Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
§ 1 Vertragsparteien
Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen:
Auftraggeber (Verantwortlicher):
Die Arztpraxis/medizinische Einrichtung, die den Telefonassistenten-Service nutzt
(nachfolgend „Auftraggeber“ genannt)
Auftragnehmer (Auftragsverarbeiter):
Dimitrios-Panagiotis Peslis
LSM Agents
Galvanistraße 12, 10587 Berlin
E-Mail: kontakt@lsm-agents.de
(nachfolgend „Auftragnehmer“ genannt)
§ 2 Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand
Der Auftragnehmer erbringt für den Auftraggeber einen KI-gestützten Telefonassistenten-Service zur strukturierten Anrufannahme bei besetzter Leitung. Der Service umfasst:
- Entgegennahme von Anrufen bei besetzter Leitung
- Echtzeit-Spracherkennung (Speech-to-Text) und Sprachsynthese (Text-to-Speech)
- KI-gestützte Erfassung von Name, Anliegen und Dringlichkeit
- Benachrichtigung des Auftraggebers per SMS, E-Mail oder Dashboard
- Speicherung der strukturierten Anrufdaten im Praxis-Dashboard
2.2 Dauer
Dieser Vertrag gilt für die Dauer der Geschäftsbeziehung zwischen den Parteien. Er beginnt mit der Inbetriebnahme des Services und endet mit Beendigung des Hauptvertrags.
§ 3 Art und Zweck der Verarbeitung
Die Verarbeitung dient ausschließlich folgenden Zwecken:
- Strukturierte Erfassung von Patientenanrufen bei besetzter Leitung
- Weiterleitung der erfassten Informationen an den Auftraggeber
- Speicherung der Anrufdaten zur späteren Bearbeitung durch den Auftraggeber
Keine medizinische Beratung oder Triage:Der Service dient ausschließlich der strukturierten Anrufannahme. Es erfolgt keine medizinische Beratung, Diagnose oder Triage.
§ 4 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Name des Anrufers (sofern angegeben)
- Telefonnummer des Anrufers
- Anliegen/Grund des Anrufs
- Dringlichkeitsstufe
- Datum und Uhrzeit des Anrufs
Keine Audioaufnahmen:Es werden keine Gesprächsaufnahmen gespeichert. Audiodaten werden ausschließlich in Echtzeit verarbeitet und sofort verworfen.
§ 5 Kategorien betroffener Personen
Betroffene Personen sind:
- Patienten und potenzielle Patienten des Auftraggebers
- Sonstige Anrufer (z.B. Angehörige, Apotheken, andere Praxen)
§ 6 Pflichten des Auftragnehmers
6.1 Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.
6.2 Vertraulichkeit und Schweigepflicht
Der Auftragnehmer gewährleistet, dass alle mit der Datenverarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind.
Besondere Schweigepflicht gemäß § 203 StGB:Der Auftragnehmer ist sich bewusst, dass der Auftraggeber als Arztpraxis der berufsrechtlichen Schweigepflicht nach § 203 StGB unterliegt. Der Auftragnehmer verpflichtet sich, diese Schweigepflicht zu wahren.
6.3 Technische und organisatorische Maßnahmen
Der Auftragnehmer setzt die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) um.
6.4 Unterauftragsverarbeiter
Der Auftragnehmer setzt die in Anlage 2 aufgeführten Unterauftragsverarbeiter ein. Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zur Hinzuziehung dieser Unterauftragsverarbeiter. Bei Änderungen wird der Auftraggeber vorab informiert und hat ein Widerspruchsrecht binnen 14 Tagen.
6.5 Keine Nutzung für KI-Training
Der Auftragnehmer verpflichtet sich ausdrücklich:
- Keine Anrufdaten, Transkripte oder sonstigen personenbezogenen Daten zum Training von KI-Modellen zu verwenden
- Keine Weitergabe von Daten an Dritte zu Trainingszwecken
- Diese Verpflichtung auch gegenüber allen Unterauftragsverarbeitern durchzusetzen
6.6 Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber:
- Bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, etc.)
- Bei der Einhaltung der Pflichten gemäß Art. 32-36 DSGVO
- Bei Datenschutz-Folgenabschätzungen, soweit erforderlich
§ 7 Datenlöschung und Rückgabe
7.1 Speicherdauer
Anrufdaten werden standardmäßig für 90 Tage gespeichert.
7.2 Löschung bei Vertragsende
Nach Beendigung der Auftragsverarbeitung wird der Auftragnehmer:
- Alle personenbezogenen Daten löschen oder an den Auftraggeber zurückgeben
- Bestehende Kopien löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht
- Die vollständige Löschung schriftlich bestätigen
§ 8 Meldung von Datenschutzverletzungen
Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stundennach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten.
§ 9 Kontrollrechte und Audits
Der Auftraggeber hat das Recht, vor Beginn der Verarbeitung und während der Vertragslaufzeit die Einhaltung der vereinbarten Maßnahmen zu kontrollieren. Inspektionen sind mit angemessener Vorankündigung (14 Tage) durchzuführen.
§ 10 Haftung
Die Haftung richtet sich nach Art. 82 DSGVO.
§ 11 Schlussbestimmungen
Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Es gilt deutsches Recht. Gerichtsstand ist Berlin.
Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle:
- Serverhosting ausschließlich in zertifizierten EU-Rechenzentren (Frankfurt)
- Physischer Zugang nur für autorisiertes Personal des Hosting-Anbieters
Zugangskontrolle:
- Authentifizierung durch starke Passwörter und/oder API-Keys
- Zwei-Faktor-Authentifizierung für administrative Zugänge
- Protokollierung aller Zugriffe
Zugriffskontrolle:
- Berechtigungskonzept nach dem Prinzip der minimalen Rechte
- Jeder Auftraggeber hat nur Zugriff auf eigene Daten
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle:
- Verschlüsselung aller Daten bei der Übertragung (TLS 1.2+)
- Keine unverschlüsselten Übertragungswege
Eingabekontrolle:
- Protokollierung aller Dateneingaben und -änderungen
- Nachvollziehbarkeit durch Zeitstempel
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Redundante Systemarchitektur
- Regelmäßige Backups
- Wiederherstellungsverfahren getestet
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Überprüfung der Sicherheitsmaßnahmen
- Incident-Response-Prozess etabliert
- Mitarbeiterschulung zu Datenschutz und IT-Sicherheit
Anlage 2: Unterauftragsverarbeiter (Subprocessors)
| Dienstleister | Zweck | Standort | Garantien |
|---|---|---|---|
| Twilio Inc. | Telefonie, SMS-Versand | EU-Region (Irland) | EU-Datenverarbeitung |
| Deepgram Inc. | Speech-to-Text, Text-to-Speech | EU-Endpunkt | SCCs, keine Speicherung |
| Google LLC (Gemini) | KI-Verarbeitung (nur Text) | Frankfurt | SCCs |
| Make.com (Celonis SE) | Datenübermittlung an Dashboard | EU (München) | EU-Unternehmen |
| Google Sheets | Praxis-Dashboard | EU (Irland) | EU-Datenverarbeitung |
Hinweis:Alle US-amerikanischen Dienstleister verarbeiten Daten auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Unterschriften
Dieser Vertrag wird durch Unterzeichnung beider Parteien wirksam.
Ort, Datum
Auftraggeber (Praxis/Einrichtung)
Ort, Datum
Auftragnehmer (LSM Agents)
Stand: 2026