Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO · Stand: 10. April 2026

Vereinbarung über die Verarbeitung personenbezogener Daten zwischen dem Kunden (Verantwortlicher) und PrivPay (Auftragsverarbeiter).

Wie funktioniert der AVV-Abschluss?

Diese Seite enthält den vollständigen Vertragstext. Beim Anfordern unter datenschutz@privpay.de erhalten Sie das Dokument als unterschriebenes PDF mit Ihren Stammdaten ausgefüllt. Alternativ können Sie das Dokument als Bestandteil der Plattform-Onboarding-Strecke akzeptieren (Klick-Wrap).

1

§ 1 Vertragsparteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:

Verantwortlicher

[Praxis- bzw. Verwaltungs-Name]

[Vertretungsberechtigte Person]

[Anschrift]

[PLZ, Ort, Land]

— nachfolgend „Verantwortlicher" oder „Kunde" —

Auftragsverarbeiter

Steven Bobrzik

Einzelunternehmen — Geschäftsbezeichnung: PrivPay

Katernbergerstraße 6

45327 Essen, Deutschland

datenschutz@privpay.de

— nachfolgend „Auftragsverarbeiter" oder „PrivPay" —

— gemeinsam auch „die Parteien" —

2

§ 2 Präambel und Gegenstand

(1) Dieser Vertrag konkretisiert die Pflichten der Parteien zum Datenschutz, die sich aus der Nutzung der Plattform PrivPay auf Grundlage des zwischen den Parteien geschlossenen Hauptvertrages (Allgemeine Geschäftsbedingungen) ergeben. Er findet Anwendung auf alle Tätigkeiten, bei denen der Auftragsverarbeiter im Rahmen des Hauptvertrages mit personenbezogenen Daten des Verantwortlichen in Berührung kommt.

(2) Im Falle von Widersprüchen zwischen diesem AVV und Regelungen aus anderen Vereinbarungen, insbesondere dem Hauptvertrag, gehen die Regelungen dieses AVV vor.

(3) Maßgebliche Rechtsgrundlage ist Art. 28 DSGVO. Soweit in diesem Vertrag der Begriff „Datenverarbeitung" verwendet wird, ist hierunter jede in Art. 4 Nr. 2 DSGVO genannte Verarbeitungsoperation zu verstehen.

3

§ 3 Gegenstand, Art und Zweck der Verarbeitung

(1) Gegenstand: Bereitstellung der SaaS-Plattform PrivPay zur Erstellung, Verwaltung, Versendung und Abrechnung von Privatrechnungen sowie zur Verwaltung von Patientenstammdaten und der Kommunikation mit Patientinnen und Patienten.

(2) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich, Verknüpfung, Einschränkung, Löschen oder Vernichten — soweit dies zur Erfüllung der vereinbarten Leistungen erforderlich ist.

(3) Zweck: Erbringung der im Hauptvertrag vereinbarten Leistungen, insbesondere:

  • · Speicherung und Verwaltung von Patientenstammdaten und -korrespondenz;
  • · Erstellung und Versand von Privatrechnungen (E-Mail, Post, Patienten-App);
  • · Annahme und Zuordnung von Zahlungen über angeschlossene Zahlungsdienstleister;
  • · Bankabgleich und Mahnwesen;
  • · Bereitstellung der Patienten-App inkl. Push-Benachrichtigungen;
  • · Audit-Log und Sicherheitsprotokollierung gemäß Art. 32 DSGVO und § 630f BGB;
  • · Backup und Wiederherstellung der Daten zur Sicherstellung der Verfügbarkeit.

(4) Dauer: Der Vertrag wird auf unbestimmte Zeit geschlossen und endet mit Beendigung des Hauptvertrages. Die Pflichten zur Vertraulichkeit und Löschung bleiben über das Vertragsende hinaus bestehen.

4

§ 4 Art der Daten und Kreis der Betroffenen

(1) Kategorien betroffener Personen:

  • · Patientinnen und Patienten des Verantwortlichen;
  • · Mitarbeitende des Verantwortlichen mit eigenem Plattform-Zugang;
  • · ggf. Kontaktpersonen, Versicherungs- oder Inkassopartner des Verantwortlichen.

(2) Kategorien personenbezogener Daten:

Stammdaten (Name, Adresse, Geburtsdatum)
Kontaktdaten (E-Mail, Telefon, Versandpräferenzen)
Versicherungsdaten (Versicherungsname, -nummer, -art)
Rechnungsdaten (Positionen, Beträge, Zahlungsstatus)
Diagnosen / GOÄ-Bezüge in Rechnungspositionen
Kommunikations- und Mahnungsverlauf
Bankverbindungs- und Zahlungsdaten
Login- und Audit-Daten der Mitarbeitenden
Push-Token der Patienten-App-Nutzer
Hochgeladene Rechnungs-PDFs

Besondere Kategorien (Art. 9 DSGVO)

Die Verarbeitung umfasst Gesundheitsdaten gemäß Art. 9 Abs. 1 DSGVO. Die Verarbeitung ist gestützt auf Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG (Verwaltung von Gesundheitsdiensten und -systemen).

5

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere zu Folgendem:

Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — diese AVV-Regelungen, der Hauptvertrag sowie die Nutzung der Plattform durch den Verantwortlichen gelten als dokumentierte Weisung;
unverzügliche Information des Verantwortlichen, falls eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt;
Verpflichtung aller mit der Verarbeitung befassten Personen auf Vertraulichkeit (§ 5 BDSG, § 203 StGB);
Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO (siehe Anhang TOMs / § 11);
Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO);
Unterstützung bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung);
Unverzügliche Meldung von Datenschutzverletzungen gemäß Art. 33 DSGVO an den Verantwortlichen, spätestens jedoch innerhalb von 24 Stunden ab Kenntniserlangung;
Bereitstellung aller zur Nachweisführung erforderlichen Informationen und Ermöglichung von Audits gemäß § 8;
Löschung oder Rückgabe der Daten nach Beendigung des Vertrages gemäß Wahl des Verantwortlichen (§ 9).
6

§ 6 Pflichten des Verantwortlichen

Der Verantwortliche bleibt im Sinne der DSGVO „Herr der Daten" und ist insbesondere verpflichtet:

  • · die Rechtmäßigkeit der Datenverarbeitung sicherzustellen, insbesondere die erforderliche Rechtsgrundlage zu prüfen und ggf. Einwilligungen einzuholen;
  • · die Informationspflichten nach Art. 13 und 14 DSGVO gegenüber den Betroffenen (insbesondere Patientinnen und Patienten) zu erfüllen;
  • · dem Auftragsverarbeiter weisungsbefugte Personen zu benennen und Änderungen mitzuteilen;
  • · Anfragen betroffener Personen primär selbst zu bearbeiten und den Auftragsverarbeiter nur zu involvieren, soweit dies erforderlich ist;
  • · ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO zu führen.
7

§ 7 Subunternehmer (Sub-Auftragsverarbeiter)

(1) Der Verantwortliche erteilt mit Abschluss dieses AVV seine allgemeine schriftliche Genehmigung zur Heranziehung der nachfolgend genannten Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO).

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mindestens 30 Tage im Voraus. Dem Verantwortlichen steht das Recht zu, dieser Veränderung aus wichtigem Grund zu widersprechen. Im Falle eines Widerspruchs steht dem Verantwortlichen ein Sonderkündigungsrecht des Hauptvertrages zu.

(3) Aktuell eingesetzte Sub-Auftragsverarbeiter:

Hosting-Provider

Nürnberg, Deutschland (EU)

Bereitstellung der Plattform-Infrastruktur, Datenbank und Dateispeicher

Stripe Payments Europe Ltd.

Dublin, Irland (EU)

Karten- und SEPA-Zahlungen, PCI-DSS Level 1

PayPal (Europe) S.à r.l. et Cie, S.C.A.

Luxemburg (EU)

PayPal-Zahlungen und Gastzahlung

GoCardless Ltd.

London, Vereinigtes Königreich (Adäquanzbeschluss)

PSD2 / Open Banking — nur lesender Zugriff zum Bankabgleich

Expo (Push-Service)

USA (Standardvertragsklauseln)

Auslieferung von Push-Benachrichtigungen an die Patienten-App

OpenAI, L.L.C. (optional)

USA (Standardvertragsklauseln)

Optional: KI-gestützte Erkennung des Rechnungsbetrags aus PDF-Uploads. Nur aktiv, wenn ein API-Schlüssel hinterlegt ist. Es werden keine Patienten-Stammdaten übermittelt, sondern nur das Bild bzw. der PDF-Inhalt der Rechnung.

(4) Mit allen Sub-Auftragsverarbeitern hat der Auftragsverarbeiter Verträge nach Art. 28 DSGVO geschlossen, die den Pflichten aus diesem AVV entsprechen. Eine aktuelle Liste der Sub-Auftragsverarbeiter ist unter /datenschutz einsehbar oder kann jederzeit unter datenschutz@privpay.de angefordert werden.

8

§ 8 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen sowie der vertraglichen Pflichten beim Auftragsverarbeiter zu überzeugen.

(2) Die Kontrolle erfolgt vorrangig durch Einsichtnahme in geeignete Nachweise. Hierzu gehören:

  • · dieses AVV-Dokument und die enthaltene TOM-Beschreibung (§ 11);
  • · das Audit-Log-Modul innerhalb der Plattform (Verwaltung → Audit-Log);
  • · die Datenschutzerklärung unter /datenschutz;
  • · auf Anfrage: Sicherheitskonzept, Backup-Konzept, Liste der Sub-Auftragsverarbeiter.

(3) Vor-Ort-Kontrollen können nach vorheriger Terminabsprache mit angemessener Frist (mindestens 14 Tage) während der üblichen Geschäftszeiten durchgeführt werden. Der Verantwortliche trägt die hierfür anfallenden Kosten beim Auftragsverarbeiter, sofern die Prüfung nicht durch konkrete Vorfälle veranlasst ist.

9

§ 9 Rückgabe und Löschung der Daten

(1) Nach Beendigung des Hauptvertrages wird der Auftragsverarbeiter — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten zurückgeben oder löschen, soweit nicht eine Verpflichtung zur Speicherung nach dem Recht der Union oder der Mitglied- staaten besteht.

(2) Der Verantwortliche hat ab Beendigung des Hauptvertrages 30 Tage Zeit, seine Daten über die Export-Funktionen der Plattform zu sichern oder einen Export beim Auftragsverarbeiter anzufordern.

(3) Nach Ablauf dieser Frist werden alle Daten unwiderruflich gelöscht. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (insbesondere § 147 AO, § 257 HGB, § 630f BGB), werden gesperrt aufbewahrt und nach Ablauf der jeweiligen Aufbewahrungs- frist gelöscht.

(4) Der Auftragsverarbeiter dokumentiert die Löschung und stellt dem Verantwortlichen auf Anfrage einen entsprechenden Nachweis aus.

10

§ 10 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich — spätestens jedoch innerhalb von 24 Stunden ab Kenntniserlangung — über jede festgestellte Verletzung des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

  • · eine Beschreibung der Art der Verletzung;
  • · soweit möglich die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze;
  • · den Namen und die Kontaktdaten des Ansprechpartners;
  • · eine Beschreibung der wahrscheinlichen Folgen;
  • · eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Schadensbegrenzung.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen aktiv bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und gegenüber den Betroffenen (Art. 34 DSGVO).

11

§ 11 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

a) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Server in zertifizierten Rechenzentren in Deutschland (ISO 27001)
Zugangskontrolle: Personalisierte Login-Daten, bcrypt-Passwort-Hashing (Cost ≥ 12), optionale 2FA (TOTP)
Zugriffskontrolle: Rollen- und mandantenbasierte Berechtigungen (Praxis / Verwaltung / Superadmin)
Trennungskontrolle: Vollständige Mandantentrennung in der Datenbank, automatisierte Tests zur Tenant-Isolation
Pseudonymisierung: Verwendung interner IDs, Maskierung von Secrets in der UI

b) Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: TLS 1.2/1.3 für alle Datenübertragungen
Eingabekontrolle: Vollständiges Audit-Log mit Benutzer, Zeitpunkt, IP und Aktion
AES-256-GCM-Verschlüsselung sensibler Felder (SMTP-Pass, API-Keys, Bank-Zugänge)
Vier-Augen-Prinzip bei Patienten-Identitätszusammenführungen

c) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Verfügbarkeitskontrolle: Redundante Infrastruktur, automatisierte Backups in der EU
Wiederherstellbarkeit: Regelmäßige Restore-Tests
Schutz vor Datenverlust durch versehentliches Löschen (Soft-Delete-Strategien)
Schutz vor DoS-Angriffen durch Rate-Limiting und Web-Application-Firewall

d) Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management: Schriftliche Verpflichtung der Mitarbeitenden auf § 5 BDSG und § 203 StGB
Incident-Response-Prozess: Dokumentierter Ablauf zur Erkennung, Meldung und Bearbeitung von Vorfällen
Datenschutzfreundliche Voreinstellungen (Privacy by Default)
Regelmäßige Sicherheits-Audits und Schwachstellen-Scans
Mitarbeiterschulungen zu Datenschutz und IT-Sicherheit

e) Auftragskontrolle

Klare Vertragsgestaltung mit Sub-Auftragsverarbeitern (Art. 28 DSGVO)
Schriftliche Weisungen und Dokumentation aller Datenverarbeitungs-Aufträge
Regelmäßige Überprüfung der Sub-Auftragsverarbeiter

Die TOMs werden vom Auftragsverarbeiter regelmäßig überprüft und an den Stand der Technik angepasst. Wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.

12

§ 12 Datenübermittlung in Drittländer

(1) Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR) findet nur in den in § 7 (Sub-Auftragsverarbeiter) ausdrücklich genannten Fällen statt.

(2) Für Übermittlungen in die USA (Expo Push-Service, optional OpenAI) hat der Auftragsverarbeiter EU-Standardvertragsklauseln (SCC) der Europäischen Kommission abgeschlossen. Zusätzlich werden — soweit möglich — ergänzende technische Maßnahmen (Pseudonymisierung, Verschlüsselung) eingesetzt.

(3) Der Auftragsverarbeiter stellt sicher, dass jede Drittlandübermittlung den Anforderungen der Kapitel V DSGVO entspricht.

13

§ 13 Haftung und Schadensersatz

(1) Die Parteien haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

(2) Im Innenverhältnis gilt die Haftungsregelung des Hauptvertrages (siehe AGB, § 14). Eine über die gesetzlichen Regelungen hinausgehende Haftung wird ausgeschlossen, soweit dies gesetzlich zulässig ist.

14

§ 14 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen (salvatorische Klausel).

(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist — soweit zulässig — der Sitz des Auftragsverarbeiters.

(4) Im Falle der Beendigung dieses AVV bleiben die Pflichten zur Vertraulichkeit und zur Löschung von Daten weiterhin bestehen.

15

§ 15 Anforderung und Kontakt

Diesen Auftragsverarbeitungsvertrag stellen wir Ihnen kostenfrei in elektronischer Form (PDF mit Unterschrift) zur Verfügung. Bitte richten Sie Ihre Anforderung mit folgenden Angaben an datenschutz@privpay.de:

  • · Vollständiger Name des Verantwortlichen (Praxis / Verwaltung)
  • · Vertretungsberechtigte Person
  • · Anschrift
  • · Plattform-Account-E-Mail

Wir senden Ihnen das ausgefüllte Dokument innerhalb von 2 Werktagen zur Gegenzeichnung zu.