BioVault
ZurĂŒck zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Zuletzt aktualisiert: 2026-06-21

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die Pflichten nach Art. 28 DSGVO zwischen dem Verantwortlichen (Kunde/Organisation, die BioVault nutzt) und dem Auftragsverarbeiter [BITTE AUSFÜLLEN: Vor- und Nachname bzw. Firmenname] ([BITTE AUSFÜLLEN: z. B. Einzelunternehmen / UG (haftungsbeschrĂ€nkt) / GmbH]), [BITTE AUSFÜLLEN: Straße und Hausnummer], [BITTE AUSFÜLLEN: PLZ und Ort], [BITTE AUSFÜLLEN: Land] („Auftragnehmer"). Er wird mit Abschluss des Nutzungsvertrags ĂŒber BioVault wirksam.

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der BioVault-Software (Proben-/Lagerverwaltung, LIMS). Die Dauer entspricht der Laufzeit des Nutzungsvertrags; nach dessen Beendigung gelten die Regelungen zu Löschung/RĂŒckgabe (Ziff. 8).

2. Art und Zweck der Verarbeitung

Art: Erheben, Speichern, Ordnen, Anzeigen, Ändern, Löschen und Protokollieren von Daten in einer mandantengetrennten Cloud-Anwendung. Zweck: Betrieb der Inventar-/Lagerverwaltung des Verantwortlichen; ausschließlich weisungsgebunden.

3. Art der personenbezogenen Daten

  • Stammdaten der Nutzer:innen (Name, dienstliche E-Mail, Rolle)
  • Nutzungs- und Protokolldaten (Audit-Trail, An-/Abmeldungen inkl. IP/GerĂ€t)
  • in Freitextfeldern ggf. weitere vom Verantwortlichen eingegebene Angaben
  • KEINE Spender-/Patientendaten im Standardumfang (bewusster Scope; nur Mitarbeiter-Daten)

4. Kategorien betroffener Personen

BeschÀftigte, Mitglieder und beauftragte Personen des Verantwortlichen, die BioVault nutzen oder darin erfasst werden.

5. Pflichten des Auftragnehmers

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO)
  • Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4)
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Ziff. 6)
  • UnterstĂŒtzung des Verantwortlichen bei Betroffenenrechten (Art. 12–23) und Pflichten nach Art. 32–36
  • Meldung von Verletzungen des Schutzes personenbezogener Daten unverzĂŒglich nach Kenntnis (Art. 33)
  • Löschung oder RĂŒckgabe nach Beendigung (Ziff. 8) und Nachweise/Kontrollen (Ziff. 9)

6. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • VerschlĂŒsselung im Transit (TLS) und ruhend (at rest) beim Infrastruktur-Anbieter
  • Zugangskontrolle: rollen-/fĂ€higkeitsbasierte Rechteverwaltung (RBAC), Zwei-Faktor-Authentifizierung (TOTP), Passwort-Richtlinie
  • Mandantentrennung auf Datenbankebene (Row Level Security je Organisation)
  • Sicherheits-Header (HSTS/CSP/Clickjacking-Schutz)
  • LĂŒckenloser, unverĂ€nderlicher Audit-Trail mit Hash-Kette (WORM, 21 CFR Part 11 §11.10(e))
  • Elektronische Signaturen (Passwort und Biometrie/Passkey) fĂŒr kritische Aktionen
  • Protokollierung privilegierter Support-Zugriffe; Aufbewahrung gemĂ€ĂŸ Richtlinie
  • RegelmĂ€ĂŸige Backups und dokumentiertes Backup-/Disaster-Recovery-Konzept

7. Unterauftragsverarbeiter (Subprozessoren)

Der Verantwortliche genehmigt allgemein den Einsatz folgender Subprozessoren; ĂŒber Änderungen wird vorab informiert, mit Widerspruchsmöglichkeit:

  • Supabase (Postgres-Datenbank, Authentifizierung, Speicher) — Verarbeitung in der EU (Region eu-west-1)
  • Hosting/Server-Infrastruktur des Auftragnehmers (EU)
  • E-Mail-Versanddienst fĂŒr System-/Benachrichtigungs-E-Mails

8. Löschung und RĂŒckgabe

Nach Beendigung des Vertrags werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurĂŒckgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht. FĂŒr unverĂ€nderliche Audit-Daten erfolgt die ErfĂŒllung von Löschbegehren durch Unkenntlichmachung der personenbezogenen Inhalte unter Wahrung der IntegritĂ€t des PrĂŒfpfads (hash-erhaltende Redaktion).

9. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Verantwortlichen die zur Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur VerfĂŒgung und ermöglicht ÜberprĂŒfungen (auf Anfrage, in angemessenem Umfang, ggf. durch Bereitstellung von Nachweisen/Berichten).

Datenschutz-Kontakt des Auftragnehmers: [BITTE AUSFÜLLEN: Kontakt-E-Mail-Adresse] · Datenschutzbeauftragte:r: [BITTE AUSFÜLLEN: Datenschutzbeauftragte:r, falls bestellt]. Diese Fassung ist eine Vorlage und wird mit Festlegung der Rechtsform verbindlich finalisiert.

Hinweis: Dies ist eine vorbereitete Vorlage und ersetzt keine Rechtsberatung. Die Inhalte sollten vor Veröffentlichung anwaltlich geprĂŒft werden.