Auftragsverarbeitungsvertrag (AVV)

Auftragnehmer: Richard Petrasch, DentDoc

Stand: Januar 2025

Version: 1.0

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer (DentDoc) verarbeitet personenbezogene Daten im Auftrag des Auftraggebers (Zahnarztpraxis/Kunde).

(2) Gegenstand der Verarbeitung:

Audio-Transkription von Patientengesprächen
KI-gestützte Erstellung medizinischer Dokumentation
Speicherung von Transkriptionen und Dokumentationen
Sprechererkennung und -zuordnung

(3) Dauer: Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses über die DentDoc-Dienste.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung:

Erhebung (Audio-Aufnahme durch Desktop-App)
Übermittlung (an Transkriptionsdienst)
Verarbeitung (KI-Dokumentationserstellung)
Bereitstellung (Rückgabe an Auftraggeber)
Sofortige Löschung (nach Verarbeitung)

(2) Zweck: Automatisierte Transkription und Dokumentation von Patientengesprächen zur Unterstützung der zahnärztlichen Dokumentationspflicht.

Wichtiger Hinweis - Keine Speicherung: Der Auftragnehmer speichert keine Transkriptionen, Dokumentationen oder sonstige Patientendaten. Nach Abschluss der Verarbeitung werden alle Inhalte sofort und unwiderruflich gelöscht. Es verbleiben nur Kontodaten und Abrechnungsinformationen beim Auftragnehmer.

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Kategorie	Datenarten
Stammdaten (Auftraggeber)	Name, E-Mail, Praxisname
Nutzungsdaten	Zugriffszeiten, IP-Adressen, Geräteinformationen
Inhaltsdaten (nur während Verarbeitung)	Audio-Aufnahmen, Transkriptionen, generierte Dokumentation – werden sofort nach Verarbeitung gelöscht
Besondere Kategorien (Art. 9 DSGVO)	Gesundheitsdaten in Patientengesprächen

§ 4 Kategorien betroffener Personen

Mitarbeiter des Auftraggebers (Zahnärzte, ZFA)
Patienten des Auftraggebers

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verpflichtet sich:

Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
Die mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten
Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen
Unterauftragsverarbeiter nur mit vorheriger Genehmigung einzusetzen
Den Auftraggeber bei der Erfüllung seiner Pflichten zu unterstützen
Nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben
Dem Auftraggeber alle erforderlichen Informationen für Nachweise zur Verfügung zu stellen

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer gewährleistet folgende Maßnahmen:

6.1 Vertraulichkeit

Verschlüsselte Datenübertragung (TLS/HTTPS)
Sichere Passwort-Speicherung (bcrypt-Hashing)
JWT-basierte Authentifizierung mit httpOnly-Cookies
Zugriffsbeschränkungen auf Datenbanken

6.2 Integrität

Regelmäßige Sicherheits-Updates
Input-Validierung
Audit-Logging von kritischen Aktionen

6.3 Verfügbarkeit

Hosting bei professionellen Cloud-Anbietern (Vercel, Supabase)
Automatische Backups der Datenbank
Redundante Infrastruktur

6.4 Datenschutz-Maßnahmen für Audio-Daten

Sofortige Löschung: Audio-Dateien werden unmittelbar nach erfolgreicher Transkription bei AssemblyAI gelöscht
Kein Training: Daten werden nicht für KI-Training verwendet (API-Nutzung)
Lokale Sprechererkennung: Stimmprofile verbleiben auf dem lokalen Rechner

§ 7 Unterauftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Unterauftragnehmer	Zweck	Standort
Vercel Inc.	Hosting der Webanwendung	USA (DPF zertifiziert)
Supabase Inc.	Datenbank-Hosting	EU (AWS eu-west-1, Irland)
AssemblyAI Inc.	Audio-Transkription	USA (Daten werden sofort gelöscht)
OpenAI, L.L.C.	KI-Dokumentationserstellung	USA (keine Datenspeicherung bei API)
Stripe Payments Europe, Ltd.	Zahlungsabwicklung	EU (Irland)

(2) Der Auftragnehmer informiert den Auftraggeber über Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen.

§ 8 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

(2) Der Auftraggeber ist verpflichtet:

Die erforderlichen Einwilligungen der Patienten einzuholen
Betroffene über die Verarbeitung zu informieren
Anfragen von Betroffenen zu bearbeiten oder an den Auftragnehmer weiterzuleiten

§ 9 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags zu überprüfen.

(2) Der Auftragnehmer stellt auf Anfrage Nachweise über die getroffenen Maßnahmen zur Verfügung.

(3) Inspektionen können nach Vereinbarung durchgeführt werden.

§ 10 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

Beschreibung der Art der Verletzung
Kategorien und Anzahl der betroffenen Personen
Wahrscheinliche Folgen
Ergriffene oder vorgeschlagene Maßnahmen

§ 11 Beendigung

(1) Nach Beendigung des Auftragsverhältnisses werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Der Auftraggeber kann vor Löschung eine Herausgabe der Daten in einem gängigen Format verlangen.

(3) Die Löschung wird dem Auftraggeber auf Wunsch bestätigt.

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

Hinweis: Dieser AVV gilt mit Nutzung der DentDoc-Dienste als abgeschlossen. Eine separate Unterschrift ist nicht erforderlich (Art. 28 Abs. 9 DSGVO - elektronische Form zulässig).

Kontakt bei Fragen: support@dentdoc.de