Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO — Leitivo / Dorn & Terpelle GbR als Auftragsverarbeiter
Stand: Mai 2026

Hinweis zur Verwendung

  • Dieser AVV ist Voraussetzung für den produktiven Einsatz von Leitivo mit personenbezogenen Daten Dritter (insbesondere Patientendaten).
  • Bitte laden Sie die Vorlage herunter, füllen Sie die Auftraggeber-Daten aus und senden Sie das beidseitig unterzeichnete Exemplar an datenschutz@leitivo.com.
  • Vor dem ersten produktiven Einsatz mit Heilberufler-Patientendaten ist eine anwaltliche Endprüfung erforderlich.

AVV-Vorlage herunterladen (Markdown)

Vertragsparteien

Auftraggeber (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO)

Name / Firma: [bei Vertragsschluss einzutragen]
Adresse: [bei Vertragsschluss einzutragen]
E-Mail (Datenschutz-Korrespondenz): [bei Vertragsschluss einzutragen]

(nachfolgend „Auftraggeber" oder „Verantwortlicher")

Auftragnehmer (Auftragsverarbeiter i.S.d. Art. 28 DSGVO)

Dorn & Terpelle GbR
vertreten durch Melanie Dorn (Georg-Schwarz-Straße 157, 04179 Leipzig)
und Ingo Terpelle (Uhlandstraße 2, 04442 Zwenkau)
E-Mail (Datenschutz): datenschutz@leitivo.com

(nachfolgend „Auftragnehmer" oder „Leitivo")

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt den zwischen den Parteien geschlossenen Leitivo-Nutzungsvertrag (Hauptvertrag) und regelt die datenschutzrechtliche Auftragsverarbeitung nach Art. 28 DSGVO.

Der Auftraggeber ist im Bereich der Heilberufe (z. B. Podologie, Physiotherapie, Medizin, Heilpraktik) oder einer vergleichbaren Branche tätig und nutzt Leitivo zur Verarbeitung von Daten seiner Patienten, Kunden und sonstigen Kontakte (einschließlich besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO).

Der Abschluss dieses AVV ist Voraussetzung für den produktiven Einsatz von Leitivo mit Drittdaten. Die Verarbeitung personenbezogener Daten im Auftrag ohne gültigen AVV ist unzulässig.

§ 1 Gegenstand, Dauer und Art der Verarbeitung

  1. Gegenstand: Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Nutzung der Leitivo Client Suite (LCS):
    • Terminverwaltung und Kalenderintegration
    • Patientenstammdaten-Verwaltung
    • Kommunikations- und Dokumentenmanagement
    • KI-gestützte Assistenz (Avi) für betriebliche Prozesse
    • Rechnungsstellung (Berufsausübungsbezogene Abrechnungsdaten)
    • Ggf. Integration externer Systeme (z. B. Pododesk-Kalender-Synchronisation)
  2. Dauer: Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung des Nutzungsvertrags gelten die Regelungen in § 8 dieses AVV.
  3. Art der Verarbeitung: Speicherung, Abruf, Veränderung, Übermittlung (intern), Verknüpfung und Löschung personenbezogener Daten im Rahmen des unter Nr. 1 beschriebenen Leistungsumfangs.

§ 2 Kategorien personenbezogener Daten und Betroffene

2.1 Datenkategorien (reguläre personenbezogene Daten, Art. 4 Nr. 1 DSGVO)

  • Stammdaten: Vor- und Nachname, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse von Patienten / Kunden des Auftraggebers
  • Terminbuchungsdaten: Datum, Uhrzeit, Terminart, Mitarbeiter-Zuordnung
  • Rechnungs- und Abrechnungsdaten: Leistungsart, Datum, Betrag
  • Kommunikationsdaten: E-Mail-Verläufe, Nachrichten im Rahmen der Plattform, soweit vom Auftraggeber in der Plattform erfasst

2.2 Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO)

Der Auftraggeber verarbeitet im Rahmen seiner Heilberufstätigkeit auf der Leitivo-Plattform Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO, insbesondere:

  • Diagnosen im Klartext und/oder nach ICD-Codierung
  • Behandlungsverläufe, Therapieprotokolle, Befunde
  • Terminhistorie mit medizinischem oder therapeutischem Kontext
  • Ggf. Wundverlaufsdokumentationen, Fotos oder andere Behandlungsunterlagen, soweit diese vom Auftraggeber in die Plattform eingestellt werden

Verarbeitungsgrundlage Art. 9: Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG.

Der erhöhte Schutzbedarf dieser Datenkategorie ist in allen TOM (§ 4) und bei der DSFA (§ 10) zu berücksichtigen.

2.3 Betroffene Personen

Patienten, Kunden und Kontakte des Auftraggebers; ggf. Mitarbeiter des Auftraggebers.

§ 3 Weisungsrecht und Weisungsgebundenheit

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet.
  2. Weisungen werden durch den Auftraggeber schriftlich oder per E-Mail erteilt; Weisungen über die Plattformeinstellungen der LCS gelten als dokumentierte Weisungen.
  3. Hält der Auftragnehmer eine erteilte Weisung für einen Verstoß gegen die DSGVO oder andere Datenschutzvorschriften, unterrichtet er den Auftraggeber unverzüglich. In diesem Fall ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zur Klärung auszusetzen.
  4. Der Auftraggeber bestätigt, dass er die Rechtmäßigkeit der erteilten Weisungen sicherstellt und für die Verarbeitung verantwortlich ist.

§ 4 Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)

Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten des Auftraggebers. Die TOM sind wegen der Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) auf einem erhöhten Sicherheitsniveau ausgelegt.

Wesentliche implementierte Maßnahmen (Stand Mai 2026)

Maßnahme Umsetzung
Verschlüsselung Übertragung HTTPS / TLS 1.3 auf allen Endpunkten
Verschlüsselung Speicherung Datenbankbackups age-verschlüsselt; MinIO-Objekt-Storage dediziert pro Tenant
Zugangskontrolle Rollenbasiertes Zugriffssystem (RBAC), Multi-Faktor-Authentifizierung (TOTP) für Tenant-Verwaltung
Trennbarkeit / Mandantentrennung Row-Level-Security (RLS) auf Datenbankebene; Avi-Zugriffe ausschließlich über Tenant-RLS gefiltert
Protokollierung / Audit-Trail ai_audit_log (SHA-256-gesichert, append-only, Art. 30 DSGVO); tool_call_log pro KI-Werkzeugaufruf
Datensparsamkeit Avi verarbeitet nur die für den jeweiligen Tenant-Kontext freigegebenen Felder; keine mandantenübergreifenden Datenzugriffe
Pseudonymisierung Bei Gesundheitsdaten-Schnittstellen (z. B. Pododesk): SHA-256-ATTENDEE-Hash
Backup & Recovery Tägliches pg_dump → MinIO off-site; Restore-Drill dokumentiert
Löschkonzept Tenant-Offboarding-Pfad mit Zwei-Schritt-Bestätigung und Post-Lösch-Verifikation
Verpflichtung Mitarbeiter Alle mit der Verarbeitung befassten Personen / Systeme auf Vertraulichkeit verpflichtet

Die vollständige TOM-Anlage 1 ist Bestandteil dieses AVV und vor der endgültigen Ausfertigung durch Rechtsanwalt und Auftragnehmer vollständig auszuformulieren.

§ 5 Unterauftragsverarbeiter (Art. 28 Abs. 2 und 4 DSGVO)

  1. Der Auftragnehmer setzt die in Anlage 2 aufgeführten Unterauftragsverarbeiter ein. Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zur Hinzuziehung der in Anlage 2 genannten Unterauftragsverarbeiter.
  2. Bei geplanter Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informiert der Auftragnehmer den Auftraggeber mindestens 14 Tage im Voraus. Der Auftraggeber kann binnen dieser Frist schriftlich Einwände erheben; werden keine Einwände erhoben, gilt die Genehmigung als erteilt.
  3. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden wie dem Auftragnehmer im Rahmen dieses AVV.

Anlage 2 — Unterauftragsverarbeiter (Stand Mai 2026)

Unterauftragsverarbeiter Sitz Leistung Drittland-Transfer
Hetzner Online GmbH Gunzenhausen, Deutschland Server-Hosting, Datenbank, Backup-Infrastruktur, Mailserver nein
OVHCloud (OVH SAS) Roubaix, Frankreich (EU) LLM-Proxy-Infrastruktur (KI-Inferenz Avi) nein
Mistral AI SAS Paris, Frankreich (EU) KI-Modell-Inferenz (Avi) nein
Stripe Payments Europe Ltd. Dublin, Irland (EU) Zahlungsabwicklung (Abrechnungsdaten) nein

Anwaltlich / projektseitig zu bestätigen: Die vollständige Unterauftragsverarbeiter-Liste ist vor erstem Produktiveinsatz mit Patientendaten zu verifizieren. Alle datenschutzrechtlichen Verträge mit den genannten Subprozessoren (AVV oder SCCs) sind zu dokumentieren.

§ 6 Unterstützung bei Betroffenenrechten (Art. 12–22 DSGVO)

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung der Rechte der betroffenen Personen (Art. 28 Abs. 3 lit. e DSGVO):

  • Auskunft (Art. 15): DSR-Datenexport per API und vollständiger maschinenlesbarer Daten-Export über den Tenant-Offboarding-Pfad.
  • Berichtigung (Art. 16): Daten sind über die LCS-Benutzeroberfläche direkt editierbar.
  • Löschung (Art. 17): Löschung einzelner Betroffener-Datensätze über den DSR-Endpunkt; vollständige Instanz-Löschung über den Tenant-Offboarding-Pfad.
  • Einschränkung (Art. 18): Auf Weisung des Auftraggebers setzt der Auftragnehmer entsprechende technische Maßnahmen um (manueller Prozess, Reaktionsfrist 72 Stunden).
  • Datenübertragbarkeit (Art. 20): Maschinenlesbarer Export (JSON/CSV) vor Tenant-Löschung verfügbar.
  • Widerspruch (Art. 21): Auf Weisung des Auftraggebers wird die weitere Verarbeitung einzelner Datensätze eingeschränkt.

Der Auftragnehmer beantwortet DSR-Anfragen des Auftraggebers innerhalb von 72 Stunden nach Eingang und leitet Anfragen betroffener Personen, die irrtümlich direkt beim Auftragnehmer eingehen, unverzüglich an den Auftraggeber weiter.

§ 7 Meldepflichten bei Datenschutzverletzungen (Art. 33 / 34 DSGVO)

  1. Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme über eine Datenschutzverletzung (Art. 4 Nr. 12 DSGVO), die Daten des Auftraggebers betrifft (Art. 28 Abs. 3 lit. f DSGVO).
  2. Die Meldung enthält mindestens:
    • Art der Verletzung und betroffene Datenkategorien (einschließlich Art.-9-Daten)
    • Ungefähre Anzahl betroffener Personen und Datensätze
    • Wahrscheinliche Folgen der Verletzung
    • Ergriffene oder geplante Abhilfemaßnahmen
  3. Sicherheitsmeldungen sind zu richten an: datenschutz@leitivo.com (Ingo Terpelle)
  4. Der Auftraggeber bleibt selbst verpflichtet, die Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO, Frist 72 Stunden ab Kenntnisnahme) und ggf. gegenüber den Betroffenen (Art. 34 DSGVO) zu erfüllen.

§ 8 Löschung und Rückgabe nach Vertragsende

  1. Datenexport: Der Auftraggeber kann vor Vertragsende jederzeit einen vollständigen maschinenlesbaren Export seiner Daten (JSON/CSV) anfordern.
  2. Löschfrist: Innerhalb von 30 Tagen nach Beendigung des Nutzungsvertrags werden alle Tenant-Daten (Datenbank und MinIO-Objekt-Storage) unwiderruflich gelöscht. Die Löschung erfolgt technisch durch den Tenant-Offboarding-Prozess mit Zwei-Schritt-Bestätigung und anschließender Post-Lösch-Verifikation (0 verbleibende Datensätze).
  3. Löschbestätigung: Der Auftragnehmer bestätigt die vollständige Löschung schriftlich per E-Mail innerhalb von 7 Tagen nach Abschluss des Löschvorgangs.
  4. Aufbewahrung von Audit-Logs über die Löschung: Protokolle der Löschvorgänge selbst werden für 3 Jahre aufbewahrt (Nachweis der ordnungsgemäßen Löschung; § 257 HGB / § 147 AO, soweit anwendbar).
  5. Eine Herausgabe der Daten in anderer Form als beschrieben (z. B. Datenbankdump) ist auf Anfrage und nach Kostenerstattung möglich.

§ 9 Datenschutzbeauftragter / Datenschutz-Ansprechpartner

Der Auftragnehmer hat keinen gesetzlich zu bestellenden Datenschutzbeauftragten (Art. 37 DSGVO / § 38 BDSG, Schwelle nicht erreicht). Als Ansprechpartner für Datenschutzfragen steht zur Verfügung:

Ingo Terpelle — datenschutz@leitivo.com

§ 10 Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)

  1. Die Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) durch Heilberufler ist grundsätzlich geeignet, ein hohes Risiko für die betroffenen Patienten zu begründen (Art. 35 Abs. 3 lit. b DSGVO: umfangreiche Verarbeitung besonderer Kategorien).
  2. Der Auftraggeber als Verantwortlicher ist verpflichtet, vor dem ersten produktiven Einsatz von Leitivo mit echten Patientendaten eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen.
  3. Der Auftragnehmer unterstützt den Auftraggeber bei der DSFA durch Bereitstellung von Informationen über die eingesetzten TOMs, die Subprozessor-Liste, die Systemarchitektur und die Datenflüsse.
  4. Der Auftraggeber bestätigt mit Unterzeichnung dieses AVV, dass er sich seiner DSFA-Pflicht bewusst ist und eine DSFA vor dem ersten produktiven Einsatz durchführen wird.

§ 11 Berufsgeheimnisschutz (§ 203 StGB)

  1. Heilberufler als Auftraggeber sind Berufsgeheimnisträger im Sinne des § 203 StGB. Die ihnen anvertrauten Patientendaten unterliegen der ärztlichen, therapeutischen oder heilberuflichen Schweigepflicht.
  2. Der Auftragnehmer ist im Rahmen dieses AVV als sonstige Person im Sinne des § 203 Abs. 3 Satz 2 StGB tätig, die zur berufsmäßigen Unterstützung des Berufsgeheimnisträgers herangezogen wird. Die Offenbarung von Patientendaten an den Auftragnehmer für Zwecke der Plattformnutzung ist nach § 203 Abs. 3 Satz 2 StGB zulässig, soweit die Offenbarung für die Inanspruchnahme der Dienstleistung erforderlich ist.
  3. Der Auftragnehmer verpflichtet alle mit der Verarbeitung der Patientendaten befassten Personen und Systeme auf die Vertraulichkeit. Eine entsprechende schriftliche Verpflichtungserklärung gegenüber dem Auftraggeber ist auf Anfrage vorzulegen.
  4. Anwaltlich zu bestätigen (ROTE LINIE): Die vollständige §-203-konforme Ausgestaltung der Verpflichtungserklärungen für Mitarbeiter und den Einsatz KI-basierter Systeme ist vor dem ersten produktiven Einsatz mit Heilberufler-Patientendaten durch einen Rechtsanwalt mit Schwerpunkt Medizin- / Datenschutzrecht zu verifizieren.

§ 12 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften und der Regelungen dieses AVV durch den Auftragnehmer zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO). Dies kann durch:

    a) Anforderung und Prüfung von Dokumenten (z. B. TOM-Nachweise, Subprozessor-Verträge),
    b) Selbst durchgeführte Inspektionen (mit 14-tägiger Ankündigung, während üblicher Geschäftszeiten, max. einmal jährlich) oder
    c) Beauftragung eines Dritten (Wirtschaftsprüfer, qualifizierter Auditor) erfolgen, sofern dieser zur Verschwiegenheit verpflichtet ist.
  2. Der Auftragnehmer ist berechtigt, eine Kontrolle abzulehnen, die den laufenden Betrieb unverhältnismäßig beeinträchtigen würde, und wird in diesem Fall einen zeitlichen Alternativrahmen anbieten.

§ 13 Haftung

  1. Im Innenverhältnis der Vertragsparteien gilt: Erteilt der Auftraggeber eine rechtswidrige Weisung und befolgt der Auftragnehmer diese nach vorheriger ausdrücklicher Unterrichtung des Auftraggebers, haftet der Auftraggeber für etwaige Schäden.
  2. Im Außenverhältnis gegenüber Betroffenen gilt Art. 82 DSGVO: Auftraggeber und Auftragnehmer können gegenüber Betroffenen gesamtschuldnerisch haften. Der Auftragnehmer haftet nur, soweit er Verpflichtungen aus diesem AVV verletzt hat.

§ 14 Anwendbares Recht und Gerichtsstand

Es gilt deutsches Recht. Gerichtsstand für Streitigkeiten aus diesem AVV ist Leipzig.

§ 15 Gegenzeichnung und Inkrafttreten

Dieser AVV tritt in Kraft mit Unterzeichnung durch beide Parteien und ist Voraussetzung für den produktiven Einsatz von Leitivo mit personenbezogenen Daten Dritter.

Partei Unternehmen / Name Funktion Datum Unterschrift
Auftraggeber
Auftragnehmer Dorn & Terpelle GbR Geschäftsführung

Anlage 1 — TOM (Art. 32 DSGVO)

Die vollständige TOM-Anlage ist durch den Auftragnehmer vor der endgültigen Ausfertigung dieses AVV vollständig auszuformulieren. § 4 dieses AVV enthält bereits die wesentlichen implementierten Maßnahmen; diese sind durch einen Rechtsanwalt in eine rechtsverbindliche Anlage zu überführen.

Anwaltlich / projektseitig zu bestätigen.

Anbieter: Dorn & Terpelle GbR — Melanie Dorn, Georg-Schwarz-Straße 157, 04179 Leipzig und Ingo Terpelle, Uhlandstraße 2, 04442 Zwenkau | Stand: Mai 2026
Finalisierungsreif — anwaltliche Endfreigabe ausstehend.