← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Vertragsparteien

Verantwortlicher (Auftraggeber):
Der Kunde, der die Software AISenti nutzt (nachfolgend „Auftraggeber").

Auftragsverarbeiter:
med41 UG (haftungsbeschränkt)
Dr. med. Mesut Özeker (Geschäftsführer)
Sophiastr. 50, 71088 Holzgerlingen, Deutschland
Registergericht: Amtsgericht Stuttgart, HRB 804540
USt-IdNr.: DE461206482
E-Mail: support@aisenti.de
(nachfolgend „Auftragnehmer")

Präambel

Der Auftragnehmer stellt dem Auftraggeber die Software „AISenti" als Software-as-a-Service (SaaS) zur Verfügung. Im Rahmen dieser Dienstleistung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.

Dieser AVV wird mit der Registrierung und Nutzung von AISenti geschlossen und gilt als Bestandteil der Allgemeinen Geschäftsbedingungen.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen folgender Tätigkeit:

• Bereitstellung der cloudbasierten Software AISenti
• Entgegennahme von Audioaufnahmen aus Arzt-Patienten-Gesprächen
• Transkription der Audioaufnahmen mittels Spracherkennungstechnologie
• Erstellung strukturierter Zusammenfassungen mittels KI-Technologie
• Bereitstellung der Transkripte und Zusammenfassungen an den Auftraggeber
• Automatische Löschung aller verarbeiteten Daten unmittelbar nach Abschluss der Verarbeitung

1.2 Dauer

Dieser Vertrag beginnt mit der Registrierung des Auftraggebers bei AISenti und gilt für die Dauer des Nutzungsvertrages. Er endet automatisch mit Beendigung des Nutzungsvertrages. Da keine personenbezogenen Daten dauerhaft gespeichert werden, bestehen keine Aufbewahrungspflichten über das Vertragsende hinaus (mit Ausnahme von Accountdaten, siehe § 5.7).

§ 2 Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Erhebung (Empfang von Audiodaten)
• Temporäre Zwischenspeicherung (ausschließlich während der Verarbeitung im Arbeitsspeicher)
• Verwendung (Transkription, KI-Zusammenfassung)
• Übermittlung (Bereitstellung der Ergebnisse an den Auftraggeber)
• Löschung (automatisch und unverzüglich nach Abschluss der Verarbeitung)

2.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der:

• Erbringung der vertraglich vereinbarten SaaS-Dienstleistung
• Technischen Bereitstellung und Wartung der Software
• Fehlerbehebung und Qualitätssicherung (soweit erforderlich)

§ 3 Art der personenbezogenen Daten

3.1 Daten der Patienten (besondere Kategorien gemäß Art. 9 DSGVO)

Diese Daten werden ausschließlich während der Verarbeitung temporär im Arbeitsspeicher gehalten und unmittelbar nach Abschluss automatisch gelöscht. Es erfolgt keine dauerhafte Speicherung.

• Audioinhalte von Arzt-Patienten-Gesprächen (Stimme, Gesprächsinhalt)
• Gesundheitsdaten (Symptome, Beschwerden, Diagnosen, Therapien)
• Ggf. Name und Identifikationsdaten (sofern im Gespräch genannt oder eingegeben)

3.2 Daten der Behandler/Nutzer

• Benutzername und Zugangsdaten
• E-Mail-Adresse
• Nutzungsprotokolle (Zeitstempel, Aktivitäten)

§ 4 Kategorien betroffener Personen

Von der Verarbeitung betroffene Personengruppen:

• Patienten des Auftraggebers
• Ärzte, Therapeuten und medizinisches Personal des Auftraggebers
• Ggf. Angehörige, soweit in Gesprächen erwähnt

§ 5 Pflichten des Auftragnehmers

5.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

5.2 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die aktuellen Maßnahmen sind in Anlage 1 (TOM) zu diesem Vertrag beschrieben.

5.4 Unterauftragnehmer

Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur mit vorheriger schriftlicher Genehmigung des Auftraggebers einsetzen. Die aktuell genehmigten Unterauftragnehmer sind in Anlage 2 aufgeführt.

Bei Wechsel oder Hinzunahme eines Unterauftragnehmers informiert der Auftragnehmer den Auftraggeber vorab in Textform. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben. Erhebt der Auftraggeber aus berechtigten datenschutzrechtlichen Gründen Einspruch, sind die Parteien berechtigt, den Hauptvertrag außerordentlich zu kündigen.

Der Auftragnehmer stellt sicher, dass jedem Unterauftragnehmer dieselben Datenschutzpflichten auferlegt werden.

5.5 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber bei:

• der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO)
• der Erfüllung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung)
• Anfragen von Aufsichtsbehörden

5.6 Informationspflicht bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wurde. Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
• Mögliche Folgen
• Ergriffene oder vorgeschlagene Maßnahmen

5.7 Löschung

Es findet keine dauerhafte Speicherung personenbezogener Daten statt. Sämtliche Daten (Audioaufnahmen, Transkripte, Zusammenfassungen) werden automatisch und unverzüglich nach Abschluss der jeweiligen Verarbeitung gelöscht. Eine Rückgabe von Daten nach Vertragsende ist daher nicht möglich, da keine Daten beim Auftragnehmer vorliegen.

Accountdaten (E-Mail-Adresse, Zugangsdaten) werden innerhalb von 30 Tagen nach Vertragsende gelöscht.

§ 6 Pflichten des Auftraggebers

6.1 Verantwortlichkeit

Der Auftraggeber bleibt Verantwortlicher im Sinne der DSGVO. Er ist verantwortlich für:

• die Rechtmäßigkeit der Datenverarbeitung
• die Wahrung der Betroffenenrechte
• die Einholung erforderlicher Einwilligungen
• die Information der betroffenen Personen

6.2 Weisungen

Der Auftraggeber erteilt alle Weisungen schriftlich oder in dokumentierter elektronischer Form. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

6.3 Kontrolle

Der Auftraggeber ist berechtigt, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Dies kann erfolgen durch:

• Einholung von Auskünften
• Einsichtnahme in Zertifizierungen oder Auditberichte
• Inspektionen vor Ort (mit angemessener Vorankündigung und unter Wahrung von Betriebs- und Geschäftsgeheimnissen)

§ 7 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Im Verhältnis der Parteien zueinander haftet jede Partei für den Schaden, den sie durch einen Verstoß gegen die DSGVO oder diesen Vertrag verursacht hat.

§ 8 Schlussbestimmungen

8.1 Schriftform

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für eine Änderung dieser Klausel.

8.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

8.3 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland.

8.4 Vorrang

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag oder anderen Vereinbarungen hat dieser AVV Vorrang hinsichtlich datenschutzrechtlicher Regelungen.

8.5 Vertragsschluss

Dieser AVV wird mit der Registrierung bei AISenti und der Zustimmung zu den AGB elektronisch geschlossen. Die Zustimmung wird mit Zeitstempel dokumentiert.

Anlage 1: Technische und Organisatorische Maßnahmen (TOM)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

• Serverhosting bei zertifiziertem Rechenzentrum in Deutschland (Hetzner Online GmbH)
• ISO 27001 zertifiziertes Rechenzentrum
• Physische Zugangsbeschränkungen zum Rechenzentrum

Zugangskontrolle

• Passwortschutz für alle Systeme
• Starke Passwortrichtlinien (Mindestlänge, Komplexität)
• Verschlüsselte Übertragung (TLS 1.2+)
• Session-Timeout bei Inaktivität

Zugriffskontrolle

• Rollenbasiertes Berechtigungskonzept
• Protokollierung von Zugriffen
• Trennung von Kunden-Daten (mandantenfähig)

Trennungskontrolle

• Logische Trennung der Kundendaten
• Separate Datenbankeinträge pro Kunde

Pseudonymisierung

• Interne Verarbeitung erfolgt mit Session-IDs
• Keine dauerhafte Speicherung von Patientendaten – alle Daten werden nach Verarbeitung automatisch gelöscht

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

• Verschlüsselung aller Daten bei Übertragung (HTTPS/TLS)
• Keine unverschlüsselte Datenübertragung

Eingabekontrolle

• Protokollierung aller Dateneingaben mit Zeitstempel und Benutzer-ID
• Nachvollziehbarkeit von Änderungen

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Verfügbarkeitskontrolle

• Redundante Serverinfrastruktur
• Monitoring der Systemverfügbarkeit

Belastbarkeit

• Skalierbare Cloud-Infrastruktur
• DDoS-Schutz durch Hosting-Provider

Keine dauerhafte Datenspeicherung

• Personenbezogene Daten werden ausschließlich im Arbeitsspeicher verarbeitet und nach Abschluss der Verarbeitung automatisch gelöscht
• Es werden keine Backups von personenbezogenen Verarbeitungsdaten erstellt

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management

• Benannter Ansprechpartner für Datenschutz
• Regelmäßige Überprüfung der TOM
• Dokumentation von Datenschutzvorfällen

Incident-Response-Management

• Dokumentiertes Verfahren bei Sicherheitsvorfällen
• Benachrichtigungsprozess für Kunden

Auftragskontrolle

• Sorgfältige Auswahl von Unterauftragnehmern
• Vertragliche Regelungen mit Unterauftragnehmern

Anlage 2: Genehmigte Unterauftragnehmer

Nr.	Unterauftragnehmer	Anschrift	Verarbeitungstätigkeit	Serverstandort
1	Hetzner Online GmbH	Industriestr. 25, 91710 Gunzenhausen, Deutschland	Server-Hosting, Infrastruktur (keine dauerhafte Speicherung personenbezogener Daten)	Deutschland
2	Soniox, Inc.	1045 Helm Lane, Foster City, CA 94404, USA (EU-Büro: Ljubljana, Slowenien)	Spracherkennung (Speech-to-Text) – Daten werden nach Verarbeitung sofort gelöscht, keine Speicherung	EU (Region: European Union)
3	Google Cloud (Vertex AI)	Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland	KI-Textverarbeitung (LLM) – Daten werden nach Verarbeitung sofort gelöscht, keine Speicherung	EU (europe-west4, Niederlande)
4	Sentry (Functional Software, Inc.)	45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA	Fehlererkennung und Stabilitätsüberwachung – ausschließlich technische Fehlerdaten (Stack-Traces, URL, Zeitstempel), keine Patientendaten, keine Anfrageinhalte	EU (ingest.de.sentry.io)

Keiner der genannten Unterauftragnehmer speichert personenbezogene Daten dauerhaft. Alle Daten werden ausschließlich zur Verarbeitung übermittelt und unmittelbar nach Abschluss automatisch gelöscht.

Für Unterauftragnehmer mit Sitz außerhalb der EU/des EWR gelten die EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission. Mit Soniox besteht ein Data Processing Agreement (DPA) inkl. EU SCCs und EU Processing Enablement Addendum. Soniox ist SOC 2 Type II zertifiziert. Die Datenverarbeitung für AISenti erfolgt ausschließlich in der EU-Region von Soniox. Mit Sentry besteht ein Data Processing Agreement (DPA). Die Datenverarbeitung erfolgt im EU-Rechenzentrum von Sentry. Es werden ausschließlich technische Fehlerdaten übermittelt — keine Patientendaten, Audioinhalte, Transkripte oder Anfrageinhalte.

Stand: April 2026