FRIEDA · Fröhlich Dienste← Zur Startseite

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Präambel / Parteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der Software „FRIEDA“.

Verantwortlicher (Auftraggeber): der nutzende Betreuungsdienst [Kundenname], [Anschrift].

Auftragsverarbeiter (Auftragnehmer): Gesundheitsdienstleistungen Fröhlich GmbH, Heidelbergerstraße 15, 76669 Bad Schönborn, vertreten durch den Geschäftsführer Daniel Rupp (nachfolgend „Anbieter“).

§ 1 Gegenstand und Dauer

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und des Betriebs der Software „FRIEDA“.

(2) Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags (SaaS-Nutzung).

§ 2 Art, Zweck, Umfang der Verarbeitung und betroffene Personen

(1) Art und Zweck: Speicherung, Verwaltung und Verarbeitung von Stamm-, Einsatz-, Abrechnungs- und Pflegedaten zur Verwaltung eines ambulanten Betreuungsdienstes.

(2) Kategorien betroffener Personen: betreute Personen (Patientinnen und Patienten), Beschäftigte und Mitarbeitende des Verantwortlichen, ggf. Kontaktpersonen.

(3) Kategorien personenbezogener Daten: Bestands- und Kontaktdaten, Vertrags- und Abrechnungsdaten, Personal- und Einsatzdaten sowie Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO) wie Pflegegrad und Betreuungsdokumentation. Aufgrund der Verarbeitung von Art.-9-Daten gelten erhöhte Schutzanforderungen.

§ 3 Weisungsrecht des Verantwortlichen

(1) Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaats hierzu verpflichtet ist.

(2) Weisungen erfolgen grundsätzlich in Textform. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Hält der Anbieter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich; er ist berechtigt, die Ausführung auszusetzen.

§ 4 Technische und organisatorische Maßnahmen (TOM)

(1) Der Anbieter trifft die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus (u. a. Transportverschlüsselung, Zugriffs- und Zugangskontrolle, Mandantentrennung, Protokollierung, regelmäßige Datensicherung).

(2) Die konkreten Maßnahmen sind in Anlage 1 (TOM) beschrieben und Bestandteil dieses Vertrags. [Anlage 1 – TOM-Dokument ergänzen/verlinken.]

§ 5 Unterauftragsverhältnisse (Subunternehmer)

(1) Der Verantwortliche stimmt dem Einsatz folgender Subunternehmer zu:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (EU) — Hosting / Rechenzentrum.
  • Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland — E-Mail-Versand über Google Workspace.
  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland — Zahlungsabwicklung bei Aktivierung der Online-Zahlung.

(2) Der Anbieter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Subunternehmer; der Verantwortliche kann hiergegen Einspruch erheben.

(3) Der Anbieter erlegt jedem Subunternehmer dieselben Datenschutzpflichten auf, wie sie in diesem Vertrag festgelegt sind.

§ 6 Unterstützungspflichten des Anbieters

Der Anbieter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei:

  • der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO),
  • der Gewährleistung der Sicherheit der Verarbeitung (Art. 32 DSGVO),
  • der Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO) — unverzügliche Information,
  • der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO).

§ 7 Vertraulichkeit

Der Anbieter setzt zur Verarbeitung nur Personen ein, die auf Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

§ 8 Kontroll- und Nachweisrechte

Der Anbieter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen von diesem beauftragten Prüfer.

§ 9 Löschung und Rückgabe der Daten

(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Anbieter nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

(2) Vorhandene Kopien werden gelöscht, sofern keine Aufbewahrungspflicht besteht. Die Löschung wird auf Verlangen dokumentiert.

§ 10 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags in datenschutzrechtlicher Hinsicht vor.

(2) Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Stand: Mai 2026