch die Bestätigung des Verantwortlichen ohne eigenhändige Unterschrift wirksam.

Hintergrund

(A) Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten (wie unten definiert).

(B) Die Parteien haben einen Servicevertrag geschlossen. Im Zusammenhang mit der Erbringung des Dienstes („Service“) wird der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

(C) Die Parteien wünschen, den Servicevertrag durch diese AVV zu ergänzen, um die Bedingungen für die Verarbeitung personenbezogener Daten zu formalisieren.

(D) Diese AVV ist rechtlich bindend. Ihr Zweck ist es, die Compliance gemäß Artikel 28 Abs. 3 der Verordnung (EU) 2016/679 (DSGVO) sicherzustellen.

(E) Diese Vereinbarung entbindet den Auftragsverarbeiter unter keinen Umständen von seinen Verpflichtungen gemäß der DSGVO oder anderen anwendbaren nationalen oder europäischen Gesetzen und Verordnungen.

1. Vertragsgegenstand

Zusätzlich zum Hauptteil dieser Vereinbarung enthält diese AVV folgende Anlagen:

  • Anlage 1: Anweisungen zur Verarbeitung (Datenkategorien, Zwecke, Löschfristen)
  • Anlage 2: Technische und organisatorische Maßnahmen (TOMs)
  • Anlage 3: Unterauftragsverarbeiter

Sollte eine Bestimmung dieser AVV im Widerspruch zum Servicevertrag stehen, haben die Bestimmungen dieser AVV Vorrang.

2. Definitionen

  • Begriffe, die in der DSGVO definiert sind, haben in dieser AVV dieselbe Bedeutung.
  • Genehmigter Zweck: Die Verarbeitung durch den Auftragsverarbeiter zur Erfüllung des Servicevertrags, wie sie in Anlage 1 (Gegenstand, Art und Zweck der Verarbeitung) im Detail spezifiziert ist.
  • Genehmigte Unterauftragsverarbeiter: Alle in Anlage 3 aufgeführten Dienstleister.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Personenbezogene Daten ausschließlich für die genehmigten Zwecke zu verarbeiten.
  2. Die Daten gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.
  3. Die Vertraulichkeit der verarbeiteten Daten zu wahren. Er stellt sicher, dass alle zur Verarbeitung befugten Personen:
  • sich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen; und
  • entsprechende Schulungen zum Datenschutz erhalten haben.
  1. Dem Auftragsverarbeiter ist bekannt, dass der Verantwortliche der strafbewehrten Schweigepflicht gemäß § 203 StGB unterliegt. Der Auftragsverarbeiter verpflichtet sich, die erforderlichen Vorkehrungen zu treffen, um diese Geheimnisschutzinteressen zu wahren und nur solche Mitarbeiter und Unterauftragnehmer einzusetzen, die wirksam zur Verschwiegenheit verpflichtet wurden.
  2. Geeignete technische und organisatorische Maßnahmen (TOMs) zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (siehe Anlage 2).
  3. Den Verantwortlichen bei der Erfüllung von Betroffenenrechten und Datenschutz-Folgenabschätzungen zu unterstützen.

4. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

  1. Weisungen zur Datenverarbeitung schriftlich (z. B. per E-Mail oder durch Nutzung der Software-Funktionen) zu dokumentieren.
  2. Die Einhaltung der DSGVO-Pflichten durch den Auftragsverarbeiter zu überwachen.
  3. Der Verantwortliche ist berechtigt, Kontrollen (Audits) durchzuführen. Solche Audits sind 30 Tage im Voraus anzukündigen und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig stören.

5. Ort der Verarbeitung

  1. Die Verarbeitung der personenbezogenen Daten erfolgt grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR).
  2. Die konkreten Standorte und Rechenzentren der eingesetzten Unterauftragsverarbeiter sind in Anlage 3 spezifiziert.
  3. Eine Verlagerung der Verarbeitung in ein Drittland (außerhalb EU/EWR) ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss oder EU-Standardvertragsklauseln).

6. Unterauftragsverarbeiter

  1. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Unterauftragsverarbeiter heranzuziehen oder bestehende zu ersetzen. Die aktuell genehmigten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.

  2. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung durch Mitteilung in Textform (z. B. per E-Mail oder über die Plattform) mindestens 14 Tage vor dem Wirksamwerden.

  3. Der Verantwortliche kann gegen die Änderung innerhalb dieser Frist aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt.

  4. Erhebt der Verantwortliche Widerspruch, ist der Auftragsverarbeiter berechtigt, die Leistungen unverändert weiter zu erbringen. Ist dies technisch oder wirtschaftlich nicht zumutbar, steht beiden Parteien ein außerordentliches Kündigungsrecht mit einer Frist von 14 Tagen zum Ende des Kalendermonats zu.

7. Datentransfer in Drittländer

  1. Eine Verarbeitung personenbezogener Daten in einem Drittland (außerhalb von EU/EWR) findet nur statt, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

  2. Die Parteien sind sich einig, dass die Absicherung des Transfers primär durch die in Anlage 3 (Unterauftragsverarbeiter) genannten Garantien erfolgt.

  3. Ergänzende technische Schutzmaßnahmen, die den Zugriff durch unbefugte Dritte in Drittländern erschweren oder verhindern (z. B. Verschlüsselungsverfahren), sind in Anlage 2 (TOM) beschrieben.

8. Rechte der betroffenen Personen

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflicht zur Beantwortung von Anträgen auf Ausübung der in Kapitel III der DSGVO genannten Betroffenenrechte.

  2. Gehen Anfragen betroffener Personen direkt beim Auftragsverarbeiter ein, wird dieser diese unverzüglich an den Verantwortlichen weiterleiten.

  3. Sofern die Unterstützung durch den Auftragsverarbeiter über die Bereitstellung der in der Software vorhandenen Funktionen hinausgeht und nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen ist, ist der Auftragsverarbeiter berechtigt, den damit verbundenen Aufwand nach Aufwand zu marktüblichen Sätzen in Rechnung zu stellen.

9. Sicherheit

Der Auftragsverarbeiter setzt die in Anlage 2 beschriebenen TOMs um. Diese Maßnahmen können der technischen Weiterentwicklung angepasst werden, solange das Sicherheitsniveau nicht unterschritten wird.

10. Meldung von Datenpannen

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme.

11. Laufzeit und Beendigung

Diese AVV tritt mit ihrer wirksamen Annahme in Kraft und gilt für die Dauer des Hauptvertrags. Nach Beendigung wird der Auftragsverarbeiter die Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Anlage 1 - Anweisung zur Verarbeitung

Gegenstand und Art der Verarbeitung: Verarbeitung von Audio-Rohdaten mittels KI zur Erstellung medizinischer Dokumentationstexte.

Kategorien betroffener Personen: Patienten des Verantwortlichen, behandelndes medizinisches Personal.

Art der personenbezogenen Daten: * Gesundheitsdaten (Art. 9 DSGVO): Anamnesen, Symptome, Diagnosen, Therapieverläufe.

  • Stammdaten: Name, Alter (sofern im Gespräch genannt).

Speicherdauer: Es erfolgt keine dauerhafte Speicherung der Audioaufnahmen. Die technischen Details zur sofortigen Löschung nach der Transkription sind in Anlage 2 (TOM) unter „Löschkonzept“ beschrieben.

  • Transkripte / Text-Entwürfe: Diese werden für die Dauer der Bearbeitung durch den Nutzer gespeichert, maximal jedoch für 30 Tage. Danach erfolgt eine automatische Löschung oder Anonymisierung.

Anlage 2 – Technische und Organisatorische Maßnahmen (TOMs)

Siehe Technische und Organisatorische Maßnahmen (TOMs).

Anlage 3 – Unterauftragsverarbeiter

Siehe Unterauftragsverarbeiter.

Helia - AI Documentation for Therapy and Rehabilitation Practices