Muster-AVV fuer Arztpraxen
Rechtssicherer Auftragsverarbeitungsvertrag — angepasst an die Anforderungen des Gesundheitswesens
📑 Das ist im Muster-AVV enthalten:
Auftragsverarbeitungsvertrag
gemaess Art. 28 Datenschutz-Grundverordnung (DSGVO)
Arztpraxis-Edition | Version 2026.1
Praembel
Dieser Vertrag regelt die Rechte und Pflichten zwischen dem Verantwortlichen (Arztpraxis) und dem Auftragsverarbeiter (IT-Dienstleister) gemaess Art. 28 DSGVO i.V.m. § 22 BDSG bezueglich der Verarbeitung personenbezogener Daten, insbesondere besonderer Kategorien gemaess Art. 9 DSGVO (Gesundheitsdaten).
§ 1 Vertragsparteien
| Verantwortlicher | Praxis _________________ (nachfolgend „Verantwortlicher") Inhaber/in: _________________ Anschrift: _________________ Telefon: _________________ |
| Auftragsverarbeiter | ████████████████████████ ████████████████ ████████████ |
§ 2 Gegenstand der Verarbeitung
████████████████████████████████████████████████████████████████████████████████████████████████████████████████
📥 Vollstaendiges AVV-Muster erhalten
Kostenlos — alle 10 Paragrafen, TOM-Anhang und Unterschriftenseite. Als Word-Dokument zum Bearbeiten.
✓ Ihr Muster-AVV ist bereit!
Das vollstaendige Dokument wird unten angezeigt. Sie koennen es ausdrucken oder als PDF speichern.
Ihre Daten werden nur fuer die Bereitstellung genutzt. Sie erhalten keinen Spam.
Auftragsverarbeitungsvertrag
Praembel
Dieser Vertrag regelt die Rechte und Pflichten zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemaess Art. 28 DSGVO i.V.m. § 22 BDSG. Da es sich um die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) gemaess Art. 9 DSGVO handelt, gelten erhoehte Schutzanforderungen.
§ 1 Vertragsparteien
| Verantwortlicher (Auftraggeber) | |
|---|---|
| Bezeichnung | [Praxisname] |
| Inhaber/in | [Ihr Name] |
| Anschrift | [Strasse, PLZ, Ort] |
| Kontakt | [Telefon / E-Mail] |
| Auftragsverarbeiter (IT-Dienstleister) | |
|---|---|
| Unternehmensname | [Name des IT-Dienstleisters] |
| Vertretungsberechtigte/r | [Name der GF] |
| Anschrift | [Strasse, PLZ, Ort] |
| Handelsregister | [HRB-Nummer, Registergericht] |
§ 2 Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter erbringt fuer den Verantwortlichen folgende IT-Leistungen, im Rahmen derer personenbezogene Daten verarbeitet werden:
| Leistung | Art der verarbeiteten Daten | Zweck |
|---|---|---|
| IT-Administration und Server-Betreuung | Patientendaten, Mitarbeiterdaten (Gesundheitsdaten gemaess Art. 9 DSGVO) | Betrieb und Wartung der Praxis-IT |
| Fernwartung / Remote-Zugang | Daten, auf die waehrend der Fernwartung zugegriffen wird | Technische Unterstuetzung |
| Datensicherung (Backup) | Alle im PVS gespeicherten Daten (inkl. Patientenakten) | Datensicherheit und Wiederherstellbarkeit |
| [Weitere Leistungen] | [Beschreibung] | [Zweck] |
Die Vertragsleistung beginnt am [Datum] und laeuft auf unbestimmte Zeit. Sie endet mit dem Ende des zugrundeliegenden Hauptvertrags.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere zu:
- Verarbeitung personenbezogener Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen
- Geheimhaltung aller verarbeiteten Daten; Verpflichtung aller zugangsbefugten Mitarbeiter auf Vertraulichkeit und § 203 StGB (Schweigepflicht bei Gesundheitsdaten)
- Implementierung und Aufrechterhaltung angemessener technischer und organisatorischer Massnahmen (TOM) gemaess Anlage 1
- Unterstuetzung des Verantwortlichen bei der Erfuellung von Betroffenenanfragen (Art. 15–22 DSGVO) innerhalb von 5 Werktagen
- Sofortige Meldung von Sicherheitsvorfaellen, spaetstens innerhalb von 24 Stunden nach Entdeckung
- Loeschung oder Rueckgabe aller Daten nach Vertragsende gemaess § 8 dieses Vertrags
- Bereitstellung aller Informationen, die zur Einhaltung dieses Vertrags und der DSGVO notwendig sind
- Duldung von Kontrollen und Audits durch den Verantwortlichen oder beauftragte Dritte
- Einhaltung von BSI-Grundschutz-Anforderungen fuer den Gesundheitssektor
- Verarbeitung personenbezogener Daten ausschliesslich im EU/EWR-Raum oder unter Beruecksichtigung der Art. 44–49 DSGVO
- Benennung eines internen oder externen Datenschutzbeauftragten (soweit gesetzlich erforderlich)
- Fuehrung eines Verzeichnisses aller im Rahmen dieses Vertrags durchgefuehrten Verarbeitungstaetigkeiten
§ 4 Pflichten des Verantwortlichen
- Information des Auftragsverarbeiters ueber datenschutzrelevante Aenderungen vor ihrer Umsetzung
- Sicherstellung, dass die Verarbeitung eine rechtliche Grundlage hat
- Weisungserteilung ausschliesslich durch berechtigte Personen (Praxisinhaber/in oder Datenschutzbeauftragten)
- Dokumentation aller Weisungen schriftlich oder in Textform
§ 5 Technische und organisatorische Massnahmen (TOM)
Der Auftragsverarbeiter setzt mindestens folgende Massnahmen um:
| Kategorie | Massnahme |
|---|---|
| Zugangskontrolle | Verschluesselung aller mobilen Geraete, starke Passwortrichtlinien, MFA fuer Remote-Zugang |
| Zugriffskontrolle | Need-to-know-Prinzip, rollenbasierte Zugriffsrechte, individuelle Benutzerkonten, Protokollierung |
| Weitergabekontrolle | Verschluesselung aller Datenuebertragungen (TLS 1.2+), VPN fuer Fernwartung |
| Eingabekontrolle | Protokollierung aller Datenbankzugriffe, unveraenderliche Audit-Logs |
| Verfuegbarkeitskontrolle | Taeglich verschluesselte Backups, getestete Wiederherstellung, Redundanz bei kritischen Systemen |
| Trennungskontrolle | Logische Trennung von Mandantendaten, getrennte Netze fuer Praxis-IT und Gaeste |
| Physische Sicherheit | Gesicherte Serverraeume, Zutrittskontrolle, Diebstahlsicherung fuer Endgeraete |
§ 6 Unterauftragsverarbeitung
Der Auftragsverarbeiter darf Unterauftragnehmer nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen einsetzen. Folgende Unterauftragnehmer werden hiermit vorab genehmigt:
| Unterauftragnehmer | Leistung | Sitz |
|---|---|---|
| [Name] | [Leistungsbeschreibung] | [EU/EWR oder Drittland?] |
Dem Auftragsverarbeiter werden entsprechende Datenschutzpflichten auferlegt (Art. 28 Abs. 4 DSGVO).
§ 7 Datenpannen und Sicherheitsvorfaelle
Bei Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dies dem Verantwortlichen unverzueglich, spaetstens innerhalb von 24 Stunden. Die Meldung enthaelt:
- Beschreibung der Art der Verletzung (Kategorien und Anzahl der Betroffenen)
- Name und Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen Massnahmen zur Schadensbegrenzung
Meldekontakt des Verantwortlichen: [E-Mail / Telefon des DSB oder Praxisinhabers]
§ 8 Loeschung und Rueckgabe nach Vertragsende
Nach Beendigung des Vertrags loescht oder uebergibt der Auftragsverarbeiter auf Weisung des Verantwortlichen alle personenbezogenen Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Die vollstaendige Loeschung ist dem Verantwortlichen schriftlich zu bestaetigen.
§ 9 Kontrollrechte
Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags durch Audits zu ueberpruefe (Vor-Ort-Kontrollen mit 10 Werktagen Vorankuendigung oder Vorlage aktueller Zertifizierungen/Testate). Kosten traegt der Verantwortliche.
§ 10 Haftung und Schadensersatz
Die Haftung richtet sich nach Art. 82 DSGVO. Fuer vorsaetzliche oder grob fahrlaessige Pflichtverletzungen haftet der Auftragsverarbeiter nach den gesetzlichen Vorschriften ohne Haftungsbegrenzung. Fuer leichte Fahrlaessigkeit ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt.
§ 11 Schlussbestimmungen
Dieser Vertrag unterliegt deutschem Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist [Ort des Verantwortlichen]. Aenderungen und Ergaenzungen beduerfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Uebrigen wirksam.
(Praxisinhaber/in, Stempel)
(IT-Dienstleister, Stempel)
Bereitgestellt von: Praxisbetreuung Berlin — praxisbetreuung-berlin.de
