Auftragsverarbeitungsvertrag (AVV)

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Präambel & Parteien

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Carelis-Software. Er gilt zwischen

• dem Kunden (Betreuungsdienst) als Verantwortlichem — nachfolgend „Auftraggeber“ — und
• Julian Finn Kontalis (Einzelunternehmen, Marke „Carelis“), Oerath 137, 41812 Erkelenz, als Auftragsverarbeiter — nachfolgend „Auftragnehmer“.

§ 1 Gegenstand, Art und Zweck der Verarbeitung

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers zur Bereitstellung der Carelis-Software (Verwaltung von Klienten, Einsatzplanung, Dokumentation, Leistungsnachweise und Abrechnung nach § 45b SGB XI). Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Laufzeit entspricht der Laufzeit des Hauptvertrags.

§ 2 Kategorien betroffener Personen und Daten

Betroffene Personen: Klienten/Pflegebedürftige, deren Angehörige, Mitarbeitende des Auftraggebers.

Datenkategorien: Stammdaten, Kontaktdaten, Versicherungs-/Abrechnungsdaten, Pflegegrad und Gesundheitsdaten (Art. 9 DSGVO), Dokumentations- und Einsatzdaten, Unterschriften.

§ 3 Pflichten des Auftragnehmers

1. Verarbeitung nur auf dokumentierte Weisung; Hinweis bei rechtswidrigen Weisungen.
2. Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
3. Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (Anlage 1).
4. Einsatz von Unterauftragsverarbeitern nur nach Maßgabe von § 5.
5. Unterstützung des Auftraggebers bei Betroffenenrechten (Art. 12–23) sowie bei Pflichten nach Art. 32–36 DSGVO.
6. Meldung von Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis.
7. Nach Wahl des Auftraggebers Löschung oder Rückgabe aller Daten nach Beendigung (vorbehaltlich gesetzlicher Aufbewahrungspflichten).
8. Nachweis der Einhaltung und Ermöglichung von Überprüfungen (§ 6).

§ 3a Verschwiegenheit und Wahrung von Berufsgeheimnissen (§ 203 StGB)

1. Der Auftragnehmer verpflichtet sich, über alle im Rahmen dieses Vertrags bekannt werdenden Daten und Informationen des Auftraggebers — insbesondere personenbezogene Daten und Gesundheitsdaten (Art. 9 DSGVO) der Klienten, ihrer Angehörigen und der Mitarbeitenden — Stillschweigen zu bewahren. Diese Pflicht gilt zeitlich unbegrenzt und über die Beendigung dieses Vertrags hinaus.
2. Der Auftragnehmer gibt keine Daten an Dritte weiter. Ausgenommen sind ausschließlich die in Anlage 2 genannten, vom Auftraggeber genehmigten Unterauftragsverarbeiter, die nur zur Leistungserbringung und auf Grundlage gleichwertiger Vertraulichkeits- und Datenschutzpflichten tätig werden. Eine Nutzung zu eigenen Zwecken findet nicht statt; insbesondere werden die Daten nicht zum Training von KI-Modellen und nicht zu Werbe- oder Analysezwecken verwendet.
3. Der Auftragnehmer verpflichtet alle zur Verarbeitung befugten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit und zum Datengeheimnis (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO); die Verpflichtung wirkt nach Beendigung der Tätigkeit fort.
4. Berufsgeheimnis (§ 203 StGB): Soweit der Auftraggeber einer Geheimhaltungspflicht nach § 203 StGB unterliegt, wird der Auftragnehmer als sonstige mitwirkende Person im Sinne des § 203 Abs. 3 StGB tätig. Der Auftraggeber weist hiermit auf diese Pflicht hin. Der Auftragnehmer verpflichtet sich, ihm anvertraute oder bekannt gewordene fremde Geheimnisse nicht unbefugt zu offenbaren, und ist sich bewusst, dass eine unbefugte Offenbarung nach § 203 StGB strafbar sein kann. Er verpflichtet die von ihm eingesetzten Personen entsprechend und gibt diese Pflicht an die in Anlage 2 genannten Unterauftragsverarbeiter weiter, soweit diese Zugang zu geschützten Geheimnissen erhalten können.
5. Eine Offenbarung oder Weitergabe erfolgt nur, soweit der Auftragnehmer gesetzlich dazu verpflichtet ist (z. B. behördliche oder gerichtliche Anordnung). In diesem Fall informiert der Auftragnehmer den Auftraggeber unverzüglich vorab, soweit dies rechtlich zulässig ist.
6. Verstöße gegen die Verschwiegenheitspflicht berechtigen den Auftraggeber zur außerordentlichen Kündigung; weitergehende Ansprüche (Art. 82 DSGVO, §§ 280 ff. BGB) bleiben unberührt.

§ 4 Pflichten des Auftraggebers

Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte verantwortlich. Er erteilt Weisungen grundsätzlich in Textform über die in der Anwendung vorgesehenen Funktionen bzw. an den Auftragnehmer (Julian Finn Kontalis, Oerath 137, 41812 Erkelenz; E-Mail: kontalis@l-sin.com).

§ 5 Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu. Der Auftragnehmer informiert über beabsichtigte Änderungen und räumt ein Widerspruchsrecht ein. Mit jedem Unterauftragsverarbeiter werden gleichwertige Datenschutzpflichten vereinbart.

§ 6 Kontrollrechte

Der Auftragnehmer weist die Einhaltung der Pflichten auf Anfrage nach, vorrangig durch Bereitstellung geeigneter Dokumentation/Zertifikate. Vor-Ort-Prüfungen sind mit angemessener Vorankündigung und ohne Betriebsstörung möglich.

§ 7 Haftung

Es gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags (AGB).

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

• Vertraulichkeit: Zutritts-, Zugangs- und Zugriffskontrolle; rollenbasierte Rechte; mandantengetrennter Zugriff (Row Level Security); Verpflichtung auf Vertraulichkeit.
• Integrität: Verschlüsselte Übertragung (TLS); Protokollierung sicherheitsrelevanter Aktionen (Audit-Log); Eingabekontrolle.
• Verfügbarkeit/Belastbarkeit: Verschlüsselte Speicherung im Ruhezustand beim Hosting-Dienstleister; tägliche automatisierte Backups durch den Hosting-Dienstleister.
• Verfahren zur regelmäßigen Überprüfung: Trennung von Test- und Produktivdaten; Aktualisierung von Abhängigkeiten.

Anlage 2 — Genehmigte Unterauftragsverarbeiter