Datenschutzinformationen des Praxisconcierge

Vertrag über die Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO

zwischen dem Verantwortlichen:

Gemeinschaftspraxis Christoph Habermeyer und Dr. med. Kilian Fuchs, Tiergartenstraße 1a, 97209

Veitshöchheim,

vertreten durch Christoph Habermeyer,

- nachfolgend “Auftraggeber“ genannt -

und dem Auftragsverarbeiter:

PraxisConcierge Software GmbH, Kleiststr.1, 70771 Leinfelden-Echterdingen,

vertreten durch Herrn Simon Kuttruf

- nachfolgend „Auftragnehmer" genannt.

1. Präambel

1.1. Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden

„Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

1.2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers

oder durch ihn eingesetzte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des

Auftraggebers in dessen Auftrag verarbeiten.

1.3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der Verordnung

(EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher

Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung

der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in ihrer jeweils aktuellen Fassung zu verstehen.

In diesem Sinne ist der Auftraggeber der „Verantwortliche“

, der Auftragnehmer der „Auftragsverarbeiter“

.

1.4. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126

BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene

Nachweisbarkeit gewährleistet ist.

2. Gegenstand und Dauer der Verarbeitung

2.1. GegenstandSignature ref: 0b7511c2-601c-4d67-896b-883ab2382678

o Telefonische und sonstige informations- und kommunikationstechnische Erfassung von Patientendaten

(persönliche Verhältnisse, Medikationsbedarf, Terminvereinbarungen, Rückfragen zur Therapie) im

Rahmen einer cloudbasierten automatisierten Telefonassistenz im Namen des Auftraggebers.

o Regelmäßiger Export von Patientenkontaktdaten und Termindaten aus dem Praxis-Verwaltungssystem

und Kalendersystem des Auftraggebers und sichere Übertragung aus dem Praxis-Netzwerk auf einen

vom Auftragnehmer betreuten Server.

2.2. Dauer

des Hauptvertrags.

Die Verarbeitung beginnt am 15.02.2025 und erfolgt bis zur wirksamen Kündigung dieses Vertrags oder

3. Art und Zweck der Datenverarbeitung, Art der Daten

3.1. Art und Zweck der Verarbeitung

Die Verarbeitung im Auftrag ist folgender Art:

Erfassen, Erhebung, Ordnen, Speichern, Auslesen, Abfragen, Verwendung, Löschung oder Vernichtung,

Organisation und Offenlegung durch Übermittlung von personenbezogenen Daten.

Die Verarbeitung dient folgendem Zweck:

Erfüllung und Sicherstellung des ärztlichen Behandlungsauftrags, der allgemeinen ärztlichen

Fürsorgepflicht und der Patientenzufriedenheit.

3.2. Art der Daten

Betroffen sind alle Arten personenbezogener Daten, die dem Auftragsverarbeiter durch den

Verantwortlichen im Rahmen der Auftragserfüllung offengelegt werden können. Dies sind insbesondere

auch besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, sowie geschützte

Geheimnisse im Sinne des § 203 StGB.

4. Kategorien der betroffenen Personen

Von der Verarbeitung betroffen sind: Patienten des Auftraggebers und Interessenten an Dienstleistungen

des Auftraggebers.

5. Ansprechpartner für Datenschutzfragen

Der Auftragnehmer hat als externen Datenschutzbeauftragten Dr. Sebastian Kraska benannt, Marienplatz

2, 80331 München, E-Mail: email@iitr.de, Telefon: 089-18917360

6. Pflichten des Auftragnehmers

6.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich

vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer

bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der

Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm

gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen

Daten für keine anderen Zwecke.

6.2. Der Auftragnehmer darf die personenbezogenen Daten nur im Rahmen des Auftrages und den

jeweiligen vertraglichen Vereinbarungen und dokumentierten Weisungen des Auftraggebers verarbeiten,

außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 Satz 2 a) DSGVO vor. Der Auftragnehmer

nimmt Weisungen des Auftraggebers in schriftlicher Form sowie über die hierfür vom Auftragnehmer

angebotenen elektronischen Formate entgegen. Mündliche Weisungen sind durch den Auftraggeber

unverzüglich schriftlich oder in einem hierfür vom Auftragnehmer angebotenen elektronischen Format zu

bestätigen.

6.3. Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass

eine Weisung gegen Datenschutzrecht vorliegt.

6.4. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen

Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

6.5. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

6.6. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich

schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen

Geheimhaltungspflicht unterliegen.

6.7. Dem Auftragnehmer ist bekannt, dass Verstöße gegen das den Auftraggeber treffende

Berufsgeheimnis auch für an dessen Tätigkeit mitwirkende Personen nach § 203 StGB strafbar sind. Der

Auftragnehmer verpflichtet sich, alle im Rahmen der Auftragserfüllung eingesetzten Personen schriftlich

über die strafrechtlichen Folgen einer Verletzung dieser besonderen Verschwiegenheitspflicht zu belehren

und diese Personen nachweislich zur Wahrung des Berufsgeheimnisses zu verpflichten, sofern sie nicht

bereits einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

6.8. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor

Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags

vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind

angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur

Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen

laufend angemessen angeleitet und überwacht werden.

6.9. Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den

Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere

bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei

Auskunftsersuchen von von der Datenverarbeitung betroffenen Personen, bei der Durchführung der

Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde.

Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung

zuzuleiten.

6.10. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen

oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer

den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen

ist.

6.11. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger

Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an

den Auftraggeber weiterleiten.

6.12. Die Auftragsverarbeitung erfolgt vorrangig innerhalb der EU oder des EWR. Jegliche

Verlagerung in ein Drittland darf nur mit ausdrücklicher Zustimmung des Auftraggebers und unter den in

Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der

Bestimmungen dieses Vertrags erfolgen.

7. Sicherheit der Verarbeitung

7.1. Die im Anhang zu diesem Vertrag beschriebenen Datensicherheitsmaßnahmen werden als

verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum.

7.2. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen

Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht

unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der

Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen.

Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.

7.3. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen

Datenbeständen strikt getrennt werden.

7.4. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen

sind technisch notwendige, temporäre Vervielfältigungen, darunter auch automatische Backups, soweit

eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

7.5. Der Auftraggeber hat das Recht, die Einhaltung der in dieser Vereinbarung enthaltenen

Verpflichtungen, insbesondere die korrekte Umsetzung der technischen und organisatorischen

Maßnahmen, durch den Auftragnehmer zu kontrollieren. Kontrollen können durch den Auftraggeber

selbst oder durch ihn beauftragte Personen erfolgen. Vermeidbare Störungen des Betriebs des

Auftragnehmers haben zu unterbleiben. Soweit nicht dringende Gründe entgegenstehen, erfolgen

Kontrollen mit angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers. Der

Auftragnehmer ist verpflichtet, an solchen Kontrollen im erforderlichen Maße mitzuwirken, insbesondere

erforderliche Auskünfte zu erteilen, den Zugang zu Geschäftsräumen zu ermöglichen und benötigte

Unterlagen vorzulegen.Signature ref: 0b7511c2-601c-4d67-896b-883ab2382678

8. Berichtigung, Löschung und Sperrung von Daten

8.1. sperren.

Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der

getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder

8.2. Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch

über die Beendigung dieses Vertrages hinaus Folge leisten.

9. Unterauftragsverhältnisse

9.1. Dem Auftragnehmer ist es gestattet, zur Auftragsverarbeitung auch Subunternehmer

einzusetzen. Der Einsatz von Subunternehmern ist dem Auftraggeber rechtzeitig anzuzeigen. Der

Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und

Subunternehmer. Der Auftraggeber kann der Subbeauftragung innerhalb von 4 Wochen ab Zugang der

Anzeige widersprechen. Erfolgt der Widerspruch nicht rechtzeitig, gilt der Einsatz des Subunternehmers

als genehmigt. Widerspricht der Auftraggeber rechtzeitig, haben beide Parteien das Recht, die

Zusammenarbeit innerhalb von 14 Tagen durch schriftliche Erklärung der anderen Partei gegenüber mit

sofortiger Wirkung zu kündigen.

9.2. Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung

der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

9.3. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig,

wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine

Verpflichtungen vollständig erfüllt hat. Der Auftraggeber ist berechtigt, die Vorlage der Dokumentation zu

verlangen.

9.4. Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus

dem Gebiet der EU oder des EWR erbringen, ist nur zulässig, soweit und solange der Subunternehmer

angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche

konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen

ist. Soweit aktuell gültige Standardvertragsklauseln auf Basis einer Entscheidung der EU-Kommission

(z.B. gemäß Kommissionsentscheidung 2010/87/EU) oder Standarddatenschutzklauseln gem. Art. 46

DSGVO als angemessene Garantien eingesetzt werden, bevollmächtigt der Auftraggeber den

Auftragnehmer unter Befreiung vom Verbot der Doppelvertretung gemäß § 181 BGB, zur Vornahme aller

hierfür erforderlichen Handlungen sowie zur Abgabe und Entgegennahme von Willenserklärungen

gegenüber dem Subunternehmer. Ferner ist der Auftragnehmer berechtigt, die Rechte und Befugnisse

des Auftraggebers aus dieser Vereinbarung gegenüber dem Subunternehmer auszuüben.

9.5. Der Auftragnehmer wird die Einhaltung der Pflichten des Subunternehmers regelmäßig

überprüfen. Hierfür wird ihm nach angemessener vorheriger Ankündigung der erforderliche Einblick

gewährt. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen

fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber auf Verlangen

vorzulegen. Der Auftragnehmer bewahrt die Dokumentation über durchgeführte Prüfungen mindestens

bis zum Ablauf des dritten Kalenderjahres nach Beendigung der Auftragsverarbeitung auf und legt diese

dem Auftraggeber auf Verlangen jederzeit vor.

Eigene Kontrollrechte des Auftraggebers bleiben hiervon unberührt.

9.6. Eine weitere Subbeauftragung durch den Subunternehmer ist zulässig, soweit sämtliche der in

dieser Vereinbarung enthaltenen Regelungen beachtet und entsprechend vertraglich auf den weiteren

Subunternehmer übertragen werden.

9.7. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen

direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie

beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von

Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des

Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit

sicherzustellen, bleibt unberührt.

9.8. Aktuell sind die in der "Anlage Subdienstleister" mit Namen, Anschrift und Auftragsinhalt

bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort

genannten Umfang beschäftigt und durch den Auftraggeber hiermit genehmigt. Die hier niedergelegten

sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.

10. Rechte und Pflichten des Auftraggebers

10.1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der

Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

10.2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen

können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich

dokumentiert bestätigen.

10.3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder

Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

10.4. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der

vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte,

insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und

die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der

Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu

ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu

demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der

Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem

Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

10.5. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs

zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders

angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des

Auftragnehmers statt.

11. Mitteilungspflichten

11.1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter

personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die

Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten

Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende

Angaben enthalten:

a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit

Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien

und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für

weitere Informationen;

c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener

Daten;

d. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur

Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur

Abmilderung ihrer möglichen nachteiligen Auswirkungen

11.2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie

Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche

Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

11.3. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen

von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

11.4. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung

und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36

DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene

Vergütung vom Auftraggeber zu verlangen.

12. Weisungen

12.1. Weisungsrecht vor.

Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes

12.2. Auftraggeber und Auftragnehmer können durch Mitteilung an die andere Partei die zur Erteilung

und Annahme von Weisungen ausschließlich befugten Personen benennen.

12.3. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der

anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.

12.4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine

vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt.

Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis

sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

12.5. Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

13. Haftung

13.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person

nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung

des zugrundeliegenden Sachverhalts beizutragen.

14. Beendigung des Auftrags

14.1. Befinden sich bei Beendigung des Auftragsverhältnisses im Auftrag verarbeitete Daten oder

Kopien derselben noch in der Verfügungsgewalt des Auftragnehmers, hat dieser des nach Wahl des

Auftraggebers die Daten entweder zu vernichten oder an den Auftraggeber zu übergeben. Die Wahl hat

der Auftraggeber innerhalb von 2 Wochen nach entsprechender Aufforderung durch den Auftragnehmer

zu treffen. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung mit vertretbarem Aufwand

nicht mehr möglich ist.

14.2. Der Auftragnehmer ist verpflichtet, die unverzügliche Vernichtung bzw. Rückgabe auch bei

Subunternehmern herbeizuführen.

14.3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem

Auftraggeber vorzulegen.

14.4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind

durch den Auftragnehmer mindestens bis zum Ablauf des dritten Kalenderjahres nach Vertragsende

hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber übergeben.

15. Sonstiges

15.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse

von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die

Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der

Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als

vertraulich zu behandeln.

15.2. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch

Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige

Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

15.3. Für Nebenabreden ist die Schriftform und die ausdrückliche Bezugnahme auf diese

Vereinbarung erforderlich.Signature ref: 0b7511c2-601c-4d67-896b-883ab2382678

15.4. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag

verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

15.5. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der

Vereinbarung im Übrigen nicht.

Anlagen

Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter bestätigt Maßnahmen zur Einhaltung der Anforderungen an die Sicherheit der

Datenverarbeitung ergriffen zu haben.

Alle Arbeitsplätze sind grundsätzlich nur mit einer persönlichen Nutzerkennung zugänglich.

Server zur Datenhaltung und Datenverarbeitung sind nach dem Stand der Technik geschützt mit

Maßnahmen wie Firewall-Schutz, Blacklisting von einschlägigen IPs und Bots, verschlüsselter

Datenübertragung und Protokollieren von Nutzerzugriffen. Dies gilt insbesondere auch für die dem

Auftraggeber online bereitgestellte Programmoberfläche, auf die nur von vereinbarten IP-Adressen aus

und über Nutzerkennungen authentifiziert zugegriffen werden kann.

Alle zu einzelnen Anrufen vorliegenden Daten werden kontinuierlich nach dreißig Tagen gelöscht.

Die regelmäßige, automatische Datenübertragung von Patientenstammdaten und Kalenderdaten aus

dem Praxis-Netzwerk erfolgt über eine sichere, authentifizierte Verbindung (FTPS) mit expliziter

Verschlüsselung.

Es werden regelmäßig Backups erzeugt; diese werden regelmäßig auf Integrität getestet.

Die oben genannten Maßnahmen werden laufend, spätestens aber jedes Quartal überprüft.

Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes.

Anlage Subdienstleister

Die folgenden Unternehmen werden als Subunternehmer bei Abschluss dieser Vereinbarung zur

Verarbeitung der Daten im Auftrag eingesetzt und werden hiermit genehmigt.

Subdienstleister Art

von übermittelten

Daten

Zweck

der Datenübermittlung

Niederlassung

Easybell Besondere

personenbezogene

Daten

Anrufrouting,

Telekommunikation

Berlin, DeutschlandSignature ref: 0b7511c2-601c-4d67-896b-883ab2382678

*DSGVO-konforme Verarbeitung nach EU-U.S. Data Privacy Framework (17.7.2023)

Hetzner Besondere

personenbezogene

Daten

Anrufrouting,

Datenverarbeitung

Gunzenhausen,

Deutschland

Speechmatics Besondere

personenbezogene

Daten

Spracherkennung,

Verschriftlichung

Cambridge, UK

Google Besondere

personenbezogene

Daten

Datenverarbeitung (Datenverarbeitung

beschränkt auf

Europa)*

Twilio Besondere

personenbezogene

Daten

Anrufrouting,

Telekommunikation

Berlin, Deutschland

AWS Besondere

personenbezogene

Daten

Datenverarbeitung,

Organisation, Verwendung

Versand von

Mailkommunikation

Seattle, USA

(Rechenzentrum

Frankfurt a.M.,

Deutschland)*

OnlineCity.IO Personenbezogene

Daten

Versand von

Textnachrichten aus der

Programmoberfläche

Odense, DänemarkSignature ref: 0b7511c2-601c-4d67-896b-883ab2382678

Anlage:

Allgemeine Geschäftsbedingungen

§1
Inhalte

(1) Für die Inhalte der telefonischen Ansagen ist der Kunde selbst verantwortlich. Es besteht von unserer

Seite aus keine Prüfungspflicht von vom Kunden gewählten Telefon-Ansagen. Der Kunde stellt

PraxisConcierge von sämtlichen Ansprüchen Dritter frei.

(2) Der Kunde hält eigene Sicherungen der Online-Daten vor. Auch PraxisConcierge führt regelmäßige

Datensicherungen auf allen System durch, garantiert jedoch nicht für Integrität oder Verfügbarkeit von

Daten und Dateien.

(3) Zulässige Inhalte telefonischer Ansagen sind alle gesetzlich zugelassenen Inhalte, die der Erfüllung

des vereinbarten Nutzungszwecks dienen. Dazu gehören ausdrücklich keine Inhalte pornographischer

Natur oder allgemeine Inhalte, die der Verbreitung von Werbebotschaften oder Verkaufsangeboten

dienen.

PraxisConcierge ist berechtigt, zur Verfügung gestellte Software-Dienste unmittelbar abzuschalten, falls

der Kunde in Verdacht steht, nach §1 (3) unzulässige Inhalte zu verbreiten, und ggf. staatliche Stellen

einzuschalten.

§2 Verfügbarkeit von Software-Diensten

Obwohl PraxisConcierge stets bemüht ist, die Verfügbarkeit der bereitgestellten Software-Dienste

ununterbrochen zu gewährleisten, so kann eine zeitweise Nichtverfügbarkeit nicht ausgeschlossen

werden. Insbesondere sind hier zu nennen:

- Wartungsarbeiten oder Störfälle an Hardware und Software

- Wartungsarbeiten oder Störfälle bei Dienstleistern und Vertragspartnern von PraxisConcierge.

§3 Haftung

(1) Eine Haftung von PraxisConcierge für leicht fahrlässige Pflichtverletzungen ist ausgeschlossen, sofern

diese nicht Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit betreffen oder

Ansprüche nach dem Produkthaftungsgesetz berührt sind. Unberührt bleibt ferner die Haftung für die

Verletzung von Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt

erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf („wesentliche

Vertragspflichten“).

(2) Im Fall der Verletzung wesentlicher Vertragsplichten sind Schadensersatzansprüche des Kunden

jedoch auf den Ersatz vertragstypischer, vorhersehbarer Schäden für alle Schadensfälle

zusammengenommen beschränkt auf den Auftragswert. Die gleichen Haftungseinschränkungen gelten

für Pflichtverletzungen der gesetzlichen Vertreter und Erfüllungsgehilfen von PraxisConcierge.

(3) Die Haftung für entgangenen Gewinn ist vollständig ausgeschlossen.

(4) Schadensersatzansprüche gegen den jeweils anderen Vertragspartner verjähren nach den

gesetzlichen Vorschriften, spätestens jedoch drei Jahre nach der Pflichtverletzung oder der unerlaubten

Handlung. Dies gilt nicht für Fälle, in denen wegen Vorsatzes gehaftet wird.

(5) Bei Verlust von Daten haftet PraxisConcierge nur für denjenigen Aufwand, der bei ordnungsgemäßer

Datensicherung durch den Kunden für die Wiederherstellung der Daten erforderlich gewesen wäre.

§4 Datenschutz

(1) PraxisConcierge erhebt, verarbeitet und nutzt personenbezogene Daten nur, soweit diese für die

Begründung, inhaltliche Ausgestaltung, Abwicklung, Erfüllung und Änderung des mit dem Kunden

begründeten Vertragsverhältnisses erforderlich sind und/oder soweit der Kunde in die Datenerhebung,

-verarbeitung und -nutzung eingewilligt hat.Signature ref: 0b7511c2-601c-4d67-896b-883ab2382678

(2) PraxisConcierge und angestellte Mitarbeiter werden auf die Wahrung des Datengeheimnisses gemäß

§ 5 des Bundesdatenschutzgesetzes verpflichtet.

(3) Soweit der Kunde eine Einwilligung in die Erhebung, Verarbeitung und/oder Nutzung seiner Daten

abgegeben hat, kann dieser seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Widerrufsempfängerin ist die PraxisConcierge Software GmbH, Kleiststr.1, 70771 Leinfelden.

§5 Schlussbestimmungen

PraxisConcierge behält sich vor, diese allgemeinen Vertragsbedingungen nachträglich zu ändern. In

diesem Fall wird PraxisConcierge den Kunden über die Änderungen rechtzeitig (mindestens: sechs

Wochen) im Voraus benachrichtigen. Widerspricht der Kunde den Änderungen nicht sechs Wochen nach

Zugang der Benachrichtigung, gelten diese als vom Kunden angenommen. Widerspricht der Kunde den

Änderungen, hat PraxisConcierge das Recht, das Vertragsverhältnis mit dem Kunden außerordentlich

und fristlos zu kündigen. In der Benachrichtigung über die Änderungen wird PraxisConcierge den Kunden

auch über die Möglichkeit des Widerspruchs und die Rechtsfolgen des unterlassenen Widerspruchs

informieren.

§6 Salvatorische Klausel

Sollten eine oder mehrere Bestimmungen dieser allgemeinen Geschäftsbedingungen ganz oder teilweise

unwirksam oder ergänzungsbedürftig sein oder werden, so bleibt die Wirksamkeit der übrigen

Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmungen oder ergänzungsbedürftigen

Bestimmungen vereinbaren die Vertragsparteien eine neue Regelung, welche dem gewollten vertraglich

bestimmten Zweck entspricht, hätten sie die Unwirksamkeit oder die Ergänzungsfähigkeit bedacht.

Die allgemeinen Geschäftsbedingungen unterliegen dem Recht der Bundesrepublik Deutschland.

Gerichtstand ist das zuständige Amtsgericht in Stuttgart.

Stuttgart, 1.Januar 2021