avv – MPU-Manager.io | Klienten-Management System für MPU Vorbereiter

AUFTRAGSVERARBEITUNGSVERTRAG (AVV) AVV AUFTRAGSVERARBEITUNGSVERTRAG (AVV) gemäß Art. 28 DSGVO für die SaaS-Plattform „MPU Manager“ §1 Vertragsparteien Zwischen (1) Verantwortlicher dem jeweiligen Kunden der Plattform „MPU Manager“ (MPU-Vorbereiter, Institut oder Unternehmen) – nachfolgend „Verantwortlicher“ – und (2) Auftragsverarbeiter MPU Manager ein Geschäftsfeld der 123MPU GmbH Bahnhofstraße 3 56424 Mogendorf Deutschland – nachfolgend „Auftragsverarbeiter“ – wird folgende Vereinbarung geschlossen. Der Vertragspartner des Verantwortlichen ist ausschließlich die 123MPU GmbH.

§2 Gegenstand und Dauer der Verarbeitung (1) Gegenstand Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der cloudbasierten SaaS-Plattform „MPU Manager“. Die Plattform dient insbesondere der: Verwaltung und Dokumentation von MPU-Vorbereitungsprozessen Speicherung von Klientenakten Dokumentation von Sitzungen und Fortschritten Verwaltung von Abstinenznachweisen Durchführung und Dokumentation von Systemaufstellungen Verwaltung von Video-Sitzungen und Aufzeichnungen Bereitstellung eines Klientenportals Terminverwaltung Zahlungsabwicklung Nutzung optionaler Integrationen Eine Verarbeitung personenbezogener Daten zu eigenen Zwecken des Auftragsverarbeiters erfolgt nicht.

(2) Dauer Die Dauer dieses Vertrages entspricht der Laufzeit des SaaS-Nutzungsvertrages über die Plattform „MPU Manager“. Mit Beendigung des Hauptvertrages endet auch diese Vereinbarung.

§3 Art und Zweck der Verarbeitung Die Verarbeitung erfolgt ausschließlich zum Zweck der technischen Bereitstellung der Plattform „MPU Manager“ sowie zur Durchführung der MPU-Vorbereitung durch den Verantwortlichen.

§4 Kategorien personenbezogener Daten (1) Allgemeine Daten Stammdaten (Name, Anschrift, E-Mail, Telefonnummer) Sitzungsdaten Dokumente und Akten Termin- und Kommunikationsdaten Mitarbeiterdaten (Name, Rolle, E-Mail-Adresse) Firmendaten Zahlungsdaten (über Zahlungsdienstleister) (2) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) Im Rahmen der Nutzung des MPU Managers können auch besondere Kategorien personenbezogener Daten verarbeitet werden, insbesondere: Angaben zu Alkohol- oder Drogenkonsum Abstinenznachweise Laborberichte medizinisch-psychologische Gutachten psychologische Einschätzungen ärztliche Stellungnahmen Diese Daten unterliegen erhöhten Schutzanforderungen.

(3) Daten zu Straftaten (Art. 10 DSGVO) Es können auch Daten verarbeitet werden, die strafrechtliche Sachverhalte betreffen, insbesondere: Angaben zu Verkehrsdelikten strafrechtliche Vorwürfe oder Verurteilungen behördliche Maßnahmen Aktenzeichen von Behörden

(4) Rechtsgrundlage Der Verantwortliche ist verpflichtet, die Zulässigkeit der Verarbeitung gemäß Art. 6 DSGVO Art. 9 Abs. 2 DSGVO Art. 10 DSGVO sicherzustellen.

Der Auftragsverarbeiter prüft die materielle Rechtmäßigkeit der Datenverarbeitung nicht.

§4a Verarbeitung von Beschäftigtendaten Soweit im Rahmen der Nutzung des MPU Managers personenbezogene Daten von Beschäftigten des Verantwortlichen verarbeitet werden, erfolgt dies auf Grundlage von § 26 BDSG. Der Verantwortliche stellt sicher, dass die gesetzlichen Voraussetzungen erfüllt sind.

§5 Kategorien betroffener Personen

Klienten des Verantwortlichen Mitarbeiter des Verantwortlichen Teilnehmer an Gruppensitzungen Kontaktpersonen bei Behörden

§6 Weisungsrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen sind mindestens in Textform zu erteilen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen Datenschutzvorschriften verstößt.

§7 Technische und organisatorische Maßnahmen (TOM) Der Auftragsverarbeiter implementiert technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Vertraulichkeit Multi-Tenant-Architektur mit Mandantentrennung Row-Level-Security (RLS) Rollenbasiertes Berechtigungssystem TLS-verschlüsselte Datenübertragung verschlüsselte Speicherung sensibler Tokens Integrität Audit-Logs Zugriffsbeschränkung nach Need-to-know-Prinzip signierte Video-URLs API-Token-Verschlüsselung Verfügbarkeit automatische Backups redundante Infrastruktur CDN-Redundanz Datenschutz durch Technikgestaltung minimale Datenerhebung konfigurierbare Löschfristen Self-Service-Kontolöschung

§8 Unterstützung bei Betroffenenrechten Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen gemäß Art. 15–22 DSGVO, insbesondere bei:

Auskunft Berichtigung Löschung Einschränkung der Verarbeitung Datenübertragbarkeit

§9 Meldung von Datenschutzverletzungen Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich und ohne unangemessene Verzögerung über jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält insbesondere: Art der Verletzung Art der betroffenen Daten Anzahl der betroffenen Personen mögliche Folgen ergriffene Gegenmaßnahmen

§10 Unterauftragsverarbeiter Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert über Änderungen der eingesetzten Subdienstleister. Derzeit eingesetzte Unterauftragsverarbeiter sind insbesondere: Supabase Inc. – Hosting und Datenbank BunnyWay d.o.o. – Video-Hosting Stripe Inc. – Zahlungsabwicklung Resend Inc. – E-Mail-Versand Vercel Inc. – Frontend-Hosting Optionale Integrationen (Zoom, Calendly, Google, Typeform, LearningSuite, eSignatures) erfolgen nur bei Aktivierung durch den Verantwortlichen. Mit allen Unterauftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO.

§11 Drittlandübermittlung Soweit Daten in Drittländer übermittelt werden, erfolgt dies ausschließlich auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission oder unter Verwendung von Standardvertragsklauseln (SCC).

§12 Kontrollrechte Der Verantwortliche ist berechtigt, geeignete Nachweise zur Einhaltung der Datenschutzanforderungen anzufordern. Vor-Ort-Audits sind mit angemessener Frist anzukündigen und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen.

§13 Löschung und Rückgabe Nach Beendigung des Vertrages erhält der Verantwortliche auf Wunsch einen Datenexport werden personenbezogene Daten gelöscht werden Backups entsprechend dem Löschkonzept überschrieben Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§14 Vertraulichkeit Alle mit der Datenverarbeitung betrauten Personen sind zur Vertraulichkeit verpflichtet.

§15 Schlussbestimmungen Änderungen dieser Vereinbarung bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam.