Vertrag zur Auftragsverarbeitung (AVV)

Gemäß Art. 28 DSGVO · Stand: 29. April 2026

Hinweis: Mit Aktivierung von PraxisClock und Akzeptanz der AGB kommt zwischen Auftraggeber (Kunde, im Folgenden „Verantwortlicher") und Auftragnehmer (MPH Technologies GmbH i. Gr., im Folgenden „Auftragsverarbeiter") dieser AVV zustande. Eine separate Unterschrift ist nicht erforderlich. Auf Wunsch versenden wir den AVV in unterschriebener Form per Mail — schreib uns an hallo@meinpraxispartner.de.

§ 1 Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Anwendung „PraxisClock" zur Schichtplanung, Zeiterfassung, Urlaubsverwaltung und Mitarbeiterverwaltung in Arztpraxen. Die Verarbeitung erfolgt für die Dauer des Hauptvertrages (Nutzungsvertrag laut AGB).

§ 2 Art und Zweck der Verarbeitung

Erhebung, Speicherung, Strukturierung, Anpassung, Auslesen, Übermittlung (intern), Löschung personenbezogener Daten zur Erbringung der vereinbarten SaaS-Leistung. Die Verarbeitung erfolgt ausschließlich nach dokumentierten Weisungen des Verantwortlichen — Weisungen können in der Anwendung selbst (z.B. Anlegen, Bearbeiten, Löschen von Daten) oder per E-Mail erteilt werden.

§ 3 Art der personenbezogenen Daten

Stammdaten Mitarbeiter: Name, Rolle, Vertragstyp, Soll-Stunden, Qualifikationen, Stammzeiten
Kontaktdaten: E-Mail-Adresse (für Login + Push-Subscription)
Schichtdaten: geplante und erfasste Arbeitszeiten
Abwesenheitsdaten: Urlaub, Krankheit, Sonderurlaub (mit Status)
Zeiterfassung: Stempel-Zeitpunkte, Pausen, Geräte-Information (User-Agent, Zeitzone)
Audit-Log: Wer hat welche Daten wann geändert (GoBD-Anforderung)

Keine Gesundheitsdaten von Patienten — PraxisClock verarbeitet ausschließlich Mitarbeiter-Stammdaten.

§ 4 Kategorien betroffener Personen

Beschäftigte des Verantwortlichen (Ärzt:innen, MFA, Azubis, Aushilfen)
Praxis-Inhaber:innen / Manager:innen (als Login-User)

§ 5 Pflichten des Auftragsverarbeiters

Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.
Vertraulichkeit: Alle mit der Verarbeitung befassten Personen sind zur Vertraulichkeit verpflichtet (§ 53 BDSG).
Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO — siehe Anhang 1.
Unterstützung bei Anfragen Betroffener (Art. 12–22 DSGVO) und bei DSGVO-Pflichten (Art. 32–36).
Meldung von Datenschutzverletzungen ohne schuldhaftes Zögern, spätestens innerhalb von 24 Stunden nach Kenntnis.
Datenlöschung oder Rückgabe nach Vertragsende (§ 9).
Einsatz von Unterauftragsverarbeitern nur nach Information des Verantwortlichen (§ 7).

§ 6 Pflichten des Verantwortlichen

Information der Beschäftigten gemäß Art. 13 DSGVO über die Datenverarbeitung in PraxisClock.
Sicherstellung einer Rechtsgrundlage (Art. 6 DSGVO, ggf. § 26 BDSG, Betriebsvereinbarung).
Unverzügliche Information bei Sicherheitsverletzungen oder Auffälligkeiten.

§ 7 Unterauftragsverarbeiter

Der Verantwortliche genehmigt mit Vertragsschluss die folgenden Unterauftragsverarbeiter:

Unterauftragsverarbeiter	Sitz	Zweck
Vercel Inc.	USA (EU-Region Frankfurt)	Hosting + CDN
Supabase Inc.	USA (EU-Region eu-west-1)	Datenbank + Auth + Realtime
Anthropic PBC	USA (Datenresidenz EU verfügbar)	KI-Vertretungs-Vorschläge (anonymisierte Mitarbeiter-Stammdaten)
Resend Inc.	USA (EU-konform)	Transaktionale E-Mails (Magic-Link, Einladung)
Apple Inc. / Google Inc. / Mozilla Foundation	USA / weltweit	Web-Push-Versand (nur Endpunkt + verschlüsselte Payloads)

Alle Drittland-Übermittlungen sind durch EU-Standardvertragsklauseln (SCC) abgesichert. Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen mit einer Frist von 30 Tagen; ein Widerspruchsrecht besteht.

§ 8 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der Anforderungen dieses AVV durch den Auftragsverarbeiter zu prüfen — entweder durch Selbstauskunft, Einsicht in Zertifizierungen oder durch eigene Audits nach Voranmeldung. Auf Wunsch wird ein TOM-Bericht zur Verfügung gestellt.

§ 9 Beendigung und Datenlöschung

Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht oder auf Wunsch in einem gängigen Format (CSV/JSON) zurückgegeben. Audit-Logs werden gemäß GoBD-Anforderungen 10 Jahre aufbewahrt, soweit gesetzlich vorgeschrieben.

Anhang 1 — Technische und organisatorische Maßnahmen (TOM)

Vertraulichkeit

Zutrittskontrolle: Cloud-Hosting, kein physischer Zugriff durch Auftragsverarbeiter
Zugangskontrolle: Magic-Link-Auth via Supabase, keine Passwörter
Zugriffskontrolle: Row-Level-Security pro Praxis (Multi-Tenant-Isolation)
Trennungskontrolle: Daten verschiedener Kunden logisch getrennt durch practice_id

Integrität

Eingabekontrolle: GoBD-Audit-Trigger protokollieren jede Änderung mit User-ID und Zeitstempel
Übertragungskontrolle: TLS 1.3 für alle Verbindungen

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle: tägliche automatische Backups (7 Tage Retention)
Wiederherstellungs-Tests durch Hosting-Provider

Verfahren zur regelmäßigen Überprüfung

Datenschutz-Management durch Geschäftsführung
Incident-Response-Process bei Sicherheitsvorfällen
Regelmäßige Code- und Sicherheits-Reviews

AVV in unterschriebener Form anfordern: hallo@meinpraxispartner.de