Zurück

Auftragsverarbeitungsvertrag (AVV)

Version 1

gemäß Art. 28 Abs. 3 DSGVO

Abgeschlossen zwischen dem Gesundheitsdiensteanbieter (Praxis), dessen Identität, Adresse und Vertretungsberechtigte:r in der individuellen Vertragsbestätigung-PDF dokumentiert sind, als Verantwortlicher und

BRUTECS GmbH, Groß-Dörnbach Straße 12, 4073 Wilhering
FN 345293i, LG Linz · UID: ATU65652466
GF: Dipl.-Ing. Franz Brunhuber

als Auftragsverarbeiter, gemeinsam kurz: die Parteien.

Hinweis: Die Vertragsdaten des konkreten Verantwortlichen (Praxisname, Adresse, Vertretungsberechtigte:r, Vertragsabschluss-Zeitpunkt, IP-Adresse) werden im Rahmen des Self-Service-Onboardings auf onboarding.telmiko.at erfasst und in der personalisierten Vertragsbestätigung dokumentiert. Diese ist Bestandteil des abgeschlossenen Vertragsverhältnisses.

Allgemeine Angaben

1. Der Verantwortliche hat den Auftragsverarbeiter mit der Erbringung folgender Dienstleistungen beauftragt (im Folgenden kurz: die Datenanwendung): Betrieb der Telemedizin-Plattform „Telmiko“. Die Plattform ermöglicht telemedizinische Leistungen zwischen dem Verantwortlichen (als Gesundheitsdienstanbieter) und dessen Patienten, insbesondere Telekonsultationen, Medikamentenvorbestellungen und den sicheren Austausch medizinischer Dokumente. Der Auftragsverarbeiter stellt ausschließlich die technische Infrastruktur bereit und hat keinen Einblick in medizinische Inhalte oder Gesundheitsdaten. Telekonsultationsinhalte (Video/Audio) werden nicht gespeichert (WebRTC). Hochgeladene Dokumente werden serverseitig verschlüsselt; der Auftragsverarbeiter hat keinen Zugriff auf entschlüsselte Inhalte. Über die Management-Plattform (MGT) kann der Auftragsverarbeiter keine Gesundheitsdaten einsehen oder Patientendaten ändern. Ein Zugriff auf individuelle Patientendaten ist ausschließlich über den Verantwortlichen und nur bei Angabe der SVNR (zu Supportzwecken) möglich.

2. Die Verarbeitung erfolgt für folgende Dauer: unbefristet, für die Dauer der Leistungserbringung im Zusammenhang mit der Plattform Telmiko.

3. Im Rahmen der Datenanwendung verarbeitet der Auftragsverarbeiter folgende Datenkategorien: Identifikations- und Stammdaten via ID Austria (Vorname, Familienname, Geburtsdatum, Geschlecht, Staatsangehörigkeit, ID Austria Level, bPK); Adress- und Meldedaten via ID Austria (Hauptwohnsitz, PLZ, gemeldet seit, weitere Wohnsitze); Ausweisdaten via ID Austria (Lichtbild, Ausweisdokument, Personalausweis, Reisepass); SVNR; Kontaktdaten von Ärzten und deren Mitarbeitern (E-Mail, Telefon); technische Nutzungsdaten (Sitzungsdaten). Besondere Kategorien gem. Art. 9 DSGVO (für den Auftragsverarbeiter nicht einsehbar): Medikamentenbestellungen, hochgeladene medizinische Dokumente.

4. Die Daten folgender Kategorien von betroffenen Personen werden verarbeitet: Patienten des Verantwortlichen, die die Plattform Telmiko nutzen; Ärzte und Mitarbeiter des Verantwortlichen (Gesundheitsdienstanbieters).

§ 1 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Diese Vereinbarung sowie die AGB stellen eine solche Weisung dar.

(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anhang TOM, § 6).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten Maßnahmen bei der Erfüllung der Rechte Betroffener (Art. 12–22 DSGVO) sowie der Pflichten nach Art. 32–36 DSGVO.

(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

(6) Der Auftragsverarbeiter benennt einen Ansprechpartner für Datenschutzanfragen: hallo@telmiko.at.

§ 2 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der datenschutzrechtlichen Vorschriften, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 4 Nr. 7, Art. 24 DSGVO).

(2) Der Verantwortliche ist für die Einholung der erforderlichen Einwilligungen seiner Patienten zuständig, sofern diese nicht bereits über die Plattform eingeholt werden.

(3) Der Verantwortliche erteilt Weisungen schriftlich oder in elektronischer Form an die in § 1 Abs. 6 genannte Kontaktadresse.

§ 3 Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Verantwortliche stimmt der Heranziehung folgender Subunternehmer zu:

  • hosttech GmbH, Schweiz/Österreich — Hosting der Plattform und Speicherung der Daten ausschließlich auf Servern in Österreich
  • Google LLC, USA — ausschließlich Nutzung des öffentlichen STUN-Servers (stun.l.google.com) zur technischen Verbindungsherstellung bei Videokonsultationen. Es werden dabei nur technische Verbindungsdaten (IP-Adressen zur NAT-Auflösung) übertragen, keine Gesprächsinhalte oder Gesundheitsdaten

(2) Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mindestens 30 Tage vor Wirksamwerden informieren. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen aus wichtigem Datenschutzgrund widersprechen.

(3) Der Auftragsverarbeiter verpflichtet weitere Auftragsverarbeiter schriftlich oder in elektronischer Form auf gleichwertige Datenschutzpflichten, wie sie in diesem AVV vereinbart sind.

§ 4 Rechte der betroffenen Personen

(1) Anfragen betroffener Personen gemäß Art. 15–22 DSGVO werden vorrangig vom Verantwortlichen beantwortet. Der Auftragsverarbeiter unterstützt den Verantwortlichen hierbei in zumutbarem Umfang.

(2) Anfragen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet.

§ 5 Datenpannen (Art. 33, 34 DSGVO)

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, in der Regel innerhalb von 48 Stunden, über Verletzungen des Schutzes personenbezogener Daten.

(2) Die Meldung umfasst, soweit verfügbar: Art und Umfang der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen, ergriffene oder vorgeschlagene Maßnahmen.

§ 6 Technische und organisatorische Maßnahmen (Anhang TOM, Art. 32 DSGVO)

(1) Der Auftragsverarbeiter trifft folgende Maßnahmen zur Sicherheit der Verarbeitung:

  • Verschlüsselung: alle Datenübertragungen via TLS 1.2+; Patientendokumente werden im Ruhezustand mit AES-256-GCM verschlüsselt; sensible Datenbankfelder werden zusätzlich auf Feldebene verschlüsselt
  • Authentifizierung: ausschließlich über ID Austria (bPK-basiert, kein Passwort-Login); session-basierte Authentifizierung mit serverseitiger Speicherung
  • Zugangs-/Zugriffskontrolle: rollenbasierte Berechtigungen (Arzt, Mitarbeiter, Patient, Admin); CSRF-Schutz; CORS beschränkt auf bekannte Origins
  • Datentrennung: mandantenfähige Architektur, Patientendaten sind pro Ordination separiert
  • Verfügbarkeit: tägliche Backups, Hosting auf ausfallsicherer Infrastruktur in Österreich
  • Eingabekontrolle: alle ändernden Operationen werden mit User-ID und Zeitstempel protokolliert
  • Auftragskontrolle: nur autorisiertes Personal mit dokumentierten Vertraulichkeitsverpflichtungen hat Zugriff auf Systemkomponenten
  • Pseudonymisierung/Minimierung: Logdaten werden, soweit möglich, anonymisiert oder pseudonymisiert; technische Logs werden nach spätestens 90 Tagen gelöscht

§ 7 Kontroll- und Überprüfungsrechte

(1) Der Verantwortliche ist berechtigt, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Hierfür kann er Auskünfte einholen oder ein vorhandenes Audit-/Zertifikatsdokument anfordern.

(2) Vor-Ort-Prüfungen sind nach vorheriger Terminvereinbarung mit angemessener Vorlaufzeit (mindestens 14 Tage) während der üblichen Geschäftszeiten und in einer für den laufenden Betrieb möglichst schonenden Weise durchzuführen.

§ 8 Beendigung des Auftrags

(1) Nach Beendigung des Hauptvertrages werden die personenbezogenen Daten je nach Wahl des Verantwortlichen entweder zurückgegeben oder gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

(2) Insbesondere ist die ärztliche Aufbewahrungspflicht von 30 Jahren (§ 51 ÄrzteG) zu beachten. Soweit Daten der Aufbewahrungspflicht des Verantwortlichen unterliegen, werden sie für diesen weiter sicher aufbewahrt; eine Verarbeitung über die Aufbewahrung hinaus findet nicht statt.

§ 9 Haftung

(1) Für die Haftung im Zusammenhang mit dieser Vereinbarung gilt Art. 82 DSGVO sowie die Haftungsregelung im Hauptvertrag (AGB § 7).

(2) Bei Schadenersatzansprüchen Dritter im Zusammenhang mit der Auftragsverarbeitung werden die Parteien sich gegenseitig in zumutbarem Umfang bei der Abwehr unterstützen.

§ 10 Schlussbestimmungen

(1) Diese Vereinbarung wird im Rahmen des Onboardings auf onboarding.telmiko.at elektronisch geschlossen. Gemäß Art. 28 Abs. 9 DSGVO ist die elektronische Form der Schriftform gleichgestellt. Der Vertragsabschluss wird mit IP-Adresse, Zeitstempel, akzeptierter Vertragsversion sowie einer personalisierten Vertragsbestätigung als PDF dokumentiert.

(2) Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt ausschließlich österreichisches Recht. Gerichtsstand ist Linz, soweit gesetzlich zulässig.

(4) Bei Widerspruch zwischen diesem AVV und dem Hauptvertrag (AGB) gehen die Regelungen dieses AVV in Datenschutzfragen vor.

BRUTECS GmbH
Groß-Dörnbach Straße 12, 4073 Wilhering, Österreich
hallo@telmiko.at

Hinweis: Dieser AVV ist als gemeinsame Vereinbarung für alle Telmiko-Praxen formuliert. Die individuellen Vertragsdaten Ihrer Ordination (Praxisname, Adresse, Vertretungsberechtigte:r, Vertragsabschluss-Zeitpunkt, IP-Adresse) werden in der Vertragsbestätigung-PDF dokumentiert, die Sie unmittelbar nach dem Onboarding per E-Mail erhalten und jederzeit in Ihrem GDA-Account abrufen können.