Rechtliches
Auftragsverarbeitungsvertrag (AVV)
Nach Art. 28 DSGVO zwischen der die masiah-Plattform nutzenden Praxis (Verantwortlicher) und der fogu UG (haftungsbeschränkt) (Auftragsverarbeiter).
Die behandelnde Praxis ist Verantwortliche, die fogu UG ist Auftragsverarbeiterin für die Verarbeitung von Patienten- und Behandlungsdaten. Der AVV wird vor der Nutzung der behandlungsbezogenen Funktionen elektronisch in der Therapeuten-App abgeschlossen und ist Voraussetzung für deren Nutzung. Die nachstehende Fassung kann auf Anfrage auch als unterzeichnetes Dokument bereitgestellt werden.
1. Gegenstand und Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der masiah-Leistungen (Patienten- und Praxisverwaltung, Terminorganisation, sichere Kommunikation, Sitzungsdokumentation einschließlich Transkription, Sprecherzuordnung und KI-gestützter Zusammenfassung sowie Speicherung). Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses.
2. Art, Zweck, Datenarten, Betroffene
- Art und Zweck: technische Verarbeitung im Auftrag zur Unterstützung der psychotherapeutischen Versorgung und Praxisorganisation.
- Datenarten: Stamm-, Kontakt-, Termin-, Buchungs- und Kommunikationsdaten sowie besondere Kategorien personenbezogener Daten (Gesundheitsdaten, Art. 9 DSGVO), Audio, Transkripte, Stimmprofile und KI-erzeugte Inhalte.
- Betroffene: Patientinnen und Patienten der Praxis sowie deren Bezugspersonen, soweit einbezogen.
3. Weisungsbindung
Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung des Verantwortlichen, einschließlich der Festlegungen dieses Vertrags und der Produktkonfiguration. Hält er eine Weisung für rechtswidrig, informiert er den Verantwortlichen.
4. Vertraulichkeit und Berufsgeheimnis
Der Auftragsverarbeiter verpflichtet die mit der Verarbeitung befassten Personen auf Vertraulichkeit. Die Daten unterliegen dem Berufsgeheimnis nach § 203 StGB; eingesetzte Personen und Unterauftragnehmer werden als mitwirkende Personen im Sinne des § 203 Abs. 3 und 4 StGB zur Geheimhaltung verpflichtet und auf das erforderliche Maß beschränkt.
5. Technische und organisatorische Maßnahmen (Art. 32)
Der Auftragsverarbeiter trifft geeignete Maßnahmen, insbesondere Verschlüsselung bei Übertragung und Speicherung, rollenbasierte Zugriffskontrolle, Mandanten-/Organisationstrennung, Protokollierung sowie Backup- und Wiederherstellungsprozesse, und überprüft diese regelmäßig.
6. Unterauftragsverarbeiter
Der Verantwortliche genehmigt den Einsatz der eingesetzten Unterauftragnehmer (u. a. Hetzner für Hosting/Speicherung, STACKIT für KI-Zusammenfassung sowie, bei aktivierter optionaler Cloud-Sprecherzuordnung, Amazon Web Services). Beabsichtigte Änderungen werden vorab mitgeteilt; der Verantwortliche kann aus wichtigem datenschutzrechtlichen Grund widersprechen. Unterauftragnehmer werden auf dasselbe Schutzniveau verpflichtet.
7. Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Wahrung der Betroffenenrechte (Art. 12–22), bei der Sicherheit der Verarbeitung, bei Meldepflichten und Datenschutz-Folgenabschätzungen (Art. 32–36) sowie bei Anfragen von Aufsichtsbehörden.
8. Meldung von Verletzungen
Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die zur Erfüllung von Art. 33 und 34 DSGVO erforderlichen Informationen bereit.
9. Löschung und Rückgabe
Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter die Daten oder gibt sie nach Wahl des Verantwortlichen zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
10. Nachweise und Drittland
Der Auftragsverarbeiter stellt die zum Nachweis der Einhaltung erforderlichen Informationen bereit (u. a. C5- oder gleichwertige Nachweise der Unterauftragnehmer). Eine Verarbeitung außerhalb der EU/des EWR erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln); die Regelverarbeitung erfolgt innerhalb der EU.
Stand: Juni 2026