Auftragsverarbeitungsvertrag (AVV)

Gegenstand der Verarbeitung ist die Bereitstellung, Wartung, Absicherung, Weiterentwicklung und Unterstützung der SaaS-Plattform für Kundenverwaltung, Einsatzplanung, Terminabstimmung, Dokumentenmanagement, Kommunikation, Rechnungsstellung, Analytik, API-Nutzung und Rollenverwaltung.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags einschließlich vereinbarter Nachbereitstellungs-, Export-, Lösch- und Sicherungsfristen.

Die Verarbeitung umfasst insbesondere Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung an autorisierte Nutzer, Abgleichen, Einschränken, Löschen und Vernichten.

• Datenkategorien: Stammdaten, Kontaktdaten, Vertrags- und Leistungsdaten, Mitarbeiterdaten, Termin- und Einsatzdaten, Kommunikationsdaten, Dokumente, Signaturdaten, Rechnungsdaten, Abrechnungsdaten, API- und Auditdaten sowie besondere Kategorien personenbezogener Daten, soweit der Kunde diese verarbeitet.
• Betroffene Personen: Kunden und Endkunden des Kunden, Pflegebedürftige, Angehörige, Ansprechpartner, Mitarbeiter, Bewerber, Dienstleister, Abrechnungspartner, Pflegekassenkontakte, Plattformnutzer und sonstige vom Kunden angelegte Personen.

Nordiqo verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Pflicht zur Verarbeitung besteht. Weisungen ergeben sich aus dem Hauptvertrag, der Plattformkonfiguration, Rollen- und Berechtigungseinstellungen, Supportanfragen, schriftlichen Weisungen und diesem AVV.

Nordiqo informiert den Kunden unverzüglich, wenn eine Weisung nach Auffassung von Nordiqo gegen Datenschutzrecht verstößt. Die Umsetzung offensichtlich rechtswidriger oder technisch nicht vertretbarer Weisungen kann bis zur Klärung ausgesetzt werden.

• Verarbeitung nur im dokumentierten Umfang und nur durch zur Vertraulichkeit verpflichtete Personen.
• Umsetzung angemessener technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO.
• Unterstützung des Kunden bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Sicherheitsvorfällen und Nachweispflichten, soweit dies möglich und zumutbar ist.
• Führung erforderlicher Nachweise über Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.
• Benachrichtigung des Kunden über datenschutzrelevante Sicherheitsvorfälle unverzüglich nach Bekanntwerden, soweit Kundendaten betroffen sind.

Der Kunde ist verantwortlich für Rechtmäßigkeit der Verarbeitung, Rechtsgrundlagen, Informationspflichten, Einwilligungen, Berechtigungskonzepte, Datenminimierung, Aufbewahrungsfristen, Löschanweisungen und Bearbeitung von Betroffenenanfragen.

Der Kunde stellt sicher, dass keine Daten in die Plattform eingebracht werden, deren Verarbeitung in der Plattform rechtswidrig ist oder besondere Geheimhaltungsanforderungen verletzt, sofern keine geeignete Rechtsgrundlage und Konfiguration besteht.

Der Kunde erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Nordiqo führt eine aktuelle Liste wesentlicher Unterauftragsverarbeiter im Subprocessor Agreement Framework.

Nordiqo informiert den Kunden über beabsichtigte Änderungen, soweit diese wesentlich sind. Der Kunde kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen. Bei berechtigtem Widerspruch bemühen sich die Parteien um eine zumutbare Lösung; ist diese nicht möglich, kann die betroffene Leistung außerordentlich gekündigt werden.

Nordiqo verpflichtet Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die dem Schutzniveau dieses AVV im Wesentlichen entsprechen.

Nordiqo stellt dem Kunden auf Anfrage angemessene Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung. Audits erfolgen vorrangig durch Vorlage geeigneter Nachweise, Sicherheitskonzepte, Zertifikate, Prüfberichte oder Dokumentationen.

Vor-Ort-Prüfungen sind nur nach angemessener Vorankündigung, während üblicher Geschäftszeiten, unter Wahrung von Sicherheits- und Vertraulichkeitsinteressen, ohne Störung des Betriebs und auf Kosten des Kunden zulässig, soweit ein berechtigter Anlass besteht oder gesetzlich erforderlich ist.

Übermittlungen in Drittländer oder an internationale Organisationen erfolgen nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden. Hierzu können Angemessenheitsbeschlüsse, Standardvertragsklauseln und zusätzliche technische oder organisatorische Schutzmaßnahmen gehören.

Nach Ende der Leistungen stellt Nordiqo Kundendaten nach Maßgabe der Datenlöschrichtlinie zum Export bereit und löscht oder anonymisiert personenbezogene Daten, sofern keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweisinteressen oder technisch bedingte Backup-Fristen entgegenstehen.

Backups werden im ordentlichen Zyklus überschrieben oder gelöscht. Eine selektive Löschung einzelner Datensätze aus Sicherungen ist regelmäßig technisch nicht geschuldet, sofern die Sicherungen gegen Produktivzugriff geschützt sind und nur für Wiederherstellungszwecke genutzt werden.