# Auftragsverarbeitungsvertrag (AVV)
## Zwischen der Praxis (Auftraggeber) und LIRA (Auftragnehmer)
### Gemäß Art. 28 DSGVO

**Stand:** April 2026

---

## §1 Gegenstand und Dauer

(1) Der Auftragnehmer (LIRA, Rejne Rittel) verarbeitet im Auftrag des Auftraggebers (Praxis) Daten zur Konformitätsprüfung von GOÄ-Abrechnungen.

(2) Art und Zweck: Automatisierte Prüfung von Abrechnungspositionen gegen das GOÄ-Regelwerk.

(3) Die Verarbeitung erfolgt für die Dauer der Nutzung des LIRA-Dienstes.

## §2 Art der verarbeiteten Daten

(1) **Verarbeitete Daten:** GOÄ-Ziffern, Leistungstexte, Faktoren, Punktzahlen, Beträge.

(2) **Ausdrücklich NICHT verarbeitete Daten:** Patientennamen, Geburtsdaten, Adressen, Diagnosen, ICD-Codes, Versicherungsnummern, Arztnummern, Rechnungsnummern, Behandlungsdaten.

(3) Der Auftragnehmer hat keinen Zugriff auf personenbezogene Patientendaten. Die Anonymisierung erfolgt automatisiert auf dem Gerät des Auftraggebers vor jeder Datenübertragung.

## §3 Kategorien betroffener Personen

Es sind keine betroffenen Personen identifizierbar. Die verarbeiteten Daten haben keinen Personenbezug.

## §4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet die Daten nur auf dokumentierte Weisung des Auftraggebers.

(2) Der Auftragnehmer stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.

(3) Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO:
- Verschlüsselung aller Datenübertragungen (TLS 1.3)
- Zugangsschutz durch Authentifizierung
- Anonymisierung vor Datenübertragung
- Keine Speicherung von Rechnungsdaten über die Sitzung hinaus

## §5 Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:

| Dienst | Unternehmen | Zweck | Standort | DPA vorhanden |
|---|---|---|---|---|
| Strukturerkennung | Anthropic Inc. | Tabellenerkennung in anonymisierten Texten | USA | Ja |
| Authentifizierung | Supabase Inc. | Nutzer-Login, Zugangsschutz | EU (Irland) | Ja |
| E-Mail-Versand | Brevo (Sendinblue) | Einladungs- und System-E-Mails | EU (Frankreich) | Ja |
| Hosting | Vercel Inc. | Website-Hosting, CDN | EU (Frankfurt) | Ja |

## §6 Rechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen zu überprüfen.

(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die Datenschutz-Folgenabschätzung (DSFA) und das Verarbeitungsverzeichnis zur Verfügung.

## §7 Löschung

Bei Beendigung der Nutzung werden alle Daten des Auftraggebers gelöscht. Da keine personenbezogenen Daten gespeichert werden, betrifft dies ausschließlich Nutzerkontodaten (E-Mail, Name) und anonymisierte Audit-Logs.

## §8 Salvatorische Klausel

Sollte eine Bestimmung dieses Vertrages unwirksam sein, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

---

**Auftraggeber (Praxis):**

Name: _________________________
Datum: _________________________
Unterschrift: _________________________

**Auftragnehmer (LIRA):**

Name: Rejne Rittel
Datum: _________________________
Unterschrift: _________________________