Auftragsverarbeitungsvertrag
Vereinbarung gemäß Art. 28 DSGVO zwischen der Denta1 Education GmbH („Auftragnehmer") und dem/der Kund:in („Verantwortliche:r").
Mit Vertragsschluss bei DentaVision wird diese AV-Vereinbarung automatisch zwischen Auftragnehmer und Verantwortliche:m geschlossen.
§ 1 Gegenstand und Dauer
Der Auftragnehmer verarbeitet personenbezogene Daten (insbesondere Patient:innen-Stamm- und Behandlungsdaten) im Auftrag des/der Verantwortlichen. Der Vertrag läuft so lange wie der Hauptvertrag über die Nutzung von DentaVision.
§ 2 Art und Zweck der Verarbeitung
Verarbeitet werden:
- Patient:innen-Stammdaten (Name, Adresse, Geburtsdatum, Kontaktdaten)
- Terminhistorie + nächste Termine
- HKP-Daten (Heil- und Kostenpläne, Beträge, Phasen)
- Recall- und Kommunikations-Historie
- NPS-Antworten (pseudonymisiert)
Zwecke: Aggregation, Scoring, Recall-Steuerung, NPS-Auswertung.
§ 3 Pflichten des Auftragnehmers
- Verarbeitung nur auf dokumentierte Weisung der/des Verantwortlichen
- Verpflichtung der Mitarbeitenden zur Vertraulichkeit (§ 28 Abs. 3 b DSGVO)
- Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO (siehe Anlage)
- Unterstützung bei Anfragen Betroffener (Auskunft, Löschung, etc.)
- Meldung von Datenschutzverletzungen unverzüglich, spätestens 24 Std. nach Kenntnis
- Löschung oder Rückgabe aller Daten nach Vertragsende
§ 4 Technisch-organisatorische Maßnahmen (TOM)
- Verschlüsselung at-rest (Postgres bytea + AES-256-GCM für Credentials)
- Verschlüsselung in-transit (TLS 1.2+ via Let's Encrypt)
- Mandanten-Isolierung via Row-Level-Security (Postgres RLS, geprüft per Audit-Script)
- Server-Standort Deutschland (Karlsruhe + Offsite-Backup Falkenstein)
- Tägliche verschlüsselte Backups mit Restore-Test (monatlich)
- Audit-Log aller Aktionen, Aufbewahrung gemäß Plan (90 Tage Pro, 12 Monate Praxis)
- Zugriff nur per 2FA (WorkOS) oder Mail-OTP
- Logging mit Redaction sensibler Felder (Passwörter, Tokens)
§ 5 Unterauftragsverarbeiter
Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:
| Anbieter | Zweck | Standort |
|---|---|---|
| STRATO AG | Cloud-Server-Hosting | Karlsruhe, DE |
| Hetzner Online GmbH | Offsite-Backup, DNS | Falkenstein, DE |
| Mailjet (Sinch) | Transaktions-E-Mails | Paris, FR (EU) |
| WorkOS Inc. | Authentifizierung | US, EU-Data-Residency aktiv |
| Ablefy (Namotto) | Zahlungsabwicklung | DE |
Mit jedem Unterauftragsverarbeiter besteht ein entsprechender AV-Vertrag.
§ 6 Kontrollrechte
Der/die Verantwortliche hat das Recht, die Einhaltung der TOM zu prüfen. Der Auftragnehmer ermöglicht dies auf Anfrage durch Bereitstellung relevanter Nachweise. Ein Vor-Ort-Audit ist mit angemessenem Vorlauf (mind. 14 Tage) einmal jährlich möglich.
Stand: 20. Mai 2026
Diese AVV ist eine Vorlage. Vor Live-Schaltung durch eine:n Datenschutzbeauftragten prüfen lassen — insbesondere TOM-Liste und Unterauftragsverarbeiter aktualisieren.