Auftragsverarbeitungsvertrag
Gemäß Art. 28 DSGVO zwischen Ihnen (Verantwortlicher) und InfinityMade (Auftragsverarbeiter). Wirksam mit Vertragsabschluss.
§ 1 Gegenstand und Dauer
(1) Dieser AVV regelt die Verarbeitung personenbezogener Daten durch InfinityMade (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Bereitstellung der vereinbarten SaaS-Dienste (insbesondere Praxura Praxissoftware).
(2) Die Dauer des AVV entspricht der Dauer des Hauptvertrags zwischen den Parteien.
§ 2 Art und Zweck der Verarbeitung
InfinityMade verarbeitet folgende personenbezogene Daten zum Zweck der Bereitstellung des Dienstes:
- Endkunden / Patienten des Kunden: Vorname, Nachname, Kontaktdaten, Termindaten, Versorgungsdaten (z. B. ICD-10, Heilmittelposition, Verordnungsdaten), Behandlungsdokumentation, IP-Adresse
- Kunde selbst: Geschäftsname, Adresse, Kontaktdaten, Zahlungsinformationen (durch Stripe verarbeitet), Login-Daten
§ 3 Kategorien betroffener Personen
- Patientinnen und Patienten des Kunden, die Termine buchen oder behandelt werden
- Mitarbeiter des Kunden, die das Dashboard nutzen
§ 4 Pflichten des Auftragsverarbeiters
InfinityMade verpflichtet sich:
- Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten;
- InfinityMade informiert den Kunden unverzüglich, wenn InfinityMade der Auffassung ist, dass eine Weisung des Kunden gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
- Die Vertraulichkeit der Daten zu gewährleisten und seine Mitarbeiter entsprechend zu verpflichten;
- Geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu treffen — insbesondere TLS-Verschlüsselung, Vault-basierte Speicherung sensibler Schlüssel, Zugriffskontrollen, regelmäßige Backups;
- Den Kunden bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Datenübertragbarkeit) zu unterstützen;
- Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden, an den Kunden zu melden;
- InfinityMade unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung sowie vorherige Konsultation der Aufsichtsbehörde).
- Auf Verlangen Audits zu ermöglichen und Nachweise über die Einhaltung der Pflichten vorzulegen;
- Nach Beendigung des Vertrags alle Daten des Kunden auf dessen Wahl zurückzugeben oder zu löschen.
§ 5 Unterauftragsverarbeiter (Sub-Processors)
Der Kunde willigt ein, dass InfinityMade folgende Unterauftragsverarbeiter zur Erbringung der Dienste einsetzt:
Supabase Inc.
Datenbank- und Authentifizierungs-Service. Hosting in Frankfurt (EU). DPA
Hetzner Online GmbH
VPS-Hosting für Kalender-API und Workflows. Nürnberg, Deutschland. DPA
Vercel Inc.
Hosting der Website-Anwendung. Serverless ausschließlich in Frankfurt (EU). DPA
Stripe Payments Europe Ltd.
Zahlungsabwicklung. Sitz in Irland. DPA
Microsoft Ireland Operations Ltd. (Azure AI Foundry)
KI-Verarbeitung von Praxis-Dokumenten in der EU-Region Sweden Central. Keine Drittlandübermittlung. DPA
Sentry (Functional Software, Inc.)
Fehler-Monitoring mit PII-Scrubbing. EU-Region. DPA
InfinityMade wird den Kunden mindestens 30 Tage vor Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters informieren. Der Kunde hat das Recht, dem zu widersprechen.
§ 6 Datenübertragung in Drittländer
Soweit Daten ausnahmsweise in Länder außerhalb der EU/EWR übertragen werden (insbesondere bei US-Anbietern wie Stripe oder Vercel-Konzern), wird dies auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO durchgeführt. InfinityMade hat mit den entsprechenden Anbietern SCCs abgeschlossen.
§ 7 Technische und organisatorische Maßnahmen (TOMs)
- Zutrittskontrolle: Server in zertifizierten Rechenzentren der Sub-Prozessoren
- Zugangskontrolle: Authentifizierung über Supabase Auth, JWT-Tokens, Multi-Faktor-Authentifizierung möglich
- Zugriffskontrolle: Row-Level-Security in der Datenbank, RBAC im Dashboard
- Weitergabekontrolle: TLS 1.2+ für alle Verbindungen
- Eingabekontrolle: Logging aller Änderungen mit Zeitstempel
- Verfügbarkeitskontrolle: Tägliche Backups, geografische Redundanz
- Trennungskontrolle: Multi-Tenant-Architektur mit business-bezogener Isolation
- Verschlüsselung sensibler Daten: Supabase Vault für API-Keys, AES-256
§ 8 Rechte und Pflichten des Kunden
Der Kunde ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Insbesondere:
- Sicherstellung einer Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse, gesetzlicher Erlaubnistatbestand);
- Information seiner Patienten über die Datenverarbeitung (Datenschutzerklärung);
- Beachtung der berufsrechtlichen Schweigepflichten (§ 203 StGB) und Vorgaben des Heilmittelrechts;
- Erfüllung der Auskunfts-, Löschungs- und Berichtigungsrechte gegenüber den Patienten.
§ 9 Beendigung
Nach Beendigung des Hauptvertrags wird InfinityMade auf Wunsch des Kunden alle Daten des Kunden zurückgeben oder löschen. Eine Aufbewahrung erfolgt nur, soweit gesetzlich erforderlich (z. B. handelsrechtliche Aufbewahrungspflichten für Rechnungen).
§ 10 Schlussbestimmungen
(1) Bei Widersprüchen zwischen Hauptvertrag, AGB und diesem AVV gehen die Bestimmungen dieses AVV in Datenschutzfragen vor.
(2) Es gilt deutsches Recht. Gerichtsstand ist Siegburg.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.