AVV nach Art. 28 DSGVO

AVV nach Art. 28 DSGVO

AVV

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

zwischen

[Name und Anschrift des Verantwortlichen]

nachfolgend "Verantwortlicher" genannt,

und

HealthJet GmbH
Kollwitzstraße 37, 10405 Berlin, Deutschland
E-Mail: support@healthjet.ai

nachfolgend "Auftragsverarbeiter" oder "HealthJet" genannt,

gemeinsam die "Parteien".

1. Präambel und Rangfolge
  1. Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.
  2. Er konkretisiert die Rechte und Pflichten der Parteien in Bezug auf Datenschutz und Datensicherheit. Im Fall eines Widerspruchs zwischen diesem AVV und dem Hauptvertrag geht dieser AVV vor.
  3. Individuelle Abreden im Hauptvertrag bleiben unberührt, soweit sie diesen AVV nicht einschränken.

2. Begriffsbestimmungen

Es gelten die Begriffsbestimmungen der DSGVO, insbesondere Art. 4. Ergänzend gelten die folgenden Definitionen:
a) "Datenpanne" bedeutet eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO.
b) "TOMs" bedeutet technische und organisatorische Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2.
c) "Unterauftragsverarbeiter" bedeutet eine vom Auftragsverarbeiter beauftragte dritte Partei, die personenbezogene Daten im Auftrag verarbeitet.
d) "Drittlandtransfer" bedeutet Verarbeitung oder Zugriff aus einem Staat außerhalb des EWR, auch per Remote Support.

3. Gegenstand, Art, Zweck und Dauer der Verarbeitung

Hinweis: Die nachfolgenden Unterpunkte bündeln die Pflichtangaben aus Art. 28 Abs. 3 DSGVO. Die Detailangaben und Versionierung erfolgen in Anlage 1.

3.1 Gegenstand der Verarbeitung

HealthJet erbringt die in Anlage 1 beschriebenen Leistungen, insbesondere KI-gestützte Erstellung, Strukturierung und Verwaltung medizinischer Dokumente, einschließlich Transkription, Textgenerierung, Qualitätsprüfung, Export und Integration in Drittsysteme.

3.2 Art der Verarbeitung

Erheben, Erfassen, Ordnen, Speichern, Anpassen, Auslesen, Verwenden, Offenlegen durch Übermitteln, Abgleichen, Einschränken, Löschen.

3.3 Zwecke der Verarbeitung

Erfüllung des Hauptvertrags, insbesondere Unterstützung des Verantwortlichen bei medizinischer Dokumentation, Workflows, Qualitätssicherung, Abrechnung, Nachweis- und Rechenschaftspflichten, IT-Sicherheit, Fehleranalyse und Abwehr von Angriffen. Nicht umfasst ist ein Training allgemeiner KI-Modelle mit produktiven Daten ohne ausdrückliche schriftliche Zustimmung des Verantwortlichen.

3.4 Kategorien personenbezogener Daten und betroffene Personen

Die Kategorien personenbezogener Daten und betroffenen Personen sind in Anlage 1 beschrieben, einschließlich besonderer Kategorien nach Art. 9 Abs. 1 DSGVO.

3.5 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Nach Vertragsende gelten die Regelungen zur Rückgabe und Löschung in Ziffer 12. Konkrete Speicher- und Löschfristen werden in Anlage 1 festgelegt.

4. Verarbeitung nur auf Weisung

  1. HealthJet verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine gesetzliche Verpflichtung besteht. In diesem Fall informiert HealthJet den Verantwortlichen vor der Verarbeitung, sofern die Rechtsordnung dies nicht verbietet.

  2. HealthJet informiert den Verantwortlichen unverzüglich, wenn Weisungen aus Sicht von HealthJet gegen Datenschutzrecht verstoßen. Bis zur Klärung setzt HealthJet die Weisung aus.

5. Vertraulichkeit und Berufsgeheimnis

  1. HealthJet verpflichtet alle Personen, die Zugriff auf Daten haben, zur Vertraulichkeit und zur Einhaltung datenschutzrechtlicher Vorschriften, nachweisbar und vor Aufnahme der Tätigkeit.

  2. Soweit Gesundheitsdaten betroffen sind, beachtet HealthJet die Verschwiegenheitspflichten nach deutschem Recht, insbesondere § 203 StGB. HealthJet stellt vertraglich sicher, dass auch Unterauftragsverarbeiter geeignete Vertraulichkeitsverpflichtungen eingehen und nur befugte Personen Zugriff erhalten.

  3. Die Vertraulichkeitspflichten bestehen zeitlich unbegrenzt fort, auch nach Vertragsende.

6. Technische und organisatorische Maßnahmen

  1. HealthJet unterhält die in Anlage 2 beschriebenen TOMs. Diese gewährleisten ein dem Risiko angemessenes Schutzniveau nach Art. 32 DSGVO.

  2. Änderungen der TOMs sind zulässig, wenn mindestens ein gleichwertiges Schutzniveau erhalten bleibt. Wesentliche Änderungen dokumentiert HealthJet und informiert den Verantwortlichen in Textform.

  3. HealthJet führt regelmäßige Wirksamkeitskontrollen und Audits der TOMs durch und dokumentiert diese.

7. Unterstützungspflichten des Auftragsverarbeiters

  1. HealthJet unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechten nach Art. 12 bis 22 DSGVO, einschließlich Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Umfang und Verfahren sind in Anlage 1 konkretisiert.

  2. HealthJet unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, insbesondere bei Sicherheitsmaßnahmen, Meldung und Benachrichtigung von Datenpannen sowie bei Datenschutz-Folgenabschätzungen und gegebenenfalls bei der Konsultation der Aufsichtsbehörde.

  3. HealthJet stellt die zur Erfüllung dieser Pflichten erforderlichen Informationen unverzüglich und vollständig bereit.

8. Pflichten des Verantwortlichen

  1. Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung, die Informationspflichten gegenüber Betroffenen und die Wahrnehmung der Betroffenenrechte verantwortlich. Er erteilt Weisungen in Textform.

  2. Der Verantwortliche informiert HealthJet unverzüglich über Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Anforderungen.

  3. Der Verantwortliche trägt die Verantwortung für die fachliche Prüfung der von HealthJet bereitgestellten Funktionen und Ergebnisse, insbesondere bei medizinischen Entscheidungen.

9. Unterauftragsverhältnisse

  1. Der Einsatz von Unterauftragsverarbeitern bedarf der Genehmigung des Verantwortlichen. Die zum Zeitpunkt des Vertragsschlusses genehmigte Liste ist Anlage 3.

  2. HealthJet informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern in Textform. Der Verantwortliche kann innerhalb von 14 Kalendertagen begründeten Widerspruch einlegen. Bei unauflösbarem Widerspruch können die Parteien eine einvernehmliche Lösung suchen oder ein Sonderkündigungsrecht ausüben.

  3. HealthJet verpflichtet Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die mindestens den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen, einschließlich Verarbeitung nur auf dokumentierte Weisung, Vertraulichkeit, geeigneter TOMs, Unterstützungspflichten, Löschung oder Rückgabe sowie Auditmöglichkeiten. HealthJet bleibt für Handlungen des Unterauftragsverarbeiters verantwortlich.

  4. Nebenleistungen, die keine Verarbeitung personenbezogener Daten darstellen, sind keine Unterauftragsverhältnisse. Dazu zählen etwa Telekommunikationsdienste, Post- und Transportdienste, Reinigungsdienste, Facility Services, soweit kein Zugriff auf personenbezogene Daten erfolgt.

10. Internationale Datentransfers und Zugriffe aus Drittländern

  1. Die Verarbeitung erfolgt grundsätzlich im EWR. Soweit in Anlage 3 angegebene Unterauftragsverarbeiter oder deren Unterauftragnehmer Daten in Drittländern verarbeiten oder von dort aus darauf zugreifen, gilt dies als vorab genehmigt, sofern geeignete Garantien nach Kapitel V DSGVO bestehen.

  2. Soweit ein Drittlandtransfer oder ein Remote-Zugriff erforderlich ist, verwendet HealthJet geeignete Garantien, insbesondere die EU-Standardvertragsklauseln 2021-914 in der jeweils gültigen Fassung, gegebenenfalls mit ergänzenden Maßnahmen. HealthJet führt vorab eine Transfer Impact Assessment durch und stellt dem Verantwortlichen auf Anfrage die wesentlichen Ergebnisse zur Verfügung.

  3. HealthJet stellt sicher, dass auch Unterauftragsverarbeiter geeignete Garantien implementiert haben und dass die Transferkette durchgängig abgesichert ist.

11. Meldung von Datenpannen und Sicherheitsvorfällen

  1. HealthJet meldet dem Verantwortlichen ohne schuldhaftes Zögern, spätestens innerhalb von 72 Stunden nach Kenntnis, jede Verletzung des Schutzes personenbezogener Daten sowie erhebliche Sicherheitsvorfälle, die die Daten betreffen könnten.

  2. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit verfügbar, einschließlich Art des Vorfalls, betroffene Datenkategorien, Anzahl der betroffenen Datensätze, wahrscheinliche Folgen, getroffene und vorgeschlagene Abhilfemaßnahmen sowie Ansprechpartner bei HealthJet.

  3. HealthJet unterstützt den Verantwortlichen bei der Erfüllung von Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden und Betroffenen.

12. Rückgabe und Löschung von Daten

  1. Nach Abschluss der vertraglichen Leistungen oder auf Weisung des Verantwortlichen gibt HealthJet alle personenbezogenen Daten, die im Auftrag verarbeitet wurden, in einem gängigen, strukturierten und maschinenlesbaren Format zurück oder löscht sie datenschutzgerecht. Der Verantwortliche teilt innerhalb von 30 Kalendertagen mit, ob Rückgabe oder Löschung erfolgen soll. Bleibt eine Weisung aus, löscht HealthJet die Daten nach Ablauf der Aufbewahrungsfristen gemäß Anlage 1.

  2. Backups und Logdaten werden nach Ablauf der technisch bedingten Rotationsfristen gelöscht. HealthJet dokumentiert die Löschung und stellt dem Verantwortlichen auf Anfrage ein Löschprotokoll zur Verfügung.

  3. Gesetzliche Aufbewahrungspflichten bleiben unberührt. Solche Daten werden gesperrt und nicht anderweitig verarbeitet.

13. Nachweise, Informationspflichten und Auditrechte

  1. HealthJet stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem AVV niedergelegten Pflichten nachzuweisen, und ermöglicht Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.

  2. Audits sind mit einer Frist von 14 Kalendertagen anzukündigen, finden zu üblichen Geschäftszeiten statt und sind auf das erforderliche Maß zu beschränken. Betriebs- und Geschäftsgeheimnisse sowie Sicherheitskonzepte sind zu wahren. Alternativ kann HealthJet anerkannte Prüfberichte zur Verfügung stellen, zum Beispiel ISO 27001 Auditberichte, SOC 2 Typ 2, Pen-Test Reports.

  3. Erforderliche Mitwirkungshandlungen von HealthJet erfolgen in angemessenem Umfang. Notwendige, nachgewiesene Aufwendungen trägt der Verantwortliche, sofern kein Verstoß von HealthJet zugrunde liegt.

14. Haftung und Innenausgleich

  1. Die Parteien haften nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. HealthJet haftet auch für Pflichtverletzungen von Unterauftragsverarbeitern wie für eigenes Verschulden.

  2. Im Innenverhältnis tragen die Parteien Schäden im Verhältnis ihres Verursachungsbeitrags. Etwaige Haftungsbegrenzungen aus dem Hauptvertrag gelten, soweit zwingendes Datenschutzrecht nicht entgegensteht.

15. Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

  2. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt eine Regelung als vereinbart, die dem wirtschaftlichen Zweck am nächsten kommt.

  3. Es gilt deutsches Recht. Ausschließlicher Gerichtsstand ist der Sitz des Verantwortlichen, sofern der Hauptvertrag nichts anderes vorsieht.

  4. Rangfolge: Dieser AVV geht im Konfliktfall den AGB des Auftragsverarbeiters vor. Anlagen sind Bestandteil dieses AVV.

Download AVV:

Download

Anlage 1: Konkretisierung der Verarbeitung

Download

Anlage 2: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Download

Anlage 3: Genehmigte Unterauftragsverarbeiter

Download