Auftragsverarbeitungsvertrag (AVV)

AUFTRAGSVERARBEITUNGSVERTRAG (AVV)
gemaess Art. 28 DSGVO
zwischen
[Name der Klinik] Adresse: [Adresse] (im Folgenden "Verantwortlicher")
und
Flowmatix - Automation An der Moerbaeke 6 27798 Hude Germany (im Folgenden "Auftragsverarbeiter")

GEGENSTAND DER VERARBEITUNG
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der:
- digitalen Patientenkommunikation
- Vorqualifizierung von Patienten
- Organisation von Beratungen und Terminen
- Weiterleitung patientenbezogener Informationen an das Fachpersonal der Klinik
Die Verarbeitung erfolgt ausschliesslich nach Weisung des Verantwortlichen.

ART DER DATEN
Folgende Kategorien personenbezogener Daten koennen verarbeitet werden:
- Stammdaten (Name, Alter, Geschlecht, Land)
- Kontaktdaten (z. B. Telefonnummer, E-Mail)
- Gesundheitsbezogene Angaben (z. B. Haarstatus, medizinische Vorgeschichte)
- Bilddaten (medizinische Fotos)
- Termindaten und Kommunikationsinhalte

KATEGORIEN BETROFFENER PERSONEN
- Patienten und Interessenten der Klinik

ZWECK DER VERARBEITUNG
Die Datenverarbeitung dient ausschliesslich der:
- Vorbereitung einer aerztlichen Beurteilung
- Patientenberatung und Terminorganisation
- internen Weiterleitung an Aerzte, Koordinatoren oder autorisiertes Klinikpersonal
Es erfolgt keine medizinische Diagnose oder Entscheidungsfindung durch den Auftragsverarbeiter.

WEISUNGSRECHT
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen.

VERTRAULICHKEIT
Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten vertraulich zu behandeln und nur solchen Personen Zugriff zu gewaehren, die zur Verarbeitung befugt sind und zur Vertraulichkeit verpflichtet wurden.

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Der Auftragsverarbeiter trifft folgende Massnahmen gemaess Art. 32 DSGVO:

Verschluesselung:
- TLS 1.3 fuer alle Datenuebertragungen
- Verschluesselte Datenbankfelder (pgcrypto) fuer sensible Daten
- Verschluesselte Backups auf Cloudflare R2 (EU-Region)

Zugriffskontrolle:
- Rollenbasierte Zugriffskontrolle (RBAC) mit 6 Rollen
- Row-Level Security (RLS) auf Datenbankebene fuer Mandantenisolation
- JWT-basierte Authentifizierung mit automatischer Token-Erneuerung

Infrastruktur:
- Server-Standort: Frankfurt, Deutschland (Hetzner)
- Firewall (UFW) + Fail2Ban gegen Brute-Force
- Docker-Container mit Read-Only Dateisystemen
- DDoS-Schutz via Cloudflare

Datensicherung:
- Taegliche verschluesselte Backups auf Cloudflare R2 (EU-Region)
- Aufbewahrung: 7 taeglich, 4 woechentlich, 6 monatlich

Ueberwachung:
- 24/7 System-Monitoring (Prometheus, Grafana, Uptime Kuma)
- Automatische Alarmierung bei Ausfaellen

UNTERAUFTRAGSVERARBEITER
Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter zur Erfuellung des Vertrags technische Dienstleister (z. B. Hosting-, Kommunikations- oder Cloud-Dienste) einsetzen darf, sofern diese ebenfalls DSGVO-konform arbeiten.

LISTE DER UNTERAUFTRAGSVERARBEITER
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

| Dienstleister | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting | Frankfurt, Deutschland | EU |
| 360dialog GmbH | WhatsApp Business API | Berlin, Deutschland | EU |
| Anthropic Inc. | KI-Sprachverarbeitung (Claude) | San Francisco, USA | EU-US DPF |
| OpenAI Inc. | Spracherkennung (Whisper) | San Francisco, USA | EU-US DPF |
| Google LLC | Calendar, Drive, Sheets Integration | USA | EU-US DPF |
| Stripe Inc. | Zahlungsabwicklung | USA | EU-US DPF |
| Cloudflare Inc. | CDN, R2-Fotospeicher, Backup-Speicherung | USA (Unternehmen), EU (Daten) | EU-US DPF + SCCs |
| Meta Platforms Inc. | WhatsApp Messaging API | USA | EU-US DPF |

Aenderungen an der Liste der Unterauftragsverarbeiter werden dem Verantwortlichen mit einer Frist von 14 Tagen mitgeteilt.

DRITTLANDTRANSFER
Soweit personenbezogene Daten in Drittlaender (insbesondere die USA) uebermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework (DPF) gemaess Art. 45 DSGVO und/oder auf Basis von Standardvertragsklauseln (SCCs) gemaess Art. 46 Abs. 2 lit. c DSGVO.

KVKK-KONFORMITAET (Tuerkisches Datenschutzgesetz Nr. 6698)
Fuer Kliniken in der Tuerkei gelten zusaetzlich die Bestimmungen des KVKK. Die Uebermittlung personenbezogener Daten aus der Tuerkei nach Deutschland erfolgt auf folgenden Rechtsgrundlagen:
- Ausdrueckliche Einwilligung des Patienten (KVKK Art. 5/1 und Art. 9/1)
- Deutschland als EU-Mitgliedstaat bietet ein angemessenes Datenschutzniveau
- Der Auftragsverarbeiter wendet DSGVO- und KVKK-konforme technische und organisatorische Massnahmen an
Die VERBIS-Registrierungspflicht liegt beim Verantwortlichen (Klinik). Flowmatix stellt die erforderlichen technischen Informationen bereit.

MELDEPFLICHT BEI DATENPANNEN
Der Auftragsverarbeiter informiert den Verantwortlichen unverzueglich, spaetestens innerhalb von 24 Stunden, ueber jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO). Die Meldung umfasst die Art der Verletzung, die betroffenen Datenkategorien, die voraussichtlichen Folgen und die ergriffenen Massnahmen.

AUDIT-RECHT
Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags zu ueberpruefen. Der Auftragsverarbeiter stellt hierfuer erforderliche Informationen zur Verfuegung und ermoeglicht Audits nach vorheriger Ankuendigung (14 Tage Frist).

DATENSPEICHERDAUER
Personenbezogene Daten werden nur so lange gespeichert, wie es fuer den vereinbarten Zweck erforderlich ist oder wie vom Verantwortlichen vorgegeben.
Nach Beendigung der Verarbeitung werden die Daten geloescht oder zurueckgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

RECHTE BETROFFENER PERSONEN
Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Wahrung der Rechte betroffener Personen (Auskunft, Loeschung, Berichtigung), soweit dies im Rahmen der Verarbeitung erforderlich ist.

HAFTUNG
Der Auftragsverarbeiter uebernimmt keine Haftung fuer medizinische Entscheidungen, Behandlungsmassnahmen oder Therapieempfehlungen. Diese liegen ausschliesslich in der Verantwortung der Klinik.

LAUFZEIT
Dieser Vertrag gilt ab Unterzeichnung und endet mit Beendigung der Auftragsverarbeitung.

SCHLUSSBESTIMMUNGEN
Aenderungen und Ergaenzungen dieses Vertrags beduerfen der Schriftform.

Ort, Datum

[Name Klinik / Verantwortlicher]
Unterschrift: _________________________

[Flowmatix / Auftragsverarbeiter]
Unterschrift: _________________________