Auftragsverarbeitungsvertrag (AVV)

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Software-as-a-Service-Lösung „PraxisFinanz" zur Verwaltung von Eingangsrechnungen, des Praxis-Controllings und der GoBD-konformen Archivierung.

(2) Die Vereinbarung beginnt mit Abschluss des Hauptvertrags (Stripe-Subscription, AGB-Akzeptanz oder unterzeichneter Pilot-Vertrag) und endet mit dessen Beendigung. Sie kann nicht isoliert gekündigt werden.

(1) Zweck der Verarbeitung:

• Erfassung und Speicherung von Eingangsrechnungen (PDF/Bild)
• Automatische Texterkennung (OCR) und Strukturierung der Rechnungsfelder via KI-gestützter Pipeline (Anthropic Claude)
• Skonto-Tracking und Cashflow-Aggregation
• Material-Bestands-Verwaltung und Reorder-Vorschläge
• DATEV-konforme Buchungs-Exports
• GoBD-konforme Langzeit-Archivierung mit Hash-Chain (10 Jahre, § 147 AO)
• Optional: Behandler-Vergleich und Anomalie-Erkennung
• Optional: Verknüpfung mit Praxisverwaltungssystemen (PVS) auf Basis pseudonymisierter Patient-IDs ohne Klartextnamen
• Multi-Standort-Konsolidierung für MVZ und Praxisnetze

(2) Klarstellung: Patientenbezogene Inhaltsdaten (Diagnosen, Behandlungen, Befunde, Klarnamen, Versichertennummern, Geburtsdaten) sind nicht Gegenstand dieses Auftrags. Vor jedem OCR-Schritt prüft der PII-Filter (lib/pii-filter.ts) auf typische Patientendaten- Muster; im Verdachtsfall wird die Verarbeitung blockiert und der Verantwortliche informiert.

(1) Kategorien personenbezogener Daten:

• Stammdaten der Praxis (Firmierung, Anschrift, USt-IdNr., Bankverbindung)
• Stammdaten der Lieferanten (Firmierung, Anschrift, IBAN, USt-IdNr., Kontakt-E-Mail)
• Rechnungsdaten (Beträge, Rechnungsnummern, Positionen, Skonti, Zahlungsziele)
• User-Profile der Praxis-Mitarbeitenden (E-Mail, Rolle, Login-Sessions, Sentry-Trace-IDs)
• Zahlungsdaten via Stripe (tokenisiert, keine Klartext-PAN)
• Optional: pseudonymisierte Patient-IDs zur PVS-Verknüpfung (keine Klartext-Patientennamen)
• Audit-Logs (Wer hat was wann getan) mit IP-Adresse und User-Agent

(2) Kreis der Betroffenen: Mitarbeiterinnen und Mitarbeiter des Verantwortlichen, Ansprechpartner der Lieferanten, optional pseudonymisierte Patienten (nur als interne ID ohne Namen).

Der Auftragsverarbeiter unterhält angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Eine ausführliche TOM-Beschreibung ist Anlage 1 zu dieser Vereinbarung.

Vertraulichkeit:

• Verschlüsselung in Transit (TLS 1.2 oder höher) auf allen externen Schnittstellen
• Verschlüsselung at-rest (AES-256) für Datenbank und Storage-Buckets über Supabase und Vercel
• Magic-Link-Authentifizierung mit kurzer Token-Lebensdauer
• Optional: Multi-Faktor-Authentifizierung über Authenticator-App
• Mandanten-Isolation per Row-Level-Security auf allen Tabellen

Integrität:

• Append-only Audit-Log mit Hash-Chain (SHA-256-Verkettung überprev_hash) — Manipulation ist algorithmisch detektierbar
• Immutable-Storage-Bucket pf-archive-gobd mit 10-Jahres-Object-Lock
• Pre-OCR PII-Filter blockt Patientendaten

Verfügbarkeit:

• Backups: Supabase Point-in-Time Recovery (7 Tage) plus Cold-Storage-Dump nach 12 Monaten
• Wiederherstellbarkeit wird laufend durch automatisierte Backup-Validierung sichergestellt; ein erster vollständiger Disaster-Recovery-Drill inkl. Hash-Chain-Validierung ist für das Geschäftsjahr 2026 geplant. Ab 2027 mindestens jährlich.
• Geographische Redundanz innerhalb der EU (Vercel fra1, Supabase eu-west-1)

Belastbarkeit und Tests:

• Automatisierte Sicherheits-Scans laufend (Sentry-Monitoring, GitHub Dependabot, Supabase Security Advisor)
• Code-Review-Pflicht (4-Augen-Prinzip auf Hauptbranch)
• Ein externer Pen-Test ist für 2026/2027 geplant; Findings werden binnen 30 Tagen behoben und dem Verantwortlichen auf Anfrage zusammenfassend mitgeteilt.

(1) Der Verantwortliche willigt in die Nutzung der unten aufgeführten Subunternehmer ein. Eine jeweils aktuelle Liste mit Datenkategorien und EU-/SCC-Status ist in der Datenschutzerklärung, Abschnitt 4 abrufbar.

(2) Aktuelle Subunternehmer (Stand 2026-05-13):

(3) Beabsichtigt der Auftragsverarbeiter, einen neuen Subunternehmer einzubinden oder einen bestehenden zu ersetzen, informiert er den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail. Der Verantwortliche kann dem geplanten Wechsel innerhalb von 14 Tagen widersprechen. Im Fall eines berechtigten Widerspruchs steht beiden Parteien ein Sonderkündigungsrecht zu.

Der Auftragsverarbeiter verpflichtet sich, insbesondere:

1. personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen zu verarbeiten;
2. alle mit der Verarbeitung befassten Personen schriftlich auf Vertraulichkeit zu verpflichten und regelmäßig zu schulen;
3. die in § 4 beschriebenen technischen und organisatorischen Maßnahmen aufrechtzuerhalten;
4. den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO zu unterstützen, soweit erforderlich;
5. dem Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zur Seite zu stehen;
6. Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stundennach Kenntnisnahme, an den Verantwortlichen zu melden, damit dieser seine Meldepflicht nach Art. 33 DSGVO erfüllen kann;
7. dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieser Vereinbarung und der DSGVO erforderlich sind;
8. ein Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO zu führen.

Der Verantwortliche verpflichtet sich, insbesondere:

1. die Rechtsgrundlage der Verarbeitung gegenüber den Betroffenen eigenständig sicherzustellen;
2. keine patientenbezogenen Klartext-Inhaltsdaten in PraxisFinanz einzuspielen oder weiterzuleiten;
3. seine Mitarbeitenden auf den DSGVO- und GoBD-konformen Einsatz der Software zu schulen;
4. Informationspflichten gegenüber den Betroffenen (insbesondere gegenüber den eigenen Lieferanten) selbständig zu erfüllen;
5. Weisungen an den Auftragsverarbeiter grundsätzlich in Textform (E-Mail genügt) zu erteilen;
6. Zugangsdaten zur Software sicher aufzubewahren und nicht an Dritte weiterzugeben.

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage in angemessener Frist folgende Nachweise zur Verfügung:

• Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
• GoBD-Verfahrensdokumentation (siehe docs/gobd-verfahrensdokumentation.md)
• Subprozessor-Liste mit aktuellem DPA-Status
• Zusammenfassende Pen-Test-Berichte
• Datenschutz-Folgenabschätzung (DSFA) für die OCR-Pipeline

(2) Vor-Ort-Audits können nach schriftlicher Voranmeldung mit einer Frist von 30 Tagen erfolgen. Sie sind auf ein notwendiges Maß und auf die Geschäftszeiten zu beschränken. Die Kosten eines Audits trägt grundsätzlich der Verantwortliche, es sei denn, das Audit deckt eine wesentliche Verletzung dieser Vereinbarung auf.

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den Bestimmungen des Hauptvertrags (insbesondere § 9 der AGB).

(2) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch nicht der DSGVO entsprechende Verarbeitung verursacht werden, wenn er spezifischen DSGVO-Pflichten oder rechtmäßigen Weisungen des Verantwortlichen nicht nachgekommen ist.

(1) Diese Vereinbarung ist an die Laufzeit des Hauptvertrags gekoppelt.

(2) Nach Beendigung der Verarbeitung hat der Verantwortliche die Wahl, ob seine Daten:

• als strukturierter Export (CSV, JSON, DATEV) übergeben werden;
• vollständig gelöscht werden, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

(3) Die Löschung personenbezogener Daten erfolgt innerhalb von 30 Tagen nach Vertragsende. Ausgenommen sind GoBD-pflichtige Geschäftsbelege; diese verbleiben für die gesetzliche Aufbewahrungsfrist (10 Jahre, § 147 AO) im Immutable-Storage. Während dieser Zeit erhält der Verantwortliche auf Anforderung Zugriff über den Support.

(4) Die Löschung wird in einem Lösch-Protokoll dokumentiert und auf Anforderung an den Verantwortlichen übermittelt.

(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform (E-Mail genügt).

(2) Es gilt deutsches Recht. Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist Berlin, soweit die Parteien Kaufleute sind.

(3) Sollten einzelne Bestimmungen unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.