Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: 2026-06-12 · Version 1.0

Vertragspartner

Auftragsverarbeiter (nachfolgend „vynora"): vynora UG (haftungsbeschränkt) vertreten durch Geschäftsführer Jörg Schubert Heerstraße 29 31079 Sibbesse Deutschland Registergericht: Amtsgericht Hildesheim, HRB 210793 E-Mail: kontakt@vynoramed.de

Verantwortlicher (nachfolgend „Praxis" oder „Kunde"): Die im vynora-Dashboard registrierte Organisation, identifiziert durch ihre eindeutige Org-ID.

Der Vertragsschluss zwischen vynora und der Praxis erfolgt durch separate Akzeptanz dieses AVV im vynora-Dashboard durch einen Master-Account der Praxis. Die Akzeptanz wird in einem manipulationssicheren Audit-Log mit Org-ID, Benutzer-ID, IP-Adresse, Zeitstempel und AVV-Version dokumentiert. Die Praxis kann diese Daten jederzeit als Nachweis im Dashboard exportieren.

Dieser AVV gilt mit Akzeptanz im Dashboard als zwischen vynora und der Praxis geschlossen. Die jeweils aktuelle Fassung ist unter https://vynoramed.de/legal/avv dauerhaft abrufbar und kann dort als PDF gespeichert werden.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem zwischen ihnen geschlossenen Hauptvertrag (Nutzungsvertrag der vynora-SaaS-Plattform, geregelt in den AGB).

(2) vynora erbringt für die Praxis Leistungen im Bereich digitaler Patientenaufruf, Virtual Waiting Room, Wartezimmer-TV, Patient-Portal, Türanzeigen und damit verbundene Funktionalitäten.

(3) Die Verarbeitung personenbezogener Daten erfolgt im Rahmen dieses Hauptvertrags und auf Weisung der Praxis.

(4) Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Verpflichtungen, die ihrer Natur nach fortbestehen (z. B. Verschwiegenheit, Löschungspflichten), gelten über die Beendigung hinaus.

§ 2 Art und Zweck der Verarbeitung

(1) vynora verarbeitet personenbezogene Daten ausschließlich zum Zweck der vertraglich vereinbarten Leistungserbringung, insbesondere zur:

• Erfassung und Aufruf von Patientinnen und Patienten in der Praxis (per Bildschirm, TV-Display, Türanzeige, Patient-Portal)
• Verwaltung des virtuellen Wartezimmers
• Auslieferung praxis-bezogener Inhalte (z. B. Werbung, Informationen) auf Wartezimmer-TVs
• Bereitstellung eines Patientenportals (Statusanzeige, Push-Benachrichtigung, Wunschname-Einstellung)
• Anbindung an Praxisverwaltungssysteme über offene Schnittstellen
• Kommunikation mit Praxismitarbeitern (Login, Einladungen, Rechnungen)

(2) Eine Verarbeitung zu eigenen Zwecken (z. B. Werbung, Profilbildung über Patienten, Verkauf an Dritte) erfolgt nicht.

§ 3 Art der personenbezogenen Daten

vynora verarbeitet im Auftrag der Praxis insbesondere folgende Datenkategorien:

Patientenbezogene Daten:

• Vor- und Nachname, ggf. Geburtsdatum
• Anrede, Wunschname für den Aufruf
• Aufruf-Status (wartend, aufgerufen, im Behandlungsraum, fertig)
• Optional: vom Patienten gewählte Anzeige-Präferenzen (z. B. „nicht namentlich aufrufen", Push-Benachrichtigung)

Diese Angaben können je nach Zusammenhang Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO betreffen, da bereits die Tatsache, dass eine Person eine bestimmte Praxis aufsucht, Rückschlüsse auf den Gesundheitszustand zulassen kann.

Praxis- / Mitarbeiter-Daten:

• Anzeigename, Benutzername, E-Mail-Adresse
• Bcrypt-Hash des Passworts (nicht im Klartext)
• Rolle/Berechtigung im System
• Zugewiesener Fachbereich/Standort

Geräte- und Konfigurationsdaten:

• Praxis-Räume, Wartebereiche, TV-Inhalte
• Aufruf-Historien, Settings, Audit-Log

§ 4 Kategorien betroffener Personen

• Patientinnen und Patienten der Praxis
• Praxisleitung, angestellte Ärztinnen und Ärzte, Medizinische Fachangestellte und sonstige Mitarbeitende mit Dashboard-Zugang
• Empfehlungs-/Affiliate-Partner der Praxis (sofern aktiviert)

§ 5 Pflichten vynora

(1) Weisungsgebundenheit. vynora verarbeitet personenbezogene Daten ausschließlich auf Weisung der Praxis. Weisungen erfolgen grundsätzlich über die Konfiguration im Dashboard. Ergänzende Weisungen können in Textform an kontakt@vynoramed.de erteilt werden.

(2) Dokumentation. vynora hält sich an die Dokumentationspflichten gemäß Art. 30 Abs. 2 DSGVO und stellt der Praxis auf Anforderung die für ihr Verzeichnis von Verarbeitungstätigkeiten erforderlichen Informationen bereit.

(3) Vertraulichkeit. vynora verpflichtet alle mit der Verarbeitung befassten Mitarbeiter sowie Subprozessoren auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) und auf das Datengeheimnis nach § 53 BDSG.

(4) § 203 StGB. Sofern die Verarbeitung Patientendaten umfasst, sind alle Mitarbeitenden und Subprozessoren mit Zugriff auf Praxis-Systeme gemäß § 203 Abs. 4 StGB zur Verschwiegenheit verpflichtet. Diese Pflicht wird vor Tätigkeitsaufnahme in Textform dokumentiert und gilt auch nach Beendigung der Tätigkeit fort.

(5) Datenschutzbeauftragter. Der Datenschutzbeauftragte von vynora ist erreichbar unter datenschutz@vynoramed.de. (Bestellung erfolgt nach Art. 37 DSGVO sobald die Schwellenwerte überschritten sind.)

(6) Mitwirkung. vynora unterstützt die Praxis bei der Erfüllung ihrer Pflichten nach Art. 32–36 DSGVO im erforderlichen Umfang.

§ 6 Technisch-organisatorische Maßnahmen (TOMs)

vynora trifft die in Anhang A beschriebenen technischen und organisatorischen Maßnahmen. Diese sind im Stand der Technik gehalten und werden regelmäßig überprüft. Wesentliche Änderungen werden der Praxis im Dashboard angekündigt.

§ 7 Subprozessoren (weitere Auftragsverarbeiter)

(1) Die Praxis erteilt vynora die allgemeine Genehmigung zur Inanspruchnahme der in Anhang B aufgeführten Subprozessoren.

(2) vynora wird der Praxis jede beabsichtigte Änderung im Hinblick auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mit angemessener Vorlauffrist (mindestens 30 Tage) im Dashboard und/oder per E-Mail mitteilen. Die Praxis kann der Änderung innerhalb von 30 Tagen widersprechen. Ein Widerspruch berechtigt vynora nicht zur Verarbeitung; die Praxis hat in diesem Fall ein außerordentliches Kündigungsrecht.

(3) vynora schließt mit jedem Subprozessor einen AVV mit gleichwertigen Schutzklauseln. Drittlandtransfers werden durch das EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln (SCC) und/oder zusätzliche Schutzmaßnahmen abgesichert.

§ 8 Unterstützung bei Betroffenenrechten

(1) vynora unterstützt die Praxis bei der Beantwortung von Anfragen Betroffener (Art. 15–22 DSGVO) im Rahmen des technisch Möglichen.

(2) Funktionen für Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Datenübertragbarkeit (Art. 20) und Einschränkung (Art. 18) sind im Dashboard über Self-Service-Funktionen verfügbar. Sollte eine darüber hinausgehende manuelle Unterstützung erforderlich sein, leistet vynora diese unentgeltlich, sofern der Aufwand zumutbar ist.

(3) Anfragen Betroffener, die direkt an vynora gerichtet werden, leitet vynora unverzüglich an die Praxis weiter.

§ 9 Meldung von Datenschutzverletzungen

(1) vynora meldet Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 2 DSGVO unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme an die Praxis.

(2) Die Meldung enthält mindestens:

• Art der Verletzung, betroffene Datenkategorien und Personenanzahl (geschätzt)
• Vermutete Folgen
• Bereits getroffene oder vorgeschlagene Gegenmaßnahmen
• Kontaktdaten für Rückfragen

(3) vynora unterstützt die Praxis bei der Erfüllung ihrer Meldepflicht nach Art. 33/34 DSGVO.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags hat die Praxis die Möglichkeit, alle personenbezogenen Daten innerhalb von 30 Tagen über die Export-Funktion im Dashboard herunterzuladen.

(2) Nach Ablauf dieser Frist werden alle personenbezogenen Daten der Praxis – einschließlich aller Patientendaten – unverzüglich gelöscht (Art. 28 Abs. 3 lit. g DSGVO). Eine Aufbewahrung über die Vertragsdauer hinaus erfolgt nur, soweit dies aufgrund gesetzlicher Aufbewahrungspflichten (z. B. § 147 AO für Buchhaltungsdaten) zwingend erforderlich ist; Patientendaten sind hiervon nicht umfasst.

(3) Backups, die personenbezogene Daten enthalten, werden gemäß einem rotierenden Backup-Konzept spätestens 35 Tage nach Vertragsende endgültig gelöscht.

(4) vynora bestätigt der Praxis die Löschung auf Anforderung schriftlich.

§ 11 Nachweis- und Auditrechte

(1) vynora weist der Praxis die Einhaltung der vereinbarten Pflichten auf Anforderung nach. Geeignete Nachweise sind:

• aktuelle Zertifikate akkreditierter Stellen (z. B. ISO 27001, sofern vorhanden)
• aktuelle Berichte über Penetrationstests
• aktuelle TOMs-Dokumentation (Anhang A)
• aktuelle Subprozessor-Liste (Anhang B)

(2) Sofern darüber hinaus eine Vor-Ort-Prüfung erforderlich ist, kann diese mit angemessener Vorankündigung (mindestens 30 Tage) zu den üblichen Geschäftszeiten und in einer den Geschäftsbetrieb von vynora nicht erheblich beeinträchtigenden Weise erfolgen. Die Kosten einer Vor-Ort-Prüfung trägt die Praxis, sofern nicht eine Verletzung dieses Vertrags festgestellt wird.

§ 12 Haftung

(1) Es gilt die Haftungsregelung des Hauptvertrags (AGB § 9), ergänzt durch die Vorgaben des Art. 82 DSGVO.

(2) Die Haftung von vynora ist – außer bei Vorsatz, grober Fahrlässigkeit und Verletzung von Leben, Körper oder Gesundheit – auf den vertragstypisch vorhersehbaren Schaden begrenzt.

§ 13 Schlussbestimmungen

(1) Vorrang. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) gilt dieser AVV vorrangig in datenschutzrechtlichen Fragen.

(2) Schriftform. Änderungen und Ergänzungen dieses AVV bedürfen der Textform; das gilt auch für die Aufhebung dieser Klausel.

(3) Salvatorische Klausel. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Anwendbares Recht. Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

(5) Gerichtsstand. Ausschließlicher Gerichtsstand ist der Sitz von vynora, sofern die Praxis Kaufmann ist.

Anhang A — Technisch-organisatorische Maßnahmen (TOMs)

Stand: 2026-05-19. Wesentliche Änderungen werden im Dashboard angekündigt.

A.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

• Hosting in zertifizierten Rechenzentren der Hetzner Online GmbH (Gunzenhausen, DE) — ISO 27001, mehrfaktorielle Zutrittskontrolle, Videoüberwachung
• Bürozutritt nur für autorisierte Mitarbeiter

Zugangskontrolle:

• Passwort-Hashing mit bcrypt (Cost-Faktor ≥ 12)
• Cookie-basierte Authentifizierung mit httpOnly + Secure + SameSite=Lax
• Optional 2FA (TOTP)
• Separate Authentifizierungs-Cookies für App / Admin / Partner / MFA mit getrennten JWT-Secrets („Auth-Isolation")
• Captcha (Cloudflare Turnstile) bei wiederholten Fehlversuchen
• Rate-Limiting auf Auth-Endpunkten

Zugriffskontrolle:

• Rollenbasiertes Berechtigungssystem (Master, Fachbereich-Admin, MFA, Mitarbeiter)
• Fachbereich-Daten-Silos: Datentrennung zwischen Fachbereichen (organizations/locations/users-Hierarchie)
• Audit-Log für sicherheitsrelevante Aktionen (Login, Datenänderung, Export)
• Prinzip der minimalen Berechtigung; regelmäßige Review der Zugriffsrechte

Trennungsgebot:

• Mandantenfähige Datenbank mit Org-ID-Scoping in jedem Query
• Logische Trennung von Produktiv- und Testdaten
• E2E-Verschlüsselung sensibler Dashboard-Daten (WebCrypto, non-extractable Keys, IndexedDB)

Pseudonymisierung:

• Patientendaten werden, wo möglich, mit minimalen Identifikatoren verarbeitet
• Telemetrie- und Error-Tracking-Daten werden vor dem Versand bereinigt (PII-Scrubbing in Sentry-Integration)

A.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Eingabekontrolle:

• Audit-Log mit Benutzer-ID, Aktion, Ziel, Zeitstempel, IP-Adresse
• SQL-Injection-Schutz durch ausschließliche Verwendung prepared statements (better-sqlite3)
• Strikte Input-Validation auf allen API-Endpunkten

Weitergabekontrolle:

• TLS 1.2+ für gesamte Übertragung (HSTS aktiv)
• Strikte CORS-Whitelist
• Content-Security-Policy mit „upgrade-insecure-requests"
• Kein Drittanbieter-Tracking, kein Werbe-SDK

A.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Tägliche automatisierte Datenbank-Backups, geo-redundante Speicherung
• Backup-Aufbewahrung 35 Tage, automatische Löschung danach
• Disaster-Recovery-Plan mit dokumentierten RTO/RPO
• Monitoring und Alerting auf Anwendungs- und Infrastrukturebene
• Rate-Limiting / DDoS-Schutz auf Edge-Ebene (Cloudflare, Vercel)

A.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Sicherheits-Reviews der Codebasis
• Penetrationstests vor wesentlichen Releases
• Dependency-Scanning auf bekannte Schwachstellen
• Sicherheits-Updates innerhalb von 14 Tagen nach Veröffentlichung kritischer CVEs
• Regelmäßige Schulung aller Mitarbeiter zu Datenschutz und Informationssicherheit

A.5 Auftragskontrolle (Art. 32 Abs. 1 lit. d DSGVO)

• Subprozessoren werden vertraglich auf gleichwertige TOMs verpflichtet (siehe Anhang B)
• Datenverarbeitung erfolgt ausschließlich innerhalb der EU oder bei DPF-zertifizierten US-Anbietern mit ergänzenden SCC

Anhang B — Liste der Subprozessoren

Stand: 2026-05-25. Änderungen werden gemäß § 7 angekündigt.

B.1 Subprozessoren mit Zugang zu patientenbezogenen Daten

B.2 Subprozessoren ohne Zugang zu patientenbezogenen Daten

Ende des Vertrags.

Stand: 2026-05-25 · Version 1.1