Auftragsverarbeitungsvertrag
Dieser Auftragsverarbeitungsvertrag („AVV") ist Teil der Nutzungsbedingungen und regelt unsere Verarbeitung personenbezogener Daten im Auftrag einer Klinik nach Art. 28 DSGVO und dem revidierten Schweizer DSG. Er kommt mit Annahme der Bedingungen durch den Verantwortlichen zustande.
1. Parteien & Rollen
Die Klinik („Verantwortlicher") bestimmt Zwecke und Mittel der Verarbeitung der Patienten-/klinischen Daten. Lopes2Tech, Einzelunternehmen von Paulo Lopes („Auftragsverarbeiter") verarbeitet diese Daten nur nach den dokumentierten Weisungen des Verantwortlichen — wobei die Bedingungen und die Nutzung der Plattform solche Weisungen darstellen.
2. Gegenstand & Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zur Bereitstellung des Clinika-OS-Dienstes, für die Dauer des Abos und eine allfällige Abwicklungsphase.
3. Daten & betroffene Personen (Anhang I)
Betroffene Personen: Patienten/Klienten und Personal des Verantwortlichen. Personenbezogene Daten: Identitäts- und Kontaktdaten, Termindaten und — sofern der Verantwortliche diese Funktionen aktiviert — Gesundheitsdaten besonderer Kategorie (klinische Notizen, Aufnahme, Einwilligung, Behandlungspläne).
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter: verpflichtet das Personal zur Vertraulichkeit; wendet die Sicherheitsmassnahmen aus Anhang II an (Art. 32); unterstützt den Verantwortlichen bei Betroffenenanfragen, DSFA und Verletzungen; benachrichtigt den Verantwortlichen unverzüglich bei Kenntnis einer Verletzung; und stellt Informationen zum Nachweis der Einhaltung bereit und ermöglicht Audits.
5. Weitere Auftragsverarbeiter (Anhang III)
Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz weiterer Auftragsverarbeiter. Der Auftragsverarbeiter führt eine aktuelle Liste, gibt vorherige Änderungsmitteilung mit Widerspruchsrecht und bindet jeden Unterauftragsverarbeiter an gleichwertige Pflichten.
6. Internationale Übermittlungen
Bei Übermittlung ausserhalb der Schweiz/des EWR nutzt der Auftragsverarbeiter geeignete Garantien — Standardvertragsklauseln und, für zertifizierte US-Anbieter, das EU–US Data Privacy Framework (siehe Anhang III).
7. Rückgabe & Löschung
Nach Beendigung löscht oder retourniert der Auftragsverarbeiter alle personenbezogenen Daten (vorbehaltlich gesetzlicher Aufbewahrung) und löscht bestehende Kopien.
8. Haftung & Recht
Die Haftung richtet sich nach den Nutzungsbedingungen. Dieser AVV unterliegt Schweizer Recht.
Anhang I — Verarbeitungsdetails
Zweck: Bereitstellung des Clinika-OS-Termin- und Praxisverwaltungsdienstes. Kategorien gemäss §3. Dauer: die Abolaufzeit.
Anhang II — Technische & organisatorische Massnahmen
Daten in der Schweiz gespeichert (Supabase, Zürich); Verschlüsselung bei Übertragung (TLS 1.2+) und im Ruhezustand (AES-256); Row-Level-Security zur Isolierung jeder Klinik; rollenbasierte Zugriffskontrollen und Audit-Logging; Ratenbegrenzung und Missbrauchsschutz; Fehlerüberwachung mit Anonymisierung; regelmässige Backups. Die Massnahmen werden an die Produktionsumgebung angepasst.
Anhang III — Weitere Auftragsverarbeiter
Supabase (Zürich, CH); Vercel; Stripe (US — DPF); Resend (US); Twilio (US); Sentry (US). Nur Website-Analyse: Google Analytics / Vercel Analytics. Diese Liste wird mit der Datenschutzerklärung synchron gehalten.