Rechtliches
Vertrag über die Auftragsverarbeitung
gemäß Art. 28 DSGVO — Nutzung der Software Upliso. Wenn Sie Upliso einsetzen und dabei personenbezogene Daten Ihrer Kundinnen und Kunden verarbeiten, verarbeiten wir diese Daten in Ihrem Auftrag.
Stand: 10. Juli 2026
wird zwischen dem Auftraggeber und dem Auftragnehmer der nachfolgende Vertrag über die Verarbeitung personenbezogener Daten im Auftrag (nachfolgend „Vereinbarung" oder „AVV") geschlossen.
Auftraggeber (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO)
Firma / Name: ________________________________________
Anschrift: ____________________________________________
Vertreten durch: ______________________________________
E-Mail / Telefon: _____________________________________
– nachfolgend „Auftraggeber" bzw. „Mandant" –
Auftragnehmer
InnovaCore UG (haftungsbeschränkt)
Goethestraße 24, 99096 Erfurt
Vertreten durch den Geschäftsführer Martin Maack
Datenschutzbeauftragter: Michael Menzel, Goethestraße 24, 99096 Erfurt
– nachfolgend „Auftragnehmer" bzw. „Anbieter" –
Präambel
Der Auftragnehmer stellt dem Auftraggeber die Software Upliso (Software-as-a-Service, erreichbar unter portal.upliso.de sowie über die zugehörigen mobilen Apps) zur Verfügung. Upliso dient der Kunden-, Vertrags- und Dokumentenverwaltung (CRM) sowie – je nach gebuchten Modulen – der KI-gestützten Transkription und Auswertung von Gesprächen und Dokumenten.
Der Auftraggeber verarbeitet mithilfe der Software personenbezogene Daten seiner eigenen Kund:innen, Interessent:innen bzw. Patient:innen und ist hinsichtlich dieser Daten Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Der Auftragnehmer verarbeitet diese Daten ausschließlich weisungsgebunden und ohne eigene Zweckbestimmung; es liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor.
Der Auftraggeber und der Auftragnehmer sind rechtlich selbstständige Personen. Diese Vereinbarung regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien und konkretisiert den zwischen ihnen bestehenden Vertrag über die Nutzung der Software (nachfolgend „Hauptvertrag").
§ 1 Gegenstand und Dauer des Auftrags
(1) Gegenstand des Auftrags ist die Bereitstellung und der Betrieb der Software Upliso als Software-as-a-Service einschließlich der damit verbundenen Speicherung und Verarbeitung der vom Auftraggeber eingegebenen personenbezogenen Daten. Die konkrete Leistung ergibt sich aus dem Hauptvertrag und den gebuchten Modulen.
(2) Die Verarbeitung umfasst sämtliche Tätigkeiten des Auftragnehmers, die eine Verarbeitung personenbezogener Daten im Sinne der DSGVO darstellen (insbesondere Erheben, Speichern, Bereithalten, Auslesen, Sichern, KI-gestütztes Verarbeiten sowie Löschen im Rahmen des Betriebs der Software).
(3) Die Vereinbarung beginnt mit ihrer beidseitigen Annahme – auch durch elektronische Bestätigung im Rahmen des Login-Prozesses – wird auf unbestimmte Zeit geschlossen und endet mit Beendigung des Hauptvertrags. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
§ 2 Art und Zweck der Verarbeitung
(1) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Verwenden (einschließlich KI-gestützter Transkription und Analyse), Übermitteln an vom Auftraggeber veranlasste Empfänger, Einschränken, Löschen und Vernichten personenbezogener Daten im Rahmen der Nutzung der Software.
(2) Zweck der Verarbeitung: Bereitstellung und Betrieb der CRM- und Dokumentationsfunktionen von Upliso für den Auftraggeber sowie – je nach gebuchten Modulen – der KI-gestützten Auswertung und Erstellung von Inhalten. Der Auftragnehmer verarbeitet die Daten ausschließlich zu diesen Zwecken und nicht für eigene Zwecke.
§ 3 Art der Daten und Kategorien betroffener Personen
Gegenstand der Verarbeitung sind – abhängig von den vom Auftraggeber genutzten Funktionen und Modulen – insbesondere folgende Datenarten:
Kategorien personenbezogener Daten
- Stammdaten (Name, Anrede, Firma, Geburtsdatum, Beruf)
- Kontaktdaten (Adresse, Telefon, Mobil, E-Mail)
- Bank-/Zahlungsdaten (IBAN, BIC, Kontoinhaber, SEPA-Mandat)
- Vertrags- und Sparten-Daten (Verträge, Beiträge, Details je Sparte)
- Steuer-/Identifikationsdaten (Steuer-ID, Staatsangehörigkeit)
- Gesprächsaufnahmen, Transkripte und KI-Analysen
- Dokumente (Uploads, erzeugte PDFs) und E-Mail-Daten
- Besondere Kategorien nach Art. 9 DSGVO (nur im Modul „Ärzte & Kliniken"): Gesundheitsdaten wie Patientenname, Diagnosen, Befunde
- Nutzer-/Zugangsdaten der Beschäftigten des Auftraggebers (Name, E-Mail, Rolle, Login-Zeiten, 2FA)
Hinweis: Werden über die Software besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet, sind hierfür eine gesonderte Rechtsgrundlage (insb. § 22 BDSG oder Einwilligung) sowie ergänzende Weisungen des Auftraggebers maßgeblich. Klassische Heilberufe außerhalb des freigeschalteten Moduls sind in der Software gesperrt.
Kategorien betroffener Personen
- Kund:innen und Interessent:innen des Auftraggebers
- Patient:innen des Auftraggebers (nur Modul „Ärzte & Kliniken")
- Beschäftigte und Ansprechpartner:innen des Auftraggebers
Art und Umfang der konkret verarbeiteten Daten bestimmt allein der Auftraggeber durch seine Eingaben und die genutzten Funktionen. Dem Auftragnehmer sind die konkreten Inhalte im Regelfall nicht bekannt; sensible Inhalte werden verschlüsselt gespeichert (§ 8, Anlage 1).
§ 4 Weisungsrecht des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Auftraggebers, es sei denn, er ist nach dem Recht der Union oder eines Mitgliedstaates zur Verarbeitung verpflichtet.
(2) Die Weisungen werden zunächst durch diesen Vertrag und den Hauptvertrag festgelegt und können danach in Textform durch Einzelweisungen geändert oder ergänzt werden. Die im Rahmen der Software vorgesehenen Konfigurations- und Bedienmöglichkeiten (z. B. Modulbuchung, Aufbewahrungsfristen, Export/Löschung) gelten als dokumentierte Weisungen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, und kann deren Umsetzung bis zur Bestätigung oder Änderung aussetzen.
§ 5 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich insbesondere:
- die Verarbeitung ausschließlich weisungsgebunden und im Rahmen dieser Vereinbarung durchzuführen und die Daten des Auftraggebers nicht für eigene Zwecke zu nutzen oder unbefugt an Dritte weiterzugeben;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen; die Vertraulichkeit besteht auch nach Beendigung des Auftrags fort;
- die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (§ 8 sowie Anlage 1) einzuhalten und dem Stand der Technik anzupassen;
- den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) im Rahmen seiner Möglichkeiten zu unterstützen;
- den Auftraggeber unverzüglich zu informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten des Auftraggebers bekannt wird, und ihn bei den erforderlichen Meldungen (Art. 33, 34 DSGVO) zu unterstützen;
- dem Auftraggeber die zur Erfüllung von Betroffenenrechten (§ 6) erforderliche Unterstützung durch geeignete technische und organisatorische Maßnahmen zu leisten;
- dem Auftraggeber alle zum Nachweis der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen zu ermöglichen (§ 9);
- einen Datenschutzbeauftragten bestellt zu haben (Herr Michael Menzel) und einen Ansprechpartner für Datenschutzfragen zu benennen.
§ 6 Rechte betroffener Personen
(1) Wendet sich eine betroffene Person mit einem Antrag (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) unmittelbar an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Auftraggeber weiter und beantwortet ihn nicht selbst.
(2) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Beantwortung solcher Anträge. Die Software stellt hierfür Werkzeuge zur Verfügung (u. a. Datenexport als ZIP sowie Anonymisierung/Löschung). Für über die vertragliche Leistung hinausgehende Unterstützung kann der Auftragnehmer eine angemessene Vergütung verlangen.
§ 7 Pflichten des Auftraggebers
(1) Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen allein verantwortlich. Dies umfasst insbesondere das Vorliegen einer Rechtsgrundlage – bei besonderen Kategorien nach Art. 9 DSGVO (Modul „Ärzte & Kliniken") einer Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO (z. B. § 22 BDSG oder ausdrückliche Einwilligung).
(2) Der Auftraggeber erteilt alle Weisungen dokumentiert und informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten in datenschutzrechtlicher Hinsicht feststellt.
(3) Der Auftraggeber ist für die von ihm vergebenen Zugangsberechtigungen, Rollen und Rechte innerhalb der Software sowie für die Sensibilisierung seiner Beschäftigten (z. B. Nutzung der 2FA, Datensparsamkeit bei Aufnahmen) verantwortlich.
§ 8 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
(1) Der Auftragnehmer trifft die zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus erforderlichen Maßnahmen nach Art. 32 DSGVO. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 1 dargestellt.
(2) Die Maßnahmen können an den Stand der Technik angepasst werden; das geschuldete Schutzniveau darf dabei nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
(3) Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit dieser Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO), u. a. durch fortlaufende Datei-Integritätsüberwachung und Audit-Logging.
§ 9 Nachweise und Kontrollen
(1) Der Auftragnehmer weist die Einhaltung der Pflichten aus Art. 28 DSGVO auf Anforderung durch geeignete Nachweise nach (z. B. Beschreibung der technischen und organisatorischen Maßnahmen, Nachweise/Zertifizierungen der eingesetzten Unterauftragnehmer wie ISO 27001, ISO 27017, ISO 27018, SOC 2 des Cloud-Anbieters).
(2) Der Auftraggeber ist berechtigt, sich von der Einhaltung dieser Vereinbarung zu überzeugen. Kontrollen sind nach rechtzeitiger Ankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs zulässig, soweit tatsächliche Anhaltspunkte dies rechtfertigen. Vorrangig erfolgt der Nachweis durch aussagekräftige Unterlagen.
(3) Für über den üblichen Umfang hinausgehende Nachweis- und Unterstützungsleistungen kann der Auftragnehmer eine angemessene Vergütung verlangen.
§ 10 Unterauftragsverhältnisse
(1) Der Auftraggeber erteilt seine allgemeine Genehmigung zum Einsatz weiterer Auftragsverarbeiter (Unterauftragnehmer). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragnehmer sind in Anlage 2 aufgeführt und werden hiermit ausdrücklich genehmigt.
(2) Der Auftragnehmer schließt mit jedem Unterauftragnehmer einen Vertrag zur Auftragsverarbeitung ab, der im Wesentlichen dieselben Datenschutzpflichten enthält, und haftet gegenüber dem Auftraggeber für deren Einhaltung (Art. 28 Abs. 4 DSGVO).
(3) Der Auftragnehmer informiert den Auftraggeber rechtzeitig über jede beabsichtigte Änderung (Hinzuziehung oder Ersetzung von Unterauftragnehmern). Der Auftraggeber kann aus wichtigem datenschutzrechtlichen Grund innerhalb angemessener Frist widersprechen.
(4) Soweit ein Unterauftragnehmer außerhalb der EU/des EWR verarbeitet, stellt der Auftragnehmer geeignete Garantien nach Art. 44 ff. DSGVO sicher (siehe Anlage 2, Abschnitt Drittlandbezug).
§ 11 Löschung und Rückgabe von Daten
(1) Nach Abschluss der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten oder gibt sie in einem gängigen Format zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Dies gilt ausdrücklich auch für vorhandene Sicherungskopien (Backups).
(2) Die Löschung ist auf Verlangen des Auftraggebers zu dokumentieren.
§ 12 Haftung
(1) Für die Haftung gelten die gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO, sowie die im Hauptvertrag vereinbarten Haftungsregelungen, soweit diese nicht gegen zwingendes Recht verstoßen.
(2) Bei Ansprüchen betroffener Personen unterstützen sich die Parteien gegenseitig bei der Aufklärung des Sachverhalts.
§ 13 Schlussbestimmungen
(1) Werden die Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter oder ein Insolvenzverfahren gefährdet, informiert der Auftragnehmer den Auftraggeber unverzüglich und weist auf die alleinige Datenhoheit des Auftraggebers hin.
(2) Änderungen und Ergänzungen bedürfen der Schrift- bzw. Textform. Dies gilt auch für die Aufhebung dieses Formerfordernisses.
(3) Widersprechen sich diese Vereinbarung und der Hauptvertrag, gehen in Bezug auf den Datenschutz die Regelungen dieser Vereinbarung vor.
(4) Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem wirtschaftlichen Zweck möglichst nahekommt.
(5) Es gilt das Recht der Bundesrepublik Deutschland.
Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Die folgenden Maßnahmen des Auftragnehmers gewährleisten ein dem Risiko angemessenes Schutzniveau. Der Betrieb erfolgt bei den in Anlage 2 genannten Unterauftragnehmern; deren Rechenzentrums- und Infrastrukturmaßnahmen sind Bestandteil dieser Maßnahmen.
1. Verschlüsselung und Pseudonymisierung (Art. 32 Abs. 1 lit. a)
- Feldverschlüsselung sensibler Datenbankfelder mit libsodium (XSalsa20-Poly1305, je Wert zufällige Nonce): u. a. Stammdaten, Bankdaten, Steuer-ID, Notizen, Gesprächs-Audio/Transkript/Analyse, Arztdokumente, E-Mail-Inhalte.
- Datei-Verschlüsselung ruhender Daten (at-rest): hochgeladene Dokumente und Audioaufnahmen werden verschlüsselt (.enc) im geschützten Speicher abgelegt.
- Blind-Index (HMAC-SHA256) für die exakte Suche über verschlüsselte Felder ohne Entschlüsselung.
- Verschlüsselte Datenübertragung (TLS): HTTPS-Zwang mit HSTS, TLS-Zertifikatsprüfung bei allen ausgehenden Verbindungen; interne Audio-Auslieferung nur über HMAC-tokengesicherte, ablaufende URLs.
- Datensparsamkeit bei Aufnahmen: im Ärzte-Modul werden Nutzer:innen per Pflicht-Hinweis aufgefordert, keine direkt identifizierenden Patientendaten in die Aufnahme zu sprechen (Pseudonymisierung).
2. Vertraulichkeit — Zugangs- und Zugriffskontrolle (Art. 32 Abs. 1 lit. b)
- Passwörter ausschließlich als bcrypt-Hash; Klartext-Passwörter werden nie gespeichert.
- Zwei-Faktor-Authentifizierung (TOTP nach RFC 6238) für Mandanten-Nutzer und Plattform-Admins; TOTP-Secrets verschlüsselt gespeichert.
- Sitzungen mit Secure/HttpOnly/SameSite-Cookies, Session-ID-Erneuerung bei Login und 2FA (Schutz gegen Session-Fixation).
- Brute-Force-Schutz (Sperren pro E-Mail und pro IP, eskalierende Verzögerung, serverseitig, nicht per Session umgehbar).
- CSRF-Schutz bei allen verändernden Anfragen; Client-IP nur aus REMOTE_ADDR.
- Betrieb in zutrittskontrollierten, zertifizierten Rechenzentren der Hosting-/Cloud-Anbieter (Zutrittskontrolle, Videoüberwachung, Bewachung).
3. Trennungskontrolle und Berechtigungen
- Strikte Mandantentrennung (Multi-Tenant): jede Datenzeile trägt eine tenant_id; das Basismodell erzwingt automatisch die Filterung auf den aktuellen Mandanten. Kein mandantenübergreifender Datenzugriff.
- Rollen- und Rechtekonzept (owner, admin, berater, innendienst) mit feingranularen Rechten pro Aktion und Sichtbarkeitsbeschränkung nur eigene Kunden.
- Getrennter Administrations-/Betreiberbereich mit eigenem Login und eigener 2FA; Modul-Gating für optionale Funktionen.
- Branchen-Sperre: klassische Heilberufe außerhalb des freigeschalteten Moduls sind nicht aktivierbar (Art. 9 DSGVO / § 203 StGB).
4. Integrität (Art. 32 Abs. 1 lit. b)
- Upload-Allowlist, Größenlimit, keine Ausführung im Upload-Ordner, Entschärfung von SVG, Bild-Validierung und Re-Encoding, Integritäts-Hash (SHA-256) je Dokument.
- Datei-Integritätsüberwachung (File Integrity Monitoring): SHA-256-Baseline aller Programm-/Konfigurationsdateien, Erkennung geänderter/neuer/gelöschter Dateien sowie Webshells; automatischer Scan bei jedem Cron-Lauf mit Alarm-E-Mail.
- Prepared Statements (Schutz vor SQL-Injection), Ausgabe-Escaping (Schutz vor XSS), SSRF-Schutz bei SMTP-/IMAP-Hostnamen, Sicherheits-Header (nosniff, X-Frame-Options, Referrer-Policy, Permissions-Policy, HSTS, Content-Security-Policy).
5. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c)
- Redundante Strom-, Kühl- und Netzanbindung sowie Brandschutz in den Rechenzentren der Anbieter; DDoS-/Firewall-Schutz; Web Application Firewall (mod_security) aktiv.
- Regelmäßige, verschlüsselte Datensicherungen mit definierten Aufbewahrungszeiträumen und Wiederherstellbarkeit.
- Cron-Heartbeat zur Ausfallerkennung der Automatik.
6. Nachvollziehbarkeit, Verfahren zur Überprüfung (Art. 32 Abs. 1 lit. d; Art. 25)
- Audit-Log sicherheits- und datenschutzrelevanter Aktionen (Anlegen/Ändern/Löschen, Ansehen sensibler Daten, Downloads, Logins); Diffs verschlüsselt.
- Soft-Delete mit Wiederherstellbarkeit; Hard-Delete dort, wo eine DSGVO-Löschung geboten ist; GoBD-konforme Aufbewahrung, je Mandant konfigurierbar.
- Regelmäßige Sicherheitsupdates (Patch- und Update-Management), Datenschutz durch Voreinstellungen und datensparsame Gestaltung (Privacy by Design/Default), Verpflichtung aller Beteiligten auf Vertraulichkeit.
Anlage 2 — Genehmigte Unterauftragnehmer
Der Auftraggeber genehmigt den Einsatz der nachfolgend aufgeführten Unterauftragnehmer (Art. 28 Abs. 2 DSGVO):
| Unterauftragnehmer | Leistung / Zweck | Standort | Grundlage |
|---|---|---|---|
| keymachine.de | Hosting der Web-Anwendung und Datenbank, Datei-Speicher | Deutschland / EU | AVV (Art. 28) |
| Hostinger | Server/VPS für die Automatisierungs-Instanz (n8n) | EU-Region | AVV / DPA (Art. 28) |
| Amazon Web Services EMEA SARL | Amazon Bedrock für KI-Analyse/-Erstellung (Anthropic Claude, EU-Inference-Profil) | EU (Frankfurt, eu-central-1) | AWS-DPA (Art. 28) |
| Deepgram, Inc. | Audio-Transkription über EU-Endpunkt (api.eu.deepgram.com); Modelltraining deaktiviert | Verarbeitung EU; Unternehmenssitz USA | AVV/DPA + SCC/DPF (Drittland) |
| SMTP-/IMAP-Anbieter (mandantenspezifisch) | E-Mail-Versand/-Empfang über den vom Auftraggeber hinterlegten Mailserver | abhängig vom Anbieter | AVV mit dem jeweiligen Anbieter |
| Apple / Google | Distribution der mobilen Apps (App Store / Google Play) | EU/USA | Plattform-Bedingungen |
| Codemagic | Cloud-Build der iOS-App (nur App-Quellcode, keine Endnutzerdaten) | EU | Auftragsverarbeitung |
Drittlandbezug: Die KI-Verarbeitung findet in der EU statt (AWS Bedrock Frankfurt; Deepgram EU-Endpunkt). Ein direkter Drittlandtransfer wie bei einer früher genutzten US-API besteht nicht. Da Deepgram ein US-Unternehmen ist, werden für ein etwaiges Restrisiko Standardvertragsklauseln bzw. das EU-US Data Privacy Framework herangezogen und ein Transfer-Impact-Assessment geführt. AWS und der Cloud-Betrieb sind durch ISO 27001, ISO 27017, ISO 27018 und SOC 2 nachgewiesen.
Änderungen: Der Auftragnehmer informiert den Auftraggeber rechtzeitig über beabsichtigte Änderungen dieser Liste. Dem Auftraggeber steht ein Widerspruchsrecht aus wichtigem datenschutzrechtlichen Grund zu (§ 10 Abs. 3).