Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag“) konkretisiert die Pflichten der Parteien zum Datenschutz, die sich aus der Nutzung des Dienstes Uwupa ergeben. Er ergänzt die Allgemeinen Geschäftsbedingungen und hat in Datenschutzfragen Vorrang vor entgegenstehenden Regelungen der AGB.
Parteien
Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO ist die Kundin, die den Dienst nutzt, in der Regel die freiberuflich tätige Hebamme (nachfolgend „Verantwortliche“).
Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO ist:
Uwupa, Inhaber Justus Kosfeld
Mataréstraße 7
52078 Aachen
Deutschland
E-Mail: kontakt@kosfeldmedia.de
(nachfolgend „Auftragsverarbeiter“)
Zustandekommen und Form
Dieser Vertrag wird zwischen den Parteien elektronisch geschlossen, indem die Verantwortliche ihn bei der Registrierung in der zu diesem Zeitpunkt geltenden Fassung annimmt. Die elektronische Form genügt nach Art. 28 Abs. 9 DSGVO. Auf Wunsch der Verantwortlichen wird der Vertrag zusätzlich in Textform zur Verfügung gestellt und kann gegengezeichnet werden.
1. Gegenstand und Dauer
1.1 Gegenstand des Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag der Verantwortlichen im Rahmen der Bereitstellung des Dienstes Uwupa, einer webbasierten Software zur Dokumentation und Abrechnung der Hebammentätigkeit.
1.2 Die Dauer dieses Vertrags entspricht der Laufzeit des zugrunde liegenden Nutzungsvertrags. Endet der Nutzungsvertrag, endet auch dieser Vertrag; die Regelungen zur Rückgabe und Löschung der Daten gelten fort, bis sie vollständig erfüllt sind.
2. Art, Umfang und Zweck der Verarbeitung
2.1 Der Auftragsverarbeiter verarbeitet die Daten ausschließlich zu dem Zweck, der Verantwortlichen die vertraglich vereinbarten Leistungen des Dienstes bereitzustellen, insbesondere die Erfassung von Leistungen, die Verwaltung von Patientinnen, Terminen, Belegen und Rechnungen sowie die Aufbereitung und, soweit gebucht, die elektronische Einreichung der Abrechnung.
2.2 Die Verarbeitung umfasst das Erheben, Erfassen, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln im Rahmen der gebuchten Funktionen sowie das Löschen der Daten.
2.3 Art der Daten
Gegenstand der Verarbeitung sind insbesondere folgende Datenarten:
- Stammdaten der Patientinnen (Name, Geburtsdatum, Anschrift, Versichertendaten, Krankenkasse).
- Kontaktdaten (Telefonnummer, E-Mail-Adresse).
- Gesundheitsdaten als besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (insbesondere Daten zu Schwangerschaft, Geburt, Wochenbett, Befunden und Behandlungsverläufen).
- Abrechnungs- und Leistungsdaten.
- Im Portal von der Patientin selbst übermittelte Daten und Dokumente.
2.4 Kategorien betroffener Personen
- Patientinnen der Verantwortlichen.
- Neugeborene, soweit deren Daten im Rahmen der Betreuung erfasst werden.
- Weitere Personen, deren Daten die Verantwortliche im Rahmen ihrer Tätigkeit erfasst, etwa Angehörige oder mitbehandelnde Personen.
3. Weisungsbindung
3.1 Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung der Verantwortlichen, soweit er nicht durch das Recht der Union oder der Mitgliedstaaten zu einer anderen Verarbeitung verpflichtet ist. In diesem Fall teilt er der Verantwortlichen die rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.
3.2 Die Nutzung des Dienstes im Rahmen seiner Funktionen gilt als die maßgebliche Weisung. Einzelweisungen erteilt die Verantwortliche in Textform an die oben genannte Kontaktadresse.
3.3 Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, weist er die Verantwortliche darauf hin und kann die Ausführung bis zu einer Bestätigung aussetzen.
4. Vertraulichkeit
Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Personen sind über die Vorgaben dieses Vertrags und die besondere Schutzbedürftigkeit von Gesundheitsdaten unterrichtet.
5. Technisch-organisatorische Maßnahmen
Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Diese sind in Anlage 1 beschrieben. Er ist berechtigt, die Maßnahmen an den Stand der Technik anzupassen, solange das vereinbarte Schutzniveau nicht unterschritten wird.
6. Unterauftragsverarbeiter
6.1 Die Verantwortliche erteilt die allgemeine Genehmigung zur Hinzuziehung der in Anlage 2 genannten Unterauftragsverarbeiter.
6.2 Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter auf ein Datenschutzniveau, das den Pflichten dieses Vertrags entspricht, insbesondere durch einen Vertrag nach Art. 28 DSGVO.
6.3 Beabsichtigt der Auftragsverarbeiter, einen Unterauftragsverarbeiter hinzuzuziehen oder zu wechseln, informiert er die Verantwortliche vorab in Textform oder durch Aktualisierung dieser Seite. Die Verantwortliche kann der Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von vier Wochen widersprechen. Kann eine Einigung nicht erzielt werden, steht der Verantwortlichen ein Sonderkündigungsrecht zu.
7. Unterstützung der Verantwortlichen
7.1 Der Auftragsverarbeiter unterstützt die Verantwortliche im Rahmen seiner Möglichkeiten dabei, Anträge betroffener Personen auf Wahrnehmung ihrer Rechte nach Art. 12 bis 23 DSGVO zu beantworten. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet er das Anliegen unverzüglich an die Verantwortliche weiter.
7.2 Der Auftragsverarbeiter unterstützt die Verantwortliche bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, insbesondere bei der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten und einer etwaigen Datenschutz-Folgenabschätzung.
8. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet der Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die die verarbeiteten Daten betrifft, unverzüglich nach Bekanntwerden. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit sie verfügbar sind, und benennt getroffene oder vorgeschlagene Maßnahmen.
9. Rückgabe und Löschung
9.1 Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl der Verantwortlichen alle Daten oder gibt sie zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Pflicht zur Speicherung besteht.
9.2 Hierzu stellt der Auftragsverarbeiter der Verantwortlichen nach Vertragsende für einen angemessenen Zeitraum eine Möglichkeit zum Export ihrer Daten bereit. Anschließend werden die Daten gelöscht.
10. Nachweise und Kontrollen
10.1 Der Auftragsverarbeiter stellt der Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, oder trägt zu solchen bei.
10.2 Überprüfungen erfolgen mit angemessener Vorankündigung, zu den üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs. Der Nachweis kann auch durch geeignete Berichte, Zertifizierungen oder Testate erbracht werden.
11. Haftung
Für die Haftung gelten Art. 82 DSGVO sowie die Haftungsregelungen der AGB. Im Verhältnis zur betroffenen Person bleibt die Verantwortlichkeit nach der DSGVO unberührt.
12. Schlussbestimmungen
12.1 In Datenschutzfragen geht dieser Vertrag entgegenstehenden Regelungen der AGB vor.
12.2 Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt das Recht der Bundesrepublik Deutschland.
Anlage 1: Technisch-organisatorische Maßnahmen
Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen nach Art. 32 DSGVO:
Vertraulichkeit
- Verschlüsselung: Besonders schutzbedürftige Inhalte, insbesondere Namens- und Gesundheitsdaten, werden auf Feldebene mit AES-256-GCM verschlüsselt gespeichert. Die Übertragung erfolgt durchgängig transportverschlüsselt (TLS).
- Zugriffskontrolle: Der Zugriff auf Daten ist an ein Konto mit individueller Anmeldung gebunden. Passwörter werden nicht im Klartext, sondern nur als Hashwert gespeichert. Eine optionale Zwei-Faktor-Authentifizierung steht bereit.
- Belege und hochgeladene Dateien liegen in einem nicht öffentlich zugänglichen Speicher.
- Missbrauchsabwehr: Anmeldeversuche und Schnittstellenzugriffe werden zur Abwehr von Missbrauch begrenzt und bei Auffälligkeiten gesperrt.
Integrität
- Trennungskontrolle: Die Daten der einzelnen Verantwortlichen werden logisch getrennt verarbeitet, sodass eine Verantwortliche nur ihre eigenen Daten verarbeiten kann.
- Weitergabekontrolle: Eine Übermittlung an Dritte erfolgt nur im Rahmen der gebuchten Funktionen und über gesicherte Verbindungen.
Verfügbarkeit und Belastbarkeit
- Die Daten werden bei einem Datenbank-Dienstleister mit regelmäßiger Datensicherung in einem Rechenzentrum innerhalb der Europäischen Union (Region Frankfurt) gespeichert.
- Eine Wiederherstellung der Verfügbarkeit nach einem Zwischenfall ist über die Sicherungen vorgesehen.
Verfahren zur regelmäßigen Überprüfung
- Die Wirksamkeit der Maßnahmen wird im Rahmen der Weiterentwicklung des Dienstes überprüft und an den Stand der Technik angepasst.
Anlage 2: Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter sind genehmigt:
- Vercel Inc., USA: Hosting und Auslieferung der Anwendung.
- Supabase Inc., USA: Datenbank und Dateispeicher, mit Speicherung der Daten in der Region Frankfurt (Amazon Web Services, EU).
- Brevo GmbH, Berlin: Versand von E-Mails des Dienstes.
- Stripe Payments Europe, Ltd., Dublin, Irland: Zahlungsabwicklung.
- HeiGIT gGmbH (OpenRouteService), Heidelberg: Geocodierung von Adressen und Berechnung von Fahrtstrecken für das Fahrtenbuch (Verarbeitung in Deutschland).
Soweit ein Unterauftragsverarbeiter oder dessen Mutterunternehmen in einem Drittland sitzt, wird die Übermittlung auf geeignete Garantien nach Art. 46 DSGVO gestützt, insbesondere die Standardvertragsklauseln der EU-Kommission. Weitere Angaben enthält die Datenschutzerklärung.
Stand: Juli 2026
Impressum · Datenschutz · AGB · Widerruf · AVV · Barrierefreiheit