Provia Care
Einrichtung registrieren

Auftragsverarbeitung (Art. 28 DSGVO)

Vor Veröffentlichung ausfüllen & prüfen

Diese Seite ist standardkonform vorbereitet. Bitte ersetzen Sie die gelb markierten Felder durch Ihre eigenen Angaben und lassen Sie den Text vor dem Pilotstart rechtlich prüfen.

Einordnung

Pflegeeinrichtungen, die Provia Care nutzen, sind Verantwortliche im Sinne der DSGVO; der Betreiber von Provia Care verarbeitet die Beschäftigtendaten in deren Auftrag. Für die Nutzung ist daher ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Der nachfolgende Text ist eine Mustervorlage; der verbindliche Vertrag wird bei Vertragsschluss zwischen den Parteien geschlossen und unterzeichnet.

Verantwortlicher (Auftraggeber): die jeweilige Pflegeeinrichtung.
Auftragsverarbeiter (Auftragnehmer): Niklas Wolfhard Christensen (Einzelunternehmen „Provia Care"), Sandgrubenstraße 3, 32257 Bünde.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber im Rahmen der Bereitstellung und des Betriebs der Software „Provia Care" (Dienstplan-, Ausfall- und Vertretungsmanagement). Die Verarbeitung erfolgt für die Dauer des zugrunde liegenden Hauptvertrags und endet mit dessen Beendigung.

2. Art, Umfang und Zweck der Verarbeitung

Art und Zweck der Verarbeitung umfassen das Erfassen, Speichern, Anzeigen, Verändern, Übermitteln (im Rahmen von Benachrichtigungen) und Löschen von Beschäftigtendaten zum Zweck des Dienstplan-, Ausfall- und Vertretungsmanagements. Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers innerhalb der EU/des EWR; Übermittlungen in Drittländer erfolgen nur unter den Voraussetzungen der Art. 44 ff. DSGVO.

3. Kategorien betroffener Personen und Daten

Betroffene Personen: Beschäftigte der Einrichtung (sowie deren Administratoren/Verwaltende).

Datenkategorien: Stammdaten (Name, E-Mail, Telefon, Position, Station), Konto-/Logindaten, Dienst-/Schichtdaten, Ausfall- und Vertretungsvorgänge sowie Benachrichtigungs- und Protokolldaten. Besondere Kategorien (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung.

4. Pflichten des Auftragnehmers

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO).
  • Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe Ziffer 5).
  • Unterstützung des Auftraggebers bei Betroffenenanfragen sowie bei Pflichten nach Art. 32–36 DSGVO (siehe Ziffer 7).
  • Unverzügliche Information des Auftraggebers bei Verletzungen des Schutzes personenbezogener Daten.
  • Information, falls eine Weisung nach Auffassung des Auftragnehmers gegen Datenschutzrecht verstößt.

5. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer gewährleistet ein dem Risiko angemessenes Schutzniveau (Art. 32 DSGVO), insbesondere:

  • Verschlüsselte Datenübertragung (HTTPS/TLS).
  • Mandantentrennung auf Datenbankebene (Row Level Security), getestete Cross-Tenant-Isolation.
  • Zugriffs-/Berechtigungskontrolle, rollenbasierte Zugriffe.
  • Sicherheits-Header, Begrenzung der Anfragerate sowie regelmäßige Datenbank-Backups.
  • Hosting in der EU bei nach Art. 28 DSGVO gebundenen Unterauftragsverarbeitern.

Eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen wird dem verbindlichen Vertrag als gesonderte Anlage beigefügt.

6. Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu. Eine Änderung wird dem Auftraggeber rechtzeitig mitgeteilt; ihm steht ein Widerspruchsrecht aus wichtigem Grund zu (Art. 28 Abs. 2 DSGVO).

  • Supabase – Datenbank/Authentifizierung, Region EU (Frankfurt).
  • Vercel – Hosting/Auslieferung der Anwendung.
  • Resend – E-Mail-Versand, Region EU (Irland); derzeit nicht aktiviert.

7. Unterstützung bei Betroffenenrechten und Meldepflichten

Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO) sowie bei den Pflichten nach Art. 32–36 DSGVO. Hierzu stellt die Anwendung Funktionen für Auskunft/Export (Art. 15, 20) und Löschung (Art. 17) bereit.

8. Löschung und Rückgabe

Nach Abschluss der Verarbeitung löscht oder übergibt der Auftragnehmer – nach Wahl des Auftraggebers – sämtliche personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Bestehende Funktionen zur Datenausgabe und Löschung in der Anwendung bleiben unberührt.

9. Kontroll- und Auditrechte

Der Auftraggeber hat das Recht, die Einhaltung der vertraglichen und gesetzlichen Verpflichtungen zu überprüfen, insbesondere durch Einholung von Auskünften und Nachweisen über die getroffenen technischen und organisatorischen Maßnahmen. Kontrollen sind mit angemessener Vorankündigung und ohne unverhältnismäßige Beeinträchtigung des Betriebs durchzuführen.

[Ort, Datum sowie Unterschriften beider Parteien (im verbindlichen Vertragsdokument).]