← Zurück zur Startseite Als PDF speichern / Drucken

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

§ 1 Vertragsparteien

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen:

Auftraggeber (Verantwortlicher):
Die Arztpraxis/medizinische Einrichtung, die den Telefonassistenten-Service nutzt
(nachfolgend „Auftraggeber" genannt)

Auftragnehmer (Auftragsverarbeiter):
Dimitrios-Panagiotis Peslis
LSM Agents
Galvanistraße 12, 10587 Berlin
E-Mail: kontakt@lsm-agents.de
(nachfolgend „Auftragnehmer" genannt)

§ 2 Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Der Auftragnehmer erbringt für den Auftraggeber einen KI-gestützten Telefonassistenten-Service zur strukturierten Anrufannahme bei besetzter Leitung. Der Service umfasst:

• Entgegennahme von Anrufen bei besetzter Leitung
• Echtzeit-Spracherkennung (Speech-to-Text) und Sprachsynthese (Text-to-Speech)
• KI-gestützte Erfassung von Name, Anliegen und Dringlichkeit
• Benachrichtigung des Auftraggebers per SMS, E-Mail oder Dashboard
• Speicherung der strukturierten Anrufdaten im Praxis-Dashboard

2.2 Dauer

Dieser Vertrag gilt für die Dauer der Geschäftsbeziehung zwischen den Parteien. Er beginnt mit der Inbetriebnahme des Services und endet mit Beendigung des Hauptvertrags.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich folgenden Zwecken:

• Strukturierte Erfassung von Patientenanrufen bei besetzter Leitung
• Weiterleitung der erfassten Informationen an den Auftraggeber
• Speicherung der Anrufdaten zur späteren Bearbeitung durch den Auftraggeber

Keine medizinische Beratung oder Triage: Der Service dient ausschließlich der strukturierten Anrufannahme. Es erfolgt keine medizinische Beratung, Diagnose oder Triage.

§ 4 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Name des Anrufers (sofern angegeben)
• Telefonnummer des Anrufers
• Anliegen/Grund des Anrufs
• Dringlichkeitsstufe
• Datum und Uhrzeit des Anrufs

Keine Audioaufnahmen: Es werden keine Gesprächsaufnahmen gespeichert. Audiodaten werden ausschließlich in Echtzeit verarbeitet und sofort verworfen.

§ 5 Kategorien betroffener Personen

Betroffene Personen sind:

• Patienten und potenzielle Patienten des Auftraggebers
• Sonstige Anrufer (z.B. Angehörige, Apotheken, andere Praxen)

§ 6 Pflichten des Auftragnehmers

6.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen können schriftlich, elektronisch oder in Textform erteilt werden.

6.2 Vertraulichkeit und Schweigepflicht

Der Auftragnehmer gewährleistet, dass alle mit der Datenverarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Besondere Schweigepflicht gemäß § 203 StGB: Der Auftragnehmer ist sich bewusst, dass der Auftraggeber als Arztpraxis der berufsrechtlichen Schweigepflicht nach § 203 StGB unterliegt. Der Auftragnehmer verpflichtet sich, diese Schweigepflicht zu wahren und alle Mitarbeiter entsprechend zu verpflichten. Eine gesonderte Verschwiegenheitsverpflichtung nach § 203 Abs. 4 StGB wird auf Wunsch des Auftraggebers bereitgestellt.

6.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer setzt die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) um und gewährleistet deren Einhaltung während der gesamten Vertragslaufzeit.

6.4 Unterauftragsverarbeiter

Der Auftragnehmer setzt die in Anlage 2 aufgeführten Unterauftragsverarbeiter ein. Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zur Hinzuziehung dieser Unterauftragsverarbeiter. Bei Änderungen wird der Auftraggeber vorab informiert und hat ein Widerspruchsrecht binnen 14 Tagen.

6.5 Keine Nutzung für KI-Training

Der Auftragnehmer verpflichtet sich ausdrücklich:

• Keine Anrufdaten, Transkripte oder sonstigen personenbezogenen Daten zum Training von KI-Modellen zu verwenden
• Keine Weitergabe von Daten an Dritte zu Trainingszwecken
• Diese Verpflichtung auch gegenüber allen Unterauftragsverarbeitern durchzusetzen

6.6 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber:

• Bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, etc.)
• Bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO
• Bei Datenschutz-Folgenabschätzungen, soweit erforderlich

§ 7 Datenlöschung und Rückgabe

7.1 Speicherdauer

Anrufdaten werden standardmäßig für 90 Tage gespeichert. Auf Weisung des Auftraggebers kann eine kürzere oder längere Aufbewahrungsfrist vereinbart werden.

7.2 Löschung bei Vertragsende

Nach Beendigung der Auftragsverarbeitung wird der Auftragnehmer:

• Alle personenbezogenen Daten löschen oder an den Auftraggeber zurückgeben (nach Wahl des Auftraggebers)
• Bestehende Kopien löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht
• Die vollständige Löschung schriftlich bestätigen

§ 8 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, über:

• Jede Verletzung des Schutzes personenbezogener Daten
• Jeden begründeten Verdacht auf eine solche Verletzung

Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung
• Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
• Wahrscheinliche Folgen
• Ergriffene oder vorgeschlagene Maßnahmen

§ 9 Kontrollrechte und Audits

Der Auftraggeber hat das Recht:

• Vor Beginn der Verarbeitung und während der Vertragslaufzeit die Einhaltung der vereinbarten Maßnahmen zu kontrollieren
• Auskünfte über die Datenverarbeitung einzuholen
• Inspektionen durchzuführen oder durch Dritte (Prüfer) durchführen zu lassen

Der Auftragnehmer stellt alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen. Inspektionen sind mit angemessener Vorankündigung (14 Tage) durchzuführen.

§ 10 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Der Auftragnehmer haftet für Schäden, die durch eine nicht den Vorgaben der DSGVO entsprechende Verarbeitung oder durch Handeln entgegen den Weisungen des Auftraggebers verursacht werden.

§ 11 Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht. Gerichtsstand ist Berlin.

---

Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

• Serverhosting ausschließlich in zertifizierten EU-Rechenzentren (Frankfurt)
• Physischer Zugang nur für autorisiertes Personal des Hosting-Anbieters

Zugangskontrolle:

• Authentifizierung durch starke Passwörter und/oder API-Keys
• Zwei-Faktor-Authentifizierung für administrative Zugänge
• Protokollierung aller Zugriffe

Zugriffskontrolle:

• Berechtigungskonzept nach dem Prinzip der minimalen Rechte
• Jeder Auftraggeber hat nur Zugriff auf eigene Daten

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

• Verschlüsselung aller Daten bei der Übertragung (TLS 1.2+)
• Keine unverschlüsselten Übertragungswege

Eingabekontrolle:

• Protokollierung aller Dateneingaben und -änderungen
• Nachvollziehbarkeit durch Zeitstempel

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Redundante Systemarchitektur
• Regelmäßige Backups
• Wiederherstellungsverfahren getestet

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung der Sicherheitsmaßnahmen
• Incident-Response-Prozess etabliert
• Mitarbeiterschulung zu Datenschutz und IT-Sicherheit

---

Anlage 2: Unterauftragsverarbeiter (Subprocessors)

Dienstleister	Zweck	Standort	Garantien
Twilio Inc.	Telefonie, SMS-Versand	EU-Region (Irland)	EU-Datenverarbeitung
Deepgram Inc.	Speech-to-Text, Text-to-Speech	EU-Endpunkt	SCCs, keine Speicherung
Google LLC (Gemini)	KI-Verarbeitung (nur Text)	Frankfurt	SCCs
Make.com (Celonis SE)	Datenübermittlung an Dashboard	EU (München)	EU-Unternehmen
Google Sheets	Praxis-Dashboard	EU (Irland)	EU-Datenverarbeitung

Hinweis: Alle US-amerikanischen Dienstleister verarbeiten Daten auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

---

Stand: 2026