Auftragsverarbeitungsvertrag

Version: v3-2026-04 | Gültig ab: April 2026 | Rechtsgrundlage: Art. 28 DSGVO

§ 1 – Vertragsparteien

Auftragsverarbeiter (Dienstleister):
Zahntec UG (haftungsbeschränkt)
E-Mail: info@zahnteclab.de
(nachfolgend „Zahntec")

Verantwortlicher (Auftraggeber):
Die registrierte Zahnarztpraxis, die das Zahntec-Laborverwaltungssystem nutzt
(nachfolgend „Praxis")

§ 2 – Gegenstand, Art, Umfang und Zweck der Verarbeitung

Zahntec verarbeitet im Auftrag der Praxis personenbezogene Daten gemäß Art. 28 Abs. 3 DSGVO. Gegenstand, Art, Umfang und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich aus der Nutzung des Laborverwaltungssystems unter app.zahnteclab.de und sind in § 3 und § 4 dieses Vertrages konkretisiert.

Die Verarbeitung beginnt mit Akzeptanz dieses Vertrages und endet mit Beendigung des Nutzungsverhältnisses. Nach Vertragsende werden alle personenbezogenen Daten der Praxis innerhalb von 30 Tagen gelöscht oder an die Praxis zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 3 – Art der verarbeiteten Daten und betroffene Personen

Kategorien personenbezogener Daten (Art. 9 DSGVO – Gesundheitsdaten):

Patientenname, Alter, Geschlecht
Zahnmedizinische Behandlungsinformationen (Restaurationstyp, Zahnpositionen, Konstruktionshinweise)
Auftragsnummern der Praxis mit Patientenbezug
Scan-Dateien und technische Unterlagen zum Auftrag (nur auftragsrelevante Mindestdaten – Dataminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO)

Betroffene Personen: Patienten der Praxis

§ 4 – Zweck der Verarbeitung

Die Daten werden ausschließlich auf dokumentierte Weisung der Praxis (inkl. Umfang, Art und Zweck gemäß Art. 28 Abs. 3 lit. a DSGVO) und für folgende Zwecke verarbeitet:

Verwaltung und Nachverfolgung von Laboraufträgen zwischen der Praxis und dem Dentallabor
Kommunikation zwischen Praxis, Labor und Zahntec im Auftragskontext
Erstellung von Lieferscheinen, Rechnungen und technischen Dokumenten
Archivierung gemäß den gesetzlichen Aufbewahrungsfristen

Zahntec verpflichtet sich, Patientendaten für einen Zeitraum von mindestens 10 Jahren ab dem Datum der Auftragserfassung zu speichern, entsprechend der gesetzlichen Aufbewahrungspflicht gemäß § 630f BGB. Nach Ablauf dieser Frist werden die Daten gelöscht, sofern keine anderweitige schriftliche Weisung der Praxis vorliegt.

§ 5 – Pflichten von Zahntec als Auftragsverarbeiter

Zahntec verpflichtet sich:

Personenbezogene Daten ausschließlich auf dokumentierte Weisung der Praxis zu verarbeiten
Zur Vertraulichkeit der Daten — alle Personen mit Datenzugang sind vertraglich oder gesetzlich zur Vertraulichkeit verpflichtet
Geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu implementieren und aufrechtzuerhalten
Die Praxis unverzüglich zu informieren, wenn nach Einschätzung von Zahntec eine Weisung gegen datenschutzrechtliche Vorschriften verstößt
Die Praxis bei der Erfüllung der in Art. 32–36 DSGVO genannten Pflichten zu unterstützen
Nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben und bestehende Kopien zu vernichten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht

§ 6 – Datenschutzverletzungen (Art. 28 Abs. 3 lit. f DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten gilt:

Zahntec benachrichtigt die Praxis unverzüglich, spätestens binnen 24 Stunden nach Bekanntwerden einer Datenpanne per E-Mail an die hinterlegte Praxis-E-Mail-Adresse
Die Benachrichtigung enthält: Art der Verletzung, betroffene Datenkategorien und -mengen, voraussichtliche Folgen sowie ergriffene und vorgeschlagene Abhilfemaßnahmen
Die Praxis ist als Verantwortliche verpflichtet, die Aufsichtsbehörde gemäß Art. 33 DSGVO innerhalb von 72 Stunden zu benachrichtigen, sofern ein Risiko für Rechte und Freiheiten natürlicher Personen besteht
Zahntec unterstützt die Praxis bei der Erstellung der erforderlichen Meldungen und stellt alle verfügbaren Informationen bereit

§ 7 – Technische und organisatorische Maßnahmen (TOM)

Maßnahme	Umsetzung (aktueller Stand)
Zugangsschutz	Passwortgeschützte Benutzerkonten, rollenbasierter Zugriff (Admin/Praxis/Labor), Brute-Force-Schutz (Rate-Limiting auf Login und Passwort-Reset)
Transportverschlüsselung	TLS 1.2+ / HTTPS für alle Datenübertragungen; unverschlüsselte Verbindungen werden abgelehnt
Zugriffskontrolle	Strikte Rollentrennung — jeder Benutzer sieht ausschließlich eigene Patientendaten; Zugriffsverstöße werden protokolliert
Protokollierung	Login-Ereignisse, fehlgeschlagene Authentifizierungsversuche und sicherheitsrelevante Aktionen werden serverseitig protokolliert. Erweiterte Audit-Logs für Datenzugriffe befinden sich in der Implementierung (geplante Fertigstellung: Q3 2026)
Verfügbarkeit & Backup	Hosting auf PythonAnywhere (EU-Rechenzentrum); tägliche automatisierte Datenbankbackups; Backups werden 30 Tage aufbewahrt; regelmäßige Wiederherstellungstests werden durchgeführt
Weitergabekontrolle	Datenübermittlung an Dentallabore nur über das gesicherte System; keine unverschlüsselte externe Weitergabe; Dataminimierung bei Laborübermittlung
Verschlüsselung ruhender Daten	Datenbankverschlüsselung (at rest) sowie Mehr-Faktor-Authentifizierung sind für Q4 2026 geplant. Die Praxis wird über die Implementierung informiert.

§ 8 – Unterauftragsverarbeiter, Drittlandtransfers und Widerspruchsrecht

Zahntec setzt folgende Unterauftragsverarbeiter ein. Die Praxis stimmt deren Einsatz mit Akzeptanz dieses Vertrages zu.

Widerspruchsrecht: Zahntec informiert die Praxis über geplante Änderungen bei Unterauftragsverarbeitern (Hinzufügung oder Austausch) mit einer Vorlaufzeit von mindestens 30 Tagen per E-Mail. Die Praxis hat das Recht, innerhalb dieser Frist schriftlich Widerspruch einzulegen. Kommt keine Einigung zustande, haben beide Parteien das Recht, den Vertrag außerordentlich zu kündigen.

Anbieter	Zweck	Standort / Rechtsgrundlage
PythonAnywhere (Anaconda Inc.)	Webhosting und Datenbankhosting	EU (Vereinigtes Königreich mit Angemessenheitsbeschluss)
Google LLC (Google Drive)	Speicherung von Scan- und PDF-Dateien	EU-Datenspeicherung aktiviert; Google Data Processing Amendment (DPA) mit SCC gem. Art. 46 DSGVO
Google LLC (Gmail / Workspace)	E-Mail-Versand (Auftragsbestätigungen, Rechnungen)	USA – Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO; Google DPA
Dentallabore (Türkei)	Laborherstellung: Verarbeitung auftragsrelevanter Mindestdaten (Patientenvorname, Zahnpositionen, technische Spezifikationen — keine vollständigen Patientenakten)	Türkei (Drittland ohne Angemessenheitsbeschluss) – primäre Rechtsgrundlage: Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO; zusätzliche technische und organisatorische Schutzmaßnahmen; strenge Dataminimierung

Hinweis zu Google-Diensten: Obwohl Google Drive mit EU-Datenspeicherung und SCC betrieben wird, besteht aufgrund der US-Konzernzugehörigkeit von Google LLC ein Restrisiko im Sinne des Schrems-II-Urteils. Praxen mit besonders strengen Datenschutzanforderungen können auf Anfrage bei Zahntec alternative EU-lokale Speicherlösungen besprechen.

Türkei-Transfer (SCC-Grundlage): Die Übermittlung zahnmedizinischer Auftragsdaten an Dentallabore in der Türkei ist für die Vertragserfüllung zwingend erforderlich. Als Drittland ohne Angemessenheitsbeschluss erfolgt die Übermittlung ausschließlich auf Basis von Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO. Zahntec stellt sicher, dass mit allen eingesetzten Laboren entsprechende SCC-Vereinbarungen bestehen. Es werden ausschließlich die für die Laborherstellung minimal notwendigen Daten übermittelt. Die Praxis kann auf Anfrage jederzeit Auskunft über die eingesetzten Labore und die getroffenen Schutzmaßnahmen erhalten.

§ 9 – Kontroll- und Auditrechte (Art. 28 Abs. 3 lit. h DSGVO)

Die Praxis hat das Recht, die Einhaltung dieses Vertrages durch Zahntec zu überprüfen:

Informationsrecht: Zahntec stellt auf Anfrage alle erforderlichen Informationen zum Nachweis der Erfüllung der Pflichten aus Art. 28 DSGVO bereit
Remote-Audit (bevorzugt): Überprüfungen werden vorrangig als Remote-Audit (Dokumentenprüfung, Fragebögen, Videokonferenz) durchgeführt
Vor-Ort-Audit: Auf ausdrücklichen Wunsch der Praxis möglich; schriftliche Ankündigung mit mindestens 4 Wochen Vorlauf erforderlich; Durchführung während der üblichen Geschäftszeiten; Umfang beschränkt auf datenschutzrelevante Systeme und Prozesse
Kostentragung: Kosten eines Vor-Ort-Audits trägt die Praxis, sofern kein konkreter Verstoß festgestellt wird; bei nachgewiesenem Verstoß trägt Zahntec die Kosten
Gleichwertige Nachweise: Zahntec kann aktuelle Sicherheitsberichte oder Prüfnachweise vorlegen, um Vor-Ort-Prüfungen zu ersetzen, soweit die Praxis dem zustimmt

§ 10 – Datenschutz-Folgenabschätzung (DPIA, Art. 35 DSGVO)

Da das System systematisch besondere Kategorien personenbezogener Daten (Gesundheitsdaten gem. Art. 9 DSGVO) verarbeitet, ist nach dem aktuellen Stand der deutschen Datenschutzaufsichtsbehörden eine Datenschutz-Folgenabschätzung (DPIA) in der Regel verpflichtend.

Die Praxis ist als Verantwortliche verpflichtet, vor Inbetriebnahme oder bei wesentlichen Änderungen eine DPIA gemäß Art. 35 DSGVO durchzuführen
Zahntec unterstützt die Praxis aktiv bei der Durchführung der DPIA durch Bereitstellung aller relevanten technischen und organisatorischen Informationen (TOM-Dokumentation, Datenflussdiagramme, Subprocessor-Liste)
Zahntec hat für den eigenen Betrieb des Systems eine interne Risikoprüfung durchgeführt und stellt diese Dokumentation der Praxis auf Anfrage zur Verfügung

§ 11 – Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO. Jede Partei haftet für Schäden, die durch Verstöße gegen diesen Vertrag entstehen, nach Maßgabe des Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei entsprechend ihrem Verschuldensanteil.

§ 12 – Schlussbestimmungen

Dieser Vertrag unterliegt deutschem Recht. Gerichtsstand ist Berlin. Mündliche Nebenabreden bestehen nicht. Änderungen dieses Vertrages bedürfen der Textform. Zahntec wird bei wesentlichen Änderungen eine neue Version bereitstellen und die Praxis zur erneuten Zustimmung auffordern. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Auftragsverarbeitungsvertrag (AVV)