Log-in
Termin vereinbaren

Webinar

Kontakt

Pressekit

Integrationen

Jobs

Termin vereinbaren

Log-in

Auftragsverarbeitungsvereinbarung

gemäß Art. 28 DSGVO
Version 1.2Stand: 11. April 2026

Vertragsparteien

VerantwortlicherDer jeweilige Vertragspartner des Hauptvertrags (nachfolgend „Auftraggeber“)
AuftragsverarbeiterheyRobin GmbH, Friemer Straße 12, 37284 Waldkappel, eingetragen im Handelsregister des Amtsgerichts Hamburg unter HRB 192065, vertreten durch die Geschäftsführung (nachfolgend „Auftragnehmer“)

§ 1 Gegenstand und Dauer der Verarbeitung

  1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung der Softwareplattform „heyRobin“ für digitale Patientenkommunikation und Praxismanagement.
  2. Gegenstand der Verarbeitung ist die Bereitstellung der in der Leistungsbeschreibung bzw. im Hauptvertrag näher beschriebenen Dienste, insbesondere die digitale Patientenkommunikation, Terminverwaltung, Dokumentenmanagement und Datenverwaltung für medizinische Einrichtungen.
  3. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Diese AVV endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten zur Rückgabe und Löschung gemäß § 10.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Patientenstammdaten
  • Digitale Kommunikation zwischen Praxis und Patienten (Nachrichten, Erinnerungen, Benachrichtigungen)
  • Terminplanung und -verwaltung
  • Dokumentenmanagement und -archivierung
  • Schnittstellenanbindung an Praxisverwaltungssysteme (z. B. Theorg)
  • Analyse und Reporting (ausschließlich anonymisiert/pseudonymisiert, sofern vereinbart)

Der Zweck der Verarbeitung ist ausschließlich die Erfüllung des Hauptvertrags. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.

§ 3 Kategorien betroffener Personen und personenbezogener Daten

3.1 Kategorien betroffener Personen

  • Patienten des Auftraggebers
  • Mitarbeiter und Beschäftigte des Auftraggebers
  • Geschäftspartner und Kontaktpersonen des Auftraggebers

3.2 Kategorien personenbezogener Daten

KategorieBeispiele
StammdatenName, Geburtsdatum, Adresse, Telefonnummer, E-Mail
VersicherungsdatenKrankenversicherungsnummer, Versichertenstatus, Kassenzugehörigkeit
Gesundheitsdaten (Art. 9 DSGVO)Diagnosen, Befunde, Therapieverläufe, Medikation, Verordnungen, Abrechnungsdaten
KommunikationsdatenNachrichteninhalte, Terminbestätigungen, Erinnerungen
NutzungsdatenLog-in-Zeiten, Zugriffshistorie (zu Sicherheitszwecken)

Die Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 1 DSGVO erfolgt ausschließlich im Rahmen der Zweckbestimmung und unter den Voraussetzungen des Art. 9 Abs. 2 lit. h DSGVO.

§ 4 Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht des betreffenden Mitgliedstaats hierzu verpflichtet. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
  2. Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Die aktuellen TOM sind in Anlage 1 dokumentiert.
  4. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen gemäß Kapitel III DSGVO (Art. 15–22 DSGVO).
  5. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
  6. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 5 Unterauftragsverarbeiter

  1. Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 Satz 2 DSGVO zum Einsatz von Unterauftragsverarbeitern. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt und gelten als genehmigt.
  2. Der Auftragnehmer informiert den Auftraggeber in Textform über jede beabsichtigte Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen solche Änderungen innerhalb von 14 Kalendertagen nach Zugang der Mitteilung in Textform Widerspruch erheben. Erhebt der Auftraggeber Widerspruch und kann der Auftragnehmer die betreffende Verarbeitung nicht ohne den neuen Unterauftragsverarbeiter in gleicher Weise erbringen, steht beiden Parteien ein Sonderkündigungsrecht des Hauptvertrags zum Zeitpunkt des Wirksamwerdens der Änderung zu.
  3. Der Auftragnehmer legt dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auf, wie sie in dieser Vereinbarung festgelegt sind. Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung durch den Unterauftragsverarbeiter.

§ 6 Datenübermittlung in Drittländer

  1. Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation darf nur auf dokumentierte Weisung des Auftraggebers erfolgen, es sei denn, es besteht eine unionsrechtliche oder mitgliedstaatliche Pflicht.
  2. Sofern Unterauftragsverarbeiter in Drittländern eingesetzt werden, stellt der Auftragnehmer sicher, dass ein angemessenes Datenschutzniveau durch geeignete Garantien gewährleistet ist (z. B. Standardvertragsklauseln, Angemessenheitsbeschluss, verbindliche interne Datenschutzvorschriften).

§ 7 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung und der datenschutzrechtlichen Vorgaben vor Beginn der Verarbeitung und sodann regelmäßig zu überprüfen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen.
  2. Inspektionen einschließlich Vor-Ort-Prüfungen sind einmal jährlich sowie anlassbezogen bei einem konkreten, dokumentierten Verdacht auf einen Verstoß nach vorheriger Anmeldung mit angemessener Frist (mindestens 14 Kalendertage) während der üblichen Geschäftszeiten möglich. Die Kosten einer Vor-Ort-Prüfung trägt der Auftraggeber, mit Ausnahme des Falls, dass bei der Prüfung wesentliche Verstöße des Auftragnehmers festgestellt werden. Der Auftragnehmer kann seine Nachweispflicht stattdessen durch Vorlage eines aktuellen Audit-Zertifikats oder eines Prüfberichts eines unabhängigen Dritten erfüllen.
  3. Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung von Audits und stellt sicher, dass relevante Räumlichkeiten und Unterlagen zugänglich sind.

§ 8 Meldepflichten bei Datenschutzverletzungen

  1. Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden.
  2. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit diese zum Zeitpunkt der Meldung verfügbar sind. Fehlende Informationen werden unverzüglich nachgereicht.
  3. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

§ 9 Weisungsrecht

  1. Der Auftraggeber ist berechtigt, dem Auftragnehmer jederzeit Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen sind in der Regel in Textform (E-Mail genügt) zu erteilen.
  2. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
  3. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer darf die Ausführung der Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber aussetzen.

§ 10 Rückgabe und Löschung von Daten

  1. Nach Beendigung des Hauptvertrags gibt der Auftragnehmer sämtliche personenbezogenen Daten nach Wahl des Auftraggebers zurück oder löscht diese, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
  2. Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (z. B. CSV, JSON, XML). Der Auftragnehmer stellt die Daten innerhalb von 30 Kalendertagen nach Vertragsende bereit.
  3. Die Löschung erfolgt innerhalb von 30 Kalendertagen nach Vertragsende bzw. nach Rückgabe der Daten. Der Auftragnehmer bestätigt die vollständige Löschung in Textform.
  4. Die Bereitstellung der Daten im Standard-Exportformat (CSV oder JSON) ist kostenfrei. Wünscht der Auftraggeber die Herausgabe in abweichenden Formaten oder mit besonderem Aufbereitungsaufwand, kann der Auftragnehmer einen angemessenen Aufwandsersatz berechnen. Die Höhe wird dem Auftraggeber vor Durchführung transparent mitgeteilt.
  5. Vorstehende Regelungen gelten unbeschadet der Anforderungen des EU Data Act (Verordnung (EU) 2023/2854), insbesondere der Pflichten zur Datenportabilität und zum erleichterten Anbieterwechsel gemäß Kapitel VI der Verordnung.

§ 11 Haftung

  1. Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie den Regelungen des Hauptvertrags.
  2. Der Auftragnehmer haftet gegenüber dem Auftraggeber für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung oder durch Handeln außerhalb oder entgegen den rechtmäßigen Weisungen des Auftraggebers verursacht wurden.

§ 12 Schlussbestimmungen

  1. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform (§ 126b BGB); elektronische Form nach Art. 28 Abs. 9 DSGVO ist zulässig. Dies gilt auch für die Änderung dieser Klausel.
  2. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
  3. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Eschwege.
  4. Diese Vereinbarung tritt mit Abschluss des Hauptvertrags in Kraft, insbesondere durch elektronische Annahme im Rahmen des Bestellprozesses. Sie ist Bestandteil des Hauptvertrags.
Anlage 1: Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert. Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.

1. Vertraulichkeit

Zutrittskontrolle

  1. Die physische Infrastruktur wird bei IONOS SE in deutschen/europäischen Rechenzentren betrieben. Die Zutrittskontrolle zu den Rechenzentren obliegt IONOS SE und umfasst elektronische Zugangssysteme, Videoüberwachung und Besucherregelungen gemäß deren TOM.

Zugangskontrolle

  1. Passwortrichtlinien und Multi-Faktor-Authentifizierung für alle administrativen Zugänge
  2. Verschlüsselung der Datenübertragung mittels TLS 1.2 oder höher
  3. Verschlüsselung ruhender Daten mittels AES-256

Zugriffskontrolle

  1. Rollenbasiertes Berechtigungskonzept mit mandantenspezifischer Zugriffskontrolle
  2. Protokollierung von Zugriffen auf Patientendaten
  3. Regelmäßige Überprüfung der Zugriffsberechtigungen

Trennungskontrolle

  1. Mandantentrennung: logische Datentrennung je Standort/Praxis innerhalb der Applikation
2. Integrität

Weitergabekontrolle

  1. Sämtliche Datenübertragungen erfolgen verschlüsselt (TLS 1.2+)
  2. Administrative Zugänge sind zusätzlich abgesichert

Eingabekontrolle

  1. Protokollierung von Eingaben, Änderungen und Löschungen
  2. Nachvollziehbarkeit durch Audit-Logs
3. Verfügbarkeit und Belastbarkeit
  1. Hosting bei IONOS SE (Rechenzentren in Deutschland/EU)
  2. Tägliche Datensicherung (Backups)
  3. Die Wiederherstellung der Verfügbarkeit nach einem Zwischenfall wird durch die redundante Infrastruktur des Hosting-Anbieters sowie die täglichen Backups sichergestellt
4. Verfahren zur regelmäßigen Überprüfung
  1. Regelmäßige interne Datenschutz-Überprüfungen
  2. Mitarbeiterschulungen zum Datenschutz
  3. Schriftliche Vertraulichkeitsverpflichtung aller Mitarbeiter mit Zugriff auf personenbezogene Daten gemäß Art. 28 Abs. 3 lit. b DSGVO
  4. Regelmäßige Mitarbeiterschulungen zu Datenschutz und IT-Sicherheit (mindestens jährlich)
  5. Pseudonymisierung von personenbezogenen Daten in Analyse- und Reporting-Umgebungen
  6. Dokumentierter Incident-Response-Prozess für Datenschutzverletzungen mit definierten Eskalationswegen und Meldeketten
  7. Regelmäßige Überprüfung der Backup-Wiederherstellbarkeit (Recovery-Tests)
  8. Strikte Mandantentrennung auf Datenbankebene: jede Einrichtung erhält einen isolierten logischen Datenbereich; Queries sind zwangsweise mandantengefiltert
  9. Datenschutzbeauftragter: Manuel Lehmann, lehmann@heyrobin.de
Anlage 2: Genehmigte Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter sind zum Zeitpunkt des Vertragsschlusses genehmigt:

UnterauftragsverarbeiterSitzLeistungDatenart
IONOS SE
Elgendorfer Str. 57
56410 Montabaur		DeutschlandApplication-Hosting, Datenspeicherung (exkl. KI-Features), Rechenzentrums-Region EUAlle verarbeiteten Daten
brainsport GmbH & Co. KG
Friemer Str. 12
37284 Waldkappel		DeutschlandIT-Dienstleistungen, Softwareentwicklung, technischer Support und Betrieb der Plattform heyRobin. Voller Zugriff auf Produktivsysteme.Sämtliche personenbezogene Daten gemäß § 3 dieser Vereinbarung, einschließlich Gesundheitsdaten (Art. 9 DSGVO)
Microsoft Corporation
One Microsoft Way
Redmond, WA 98052, USA		USA (EU-Server­standorte)Microsoft Azure OpenAI Service sowie weitere Azure AI Services: Hosting der KI-/LLM-Funktionen (inkl. heyRobin GPT) sowie OCR-Verarbeitung gescannter Dokumente. Daten werden ausschließlich temporär verarbeitet; keine dauerhafte Speicherung und keine Nutzung zu Trainingszwecken. Verarbeitung ausschließlich auf europäischen Serverstandorten. Drittlandübermittlung abgesichert durch EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).Sämtliche personenbezogene Daten gemäß § 3, einschließlich Gesundheitsdaten (Art. 9 DSGVO)
Brevo GmbH
Köpenicker Str. 126
10179 Berlin		DeutschlandE-Mail-Versand (Benachrichtigungen, Erinnerungen)Kontaktdaten, Termindaten
HubSpot Inc.
2 Canal Park
Cambridge, MA 02141, USA		USA (EU-Server­standorte)CRM-System: Verwaltung von Standortdaten und Supporttickets. Drittlandübermittlung abgesichert durch EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).Standortdaten, Kontaktdaten, Supportticket-Inhalte
Microsoft Corporation
One Microsoft Way
Redmond, WA 98052, USA		USA (EU-Server­standorte)E-Mail-Kommunikation (Microsoft Outlook / Exchange Online): Korrespondenz mit Auftraggebern. Transportverschlüsselung (TLS) verpflichtend; bei Übermittlung besonders schutzbedürftiger Daten erfolgt Ende-zu-Ende- bzw. Inhaltsverschlüsselung. Drittlandübermittlung abgesichert durch EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).Kontaktdaten, Kommunikationsinhalte (verschlüsselte Übertragung)
Asana Inc.
633 Folsom St, Suite 100
San Francisco, CA 94107, USA		USA (EU-Server­standorte)Projektmanagement: Verwaltung technischer Tickets. Drittlandübermittlung abgesichert durch EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).Standortdaten, technische Fehlerbeschreibungen (in der Regel keine Patientendaten)
Supabase Inc.
3500 S DuPont Hwy
Dover, DE 19901, USA		USA (EU-Server­standorte)Online-Rezeption, Control Hub (Backend-Infrastruktur); optionale Zusatzprodukte – Verarbeitung erfolgt nur bei Buchung durch den Auftraggeber. Verarbeitung ausschließlich auf europäischen Serverstandorten (Frankfurt). Drittlandübermittlung abgesichert durch EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).Sämtliche personenbezogene Daten gemäß § 3 dieser Vereinbarung

Der Auftragnehmer verpflichtet sich, diese Liste aktuell zu halten und den Auftraggeber über Änderungen gemäß § 5 dieser Vereinbarung zu informieren.