Auftragsverarbeitung (AVV)

Arbeitsfassung nach Art. 28 DSGVO · Stand: April 2026

Hinweis: Diese AVV-Seite ist eine strukturierte Arbeitsfassung. Für den Verkauf an Arztpraxen muss der Vertrag durch Datenschutz-/IT-Rechtsberatung final geprüft und als unterschrifts- bzw. elektronisch akzeptierbares Dokument bereitgestellt werden.

1. Rollen

Die Praxis ist Verantwortlicher im Sinne der DSGVO. Medisprech bzw. der Anbieter verarbeitet personenbezogene Daten einschließlich Gesundheitsdaten als Auftragsverarbeiter nach Weisung des Kunden.

2. Gegenstand und Zweck

Gegenstand ist der Betrieb der SaaS-Anwendung zur Transkription, Speicherung, Strukturierung und Verwaltung ärztlicher Dokumentation.

3. Kategorien personenbezogener Daten

Patientendaten und Gesundheitsdaten aus Freitext, Audio und Dokumententwürfen,
Nutzer-, Rollen- und Kontaktdaten der Praxis,
technische Protokoll-, Sicherheits- und Nutzungsdaten.

4. Technische und organisatorische Maßnahmen

Die TOMs umfassen u. a. rollenbasierte Zugriffskontrolle, Mandantentrennung, Transportverschlüsselung, Hosting in der EU, Protokollierung sicherheitsrelevanter Vorgänge, Backups, Incident-Prozess und regelmäßige Dependency-/Security-Prüfungen.

5. Unterauftragsverarbeiter

Aktuelle Subprozessoren werden unter Subprozessoren veröffentlicht. Änderungen werden Kunden vorab oder nach vertraglich festgelegtem Verfahren mitgeteilt.

6. Weisungen und Supportzugriff

Zugriffe auf Kundendaten erfolgen nur zur Vertragserfüllung, nach Weisung oder im dokumentierten Support-/Incident-Fall. Supportzugriffe sind zu protokollieren.

7. Löschung und Rückgabe

Nach Vertragsende oder Weisung werden Daten exportiert, gelöscht oder gemäß gesetzlichen Aufbewahrungspflichten behandelt. Retention-Fristen werden je Tenant konfiguriert.

8. Meldepflichten

Sicherheitsvorfälle werden nach einem Incident-Prozess bewertet und dem Kunden unverzüglich im Sinne des Art. 33/34 DSGVO-Verfahrens gemeldet, soweit dessen Daten betroffen sind.