Auftragsverarbeitungsvertrag (AVV)

1. Vertragsparteien und Gegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Praxisverwaltungssoftware „MYPRXS" (nachfolgend „Dienst").

Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO ist die den Dienst nutzende Praxis bzw. der registrierte Kunde (nachfolgend „Verantwortliche").

Auftragsverarbeiterin im Sinne des Art. 4 Nr. 8 DSGVO ist die MYBDY GmbH, Rudolf Jungmair-Gasse 2, 4840 Vöcklabruck, Österreich (FN 627763 g, Landesgericht Wels; UID ATU 80645704; nachfolgend „MYPRXS").

Der AVV gilt für alle Verarbeitungen personenbezogener Daten, die MYPRXS im Auftrag und nach Weisung der Verantwortlichen im Rahmen der Bereitstellung des Dienstes durchführt. Er wird beim Onboarding elektronisch geschlossen (Art. 28 Abs. 9 DSGVO) und in der jeweils akzeptierten Version dokumentiert.

2. Gegenstand, Art, Zweck und Dauer der Verarbeitung

• Gegenstand: Bereitstellung und Betrieb der webbasierten Praxisverwaltungssoftware MYPRXS.
• Art: Erhebung, Speicherung, Organisation, Anpassung, Auslesen, Verwendung, Bereitstellung und Löschung personenbezogener Daten.
• Zweck: Termin-, Klienten- und Rechnungsverwaltung, Terminerinnerungen, Formular-/Anamneseverwaltung, Behandlungsdokumentation und die übrigen Funktionen des Dienstes.
• Dauer: für die Laufzeit des Hauptvertrags (Nutzung des Dienstes). Endet mit Beendigung des Nutzungsverhältnisses.

3. Art der Daten und Kategorien betroffener Personen

Kategorien personenbezogener Daten:

• Stammdaten (Name, Anschrift, Geburtsdatum, Kontaktdaten)
• Termin-, Buchungs- und Abrechnungsdaten
• Gesundheitsdaten (besondere Kategorien nach Art. 9 DSGVO): Anamnese, Behandlungsnotizen, Behandlungspläne, ggf. Körper-/Befunddaten
• Kommunikations- und Nutzungsdaten

Kategorien betroffener Personen: Patientinnen und Patienten bzw. Klientinnen und Klienten der Verantwortlichen sowie deren Mitarbeitende.

Aufgrund der Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) gelten verschärfte technische und organisatorische Maßnahmen (siehe Ziffer 6).

4. Weisungsrecht der Verantwortlichen

MYPRXS verarbeitet die Daten ausschließlich im Rahmen des Hauptvertrags und nach dokumentierter Weisung der Verantwortlichen, sofern keine gesetzliche Verpflichtung eine andere Verarbeitung erfordert. Die Verantwortliche bleibt für die Zulässigkeit der Verarbeitung sowie die Wahrung der Betroffenenrechte verantwortlich.

Hält MYPRXS eine Weisung für rechtswidrig, weist sie die Verantwortliche unverzüglich darauf hin und darf die Ausführung bis zur Bestätigung aussetzen.

5. Pflichten der Auftragsverarbeiterin

• Vertraulichkeit: Zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet; die berufsrechtliche Verschwiegenheit der Verantwortlichen wird gewahrt.
• Datensicherheit: Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (Ziffer 6).
• Unterstützung: Unterstützung der Verantwortlichen bei der Wahrung der Betroffenenrechte (Art. 12–22) sowie bei den Pflichten nach Art. 32–36 (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
• Meldung: unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten an die Verantwortliche (Art. 33 Abs. 2 DSGVO).
• Nachweis: Bereitstellung der zur Einhaltung des Art. 28 erforderlichen Informationen und Ermöglichung von Überprüfungen (Ziffer 9).

6. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

• Verschlüsselung bei der Übertragung (TLS/HTTPS) und Verschlüsselung der Daten im Ruhezustand (Encryption at Rest)
• Mandantentrennung (Row-Level-Security) — strikte Trennung der Daten verschiedener Praxen
• Zugriffskontrolle, rollenbasierte Berechtigungen, gehashte Passwörter
• Protokollierung sicherheitsrelevanter Vorgänge (Audit-Log)
• Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur Wiederherstellung (Backup/Recovery)
• Hosting der Kerndatenbank ausschließlich in der EU (Frankfurt, Deutschland)
• Regelmäßige Überprüfung, Bewertung und Aktualisierung der Maßnahmen

7. Sub-Auftragsverarbeiter

Die Verantwortliche erteilt ihre allgemeine Genehmigung zum Einsatz der nachfolgenden Sub-Auftragsverarbeiter. MYPRXS informiert über beabsichtigte Änderungen; die Verantwortliche kann begründet widersprechen. Mit allen Sub-Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO; Übermittlungen in Drittländer erfolgen auf Grundlage des EU-U.S. Data Privacy Framework (DPF) und/oder von Standardvertragsklauseln (SCC).

8. Unterstützung bei Betroffenenrechten

MYPRXS unterstützt die Verantwortliche mit geeigneten technischen Mitteln dabei, Anträge betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit zu erfüllen (u. a. über Export- und Löschfunktionen im Dienst). Richtet sich eine betroffene Person direkt an MYPRXS, leitet MYPRXS das Ersuchen unverzüglich an die Verantwortliche weiter.

9. Löschung, Rückgabe, Nachweise und Audits

Nach Beendigung des Nutzungsverhältnisses werden die Daten nach Wahl der Verantwortlichen zurückgegeben oder gelöscht. Der Verantwortlichen wird hierfür ein Export-Zeitraum von 30 Tagen eingeräumt; danach erfolgt die unwiderrufliche Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. § 132 BAO, § 147 AO, § 630f BGB / § 51 ÄrzteG).

MYPRXS stellt der Verantwortlichen die zur Einhaltung des Art. 28 DSGVO erforderlichen Nachweise zur Verfügung und ermöglicht angemessene Überprüfungen (auch durch beauftragte Prüfer), soweit der laufende Betrieb und die Rechte Dritter dadurch nicht beeinträchtigt werden.

10. Schlussbestimmungen

Es gilt österreichisches Recht unter Ausschluss der Verweisungsnormen. Gerichtsstand ist Wels, Österreich. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Bei einer neuen Version des AVV ist eine erneute Zustimmung erforderlich.

Fragen zum AVV richten Sie an [email protected]. Siehe auch unsere Datenschutzerklärung.