Zurück

Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO

Anlage zu den Nutzungsbedingungen des Aligner Services Portals

Stand: März 2026

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Diese Vereinbarung regelt die Pflichten des Auftragnehmers bei der Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers gemäß Art. 28 DSGVO.

(2) Auftraggeber ist die Zahnarztpraxis, die das Aligner Services Portal nutzt (nachfolgend „Auftraggeber“).

(3) Auftragnehmer ist die Denta Services GmbH i. Gr., Kasernenstraße 15, 40213 Düsseldorf (nachfolgend „Auftragnehmer“ oder „Betreiber“).

(4) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsverhältnisses gemäß den Nutzungsbedingungen.

§ 2 Gegenstand und Zweck der Verarbeitung

(1) Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten von Patienten des Auftraggebers, die der Auftraggeber in das Aligner Services Portal eingibt.

(2) Die Verarbeitung dient folgenden Zwecken:

  • Technische Bereitstellung des Portals zur Fallverwaltung
  • Speicherung und Verwaltung von Falldaten in der Portaldatenbank
  • Anzeige der Falldaten gegenüber dem Auftraggeber über die Portal-Benutzeroberfläche
  • Technische Weiterleitung der Falldaten an den vom Auftraggeber ausgewählten Aligner-Hersteller
  • Entgegennahme und Speicherung von Hersteller-Rückmeldungen und Anzeige im Portal
  • Speicherung und Bereitstellung der hochgeladenen klinischen Dateien sowie der vom Hersteller bereitgestellten Dateien
  • Erstellung und Verwaltung von Nutzerkonten bei angebundenen Herstellern im Auftrag des Auftraggebers sowie Löschung dieser Konten bei Vertragsende
  • Versand von System-Benachrichtigungen an den Auftraggeber über den Fallstatus (ohne Patientendaten)
  • Technische Fehleranalyse und Störungsbeseitigung
  • Löschung der Falldaten nach Vertragsende oder auf Weisung des Auftraggebers

(3) Die Verarbeitung umfasst keine inhaltliche Auswertung, Analyse, Bewertung oder anderweitige Nutzung der Patientendaten durch den Auftragnehmer für eigene oder fremde Zwecke.

§ 3 Art der personenbezogenen Daten

Die folgenden Kategorien personenbezogener Daten werden verarbeitet:

  • Patientenstammdaten: Vorname, Nachname, Geburtsdatum, Geschlecht, E-Mail-Adresse (optional)
  • Klinische Behandlungsdaten: Behandlungsart, Zahnbogen-Behandlung, Behandlungstyp, Overjet, Overbite, Midline, IPR, Attachments, zahnbezogene Informationen, ärztliche Anweisungen, Patientenbeschwerden
  • Klinische Dateien: Intraorale 3D-Scans, klinische Fotos (bis zu 9 Aufnahmen), Röntgenbilder, sonstige Dokumente
  • Einwilligungsdaten: Zeitstempel der Behandlungs- und Datenschutzeinwilligung
  • Lieferanschrift: Straße, PLZ, Stadt, Land, Telefon (für Versand an Zahnarztpraxis)
  • Hersteller-Rückmeldungen: Behandlungsplanungen, Simulationsdateien, Lab Reports, Produktionskosten, Produktionsstatus, Tracking-Nummer, Versanddatum, Kommentare

Hierbei handelt es sich teilweise um Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO.

§ 4 Kategorien betroffener Personen

Betroffen sind Patienten des Auftraggebers, deren Behandlungsdaten der Auftraggeber in das Portal eingibt.

§ 5 Weisungsbindung

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die in § 2 beschriebenen Verarbeitungszwecke gelten als allgemeine Weisung.

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

(3) Folgende Verarbeitungshandlungen gelten als vom Auftraggeber angewiesen:

  • Speicherung der vom Auftraggeber eingegebenen Daten in der Portaldatenbank
  • Anzeige der Daten gegenüber dem Auftraggeber und von ihm autorisierten Nutzern
  • Weiterleitung an den vom Auftraggeber ausgewählten Hersteller bei Fallübermittlung
  • Speicherung von Hersteller-Rückmeldungen und Anzeige im Portal
  • Erstellung eines Herstellerkontos bei Kontofreischaltung und Löschung bei Kontolöschung
  • Zugriff durch Administratoren, Planer und Country-Manager des Auftragnehmers zu Support-, Koordinations- und regionalen Verwaltungszwecken (siehe § 6)
  • Löschung nach Maßgabe von § 11

§ 6 Zugriffsberechtigungen beim Auftragnehmer

(1) Folgende Rollen beim Auftragnehmer haben Zugriff auf Patientendaten:

Administrator: Alle Fälle aller Nutzer (Lese- und Schreibzugriff) — Zweck: Technischer Support, Fehlerbehebung, Nutzerverwaltung, Systemadministration.

Planer: Fälle der zugewiesenen Hersteller (Lesezugriff, eingeschränkter Schreibzugriff) — Zweck: Koordination zwischen Zahnarzt und Hersteller, Fallbearbeitung im Auftrag.

Country-Manager: Fälle und Nutzer in den ihm zugewiesenen Ländern (Lese- und eingeschränkter Schreibzugriff im Rahmen der regionalen Verwaltung) — Zweck: Verifizierung neuer Nutzer im jeweiligen Land, regionaler Support, regionale Statistik und Eskalationsmanagement. Country-Manager erhalten zudem automatisierte E-Mail-Benachrichtigungen über Fall-Ereignisse von Nutzern in den ihnen zugewiesenen Ländern (siehe Datenschutzerklärung Abschnitt „E-Mail-Benachrichtigungen").

(2) Der Auftragnehmer stellt sicher, dass Zugriffe nur im erforderlichen Umfang und nur zu den genannten Zwecken erfolgen.

(3) Der Auftragnehmer führt ein Verzeichnis der zugriffsberechtigten Personen und stellt dieses dem Auftraggeber auf Anfrage zur Verfügung.

§ 7 Vertraulichkeit

(1) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung betrauten Personen auf die Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags fort.

§ 8 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

  • Zutrittskontrolle: Hosting bei Hetzner Online GmbH in Nürnberg (EU), zertifiziertes Rechenzentrum
  • Zugangskontrolle: Passwort-basierte Authentifizierung mit bcrypt-Verschlüsselung, E-Mail-Verifizierung, manuelle Administrator-Freischaltung, Cloudflare Turnstile Bot-Schutz, Rate-Limiting
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), Ownership-Prüfung auf jedem API-Endpunkt, Datei-Downloads nur nach Authentifizierung und Eigentümerprüfung
  • Übertragungskontrolle: TLS-Verschlüsselung für alle Verbindungen, Hersteller-Webhooks mit HMAC-Signatur oder API-Key-Authentifizierung, Outbound-Übertragung über HTTPS oder verschlüsseltes SFTP
  • Eingabekontrolle: Änderungen nachvollziehbar über Datenbankfelder, Hersteller-Payloads protokolliert, Fallstatus-Änderungen mit Validierung
  • Trennungskontrolle: Mandantentrennung durch userId-basierte Datenbankfilter

Der Auftragnehmer überprüft die Wirksamkeit der TOM regelmäßig und passt sie dem Stand der Technik an.

§ 9 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zur Einschaltung der folgenden Unterauftragsverarbeiter:

  • Hetzner Online GmbH — Hosting (Server, Datenbank, Dateispeicher) in Nürnberg sowie Off-Site-Backup-Storage in Falkenstein, Deutschland
  • Brevo (Sendinblue SAS) — E-Mail-Versand (System-Benachrichtigungen, keine Patientendaten in E-Mails), Paris, Frankreich
  • Cloudflare, Inc. — Bot-Schutz (Turnstile) auf Login/Registrierung, EU/USA
  • OpenAI Ireland Limited — KI-Chat-Assistent (nur Texteingabe der Nutzerfrage, keine Patientendaten, keine Falldaten), Dublin, Irland (Verarbeitung kann auf US-Servern erfolgen, EU-Standardvertragsklauseln in Kraft)

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf Unterauftragsverarbeiter. Der Auftraggeber kann der Änderung innerhalb von 30 Tagen widersprechen.

(3) Der Auftragnehmer stellt sicher, dass jedem Unterauftragsverarbeiter die gleichen Datenschutzpflichten auferlegt werden.

(4) Hersteller sind keine Unterauftragsverarbeiter. Die Übermittlung von Falldaten an Hersteller erfolgt auf Weisung des Auftraggebers. Der Hersteller wird als eigenständiger Verantwortlicher tätig.

§ 10 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten:

Betroffenenrechte (Art. 15–22 DSGVO): Unterstützung bei Auskunfts-, Berichtigungs-, Löschungs- und Datenübertragbarkeitsanfragen. Die Portaloberfläche ermöglicht dem Auftraggeber den Export und die Löschung von Falldaten.

Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO): Der Auftragnehmer informiert den Auftraggeber unverzüglich (maximal 48 Stunden) nach Kenntniserlangung über eine Verletzung des Schutzes personenbezogener Daten.

Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Unterstützung bei der Durchführung, soweit erforderlich.

§ 11 Löschung und Rückgabe

(1) Nach Beendigung des Nutzungsverhältnisses werden die Patientendaten wie folgt behandelt:

Bei Kontolöschung: Die Nutzerdaten werden sofort gelöscht. Die Falldaten werden als „verwaist“ markiert und spätestens 6 Monate nach Kontolöschung einschließlich aller zugehörigen Dateien unwiderruflich gelöscht.

Bei laufendem Nutzungsverhältnis: Der Auftraggeber kann Falldaten jederzeit über die Portaloberfläche löschen.

Automatische Bereinigung: Der Auftragnehmer führt eine regelmäßige Prüfung verwaister Fälle durch und löscht diese nach Ablauf der 6-monatigen Aufbewahrungsfrist automatisch.

(2) Die Löschung umfasst Falldaten aus der Datenbank (einschließlich zugehöriger Dateien, Nachrichten und Hersteller-Zuordnungen), Dateien vom Dateisystem sowie DeletedUserLog-Einträge ohne verknüpfte Fälle.

§ 12 Nachweispflichten und Kontrollrechte

(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Art. 28 DSGVO zur Verfügung.

(2) Der Auftraggeber ist berechtigt, die Einhaltung dieser AVV zu überprüfen, unter anderem durch Einholung von Auskünften, Einsichtnahme in die TOM und Vor-Ort-Inspektionen nach angemessener Vorankündigung (mindestens 14 Tage).

§ 13 Haftung

Die Haftung des Auftragnehmers richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der Nutzungsbedingungen.

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser AVV bedürfen der Schriftform.

(2) Sollten einzelne Bestimmungen dieser AVV unwirksam sein, wird die Wirksamkeit der übrigen Bestimmungen nicht berührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.