Auftragsverarbeitungsvertrag (AVV) mit LetterDoc

1. Was regelt der AVV mit LetterDoc?

Wenn Sie LetterDoc als Praxis, MVZ oder andere medizinische Einrichtung nutzen, verarbeiten wir in Ihrem Auftrag personenbezogene Daten – teilweise Gesundheitsdaten – zum Zweck des Briefversands. Damit diese Verarbeitung datenschutzkonform erfolgt, schließen wir einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit Ihnen.

Der AVV beschreibt unter anderem:

• Gegenstand und Dauer der Auftragsverarbeitung
• Art und Zweck der Verarbeitung (Briefversand für Ihre Praxis / Ihr MVZ)
• Kategorien der verarbeiteten Daten und betroffenen Personen (z.B. Patient:innen, zuweisende Ärzt:innen)
• die Rolle Ihrer Praxis / Ihres MVZ als Verantwortlicher und die Rolle von LetterDoc als Auftragsverarbeiter
• welche technischen und organisatorischen Maßnahmen (TOMs) wir zum Schutz der Daten ergreifen
• ob und welche Subdienstleister (z.B. Hosting, Druck, E-Mail) eingebunden sind

2. Welche Daten und Dienstleister sind typischerweise betroffen?

Im Rahmen von LetterDoc können insbesondere folgende Datenarten verarbeitet werden:

• Stammdaten von Patient:innen (z.B. Name, Anschrift, ggf. Kontaktdaten)
• medizinische Inhalte, soweit sie in Schreiben enthalten sind (z.B. Arztbriefe, Befunde, OP-Berichte)
• Daten von zuweisenden Ärzt:innen oder Einrichtungen
• Verwaltungs- und Abrechnungsdaten (z.B. Aktenzeichen, Rechnungsnummern, interne Kennungen)

Für den Betrieb von LetterDoc und die Erbringung des Briefversands nutzen wir ausgewählte Dienstleister, u.a.:

• Amazon Web Services (AWS), Region Frankfurt für Hosting und technische Infrastruktur
• A&O Fischer GmbH für Druck, Kuvertierung und Übergabe der Sendungen an die Deutsche Post
• Deutsche Post AG für die Zustellung der Briefe an Ihre Patient:innen
• Mailjet für transaktionale E-Mails (z.B. Bestätigungen, technische Hinweise – keine Briefe!)
• Stripe für die Zahlungsabwicklung, soweit Online-Zahlungen genutzt werden
• Cloudflare Turnstile zur Absicherung von Formularen gegen Bots (Captcha)
• Google Tag Manager zur Verwaltung von Tracking-/Analyse-Tags auf der Website

Details zu Rollen, Verantwortlichkeiten und etwaigen Drittlandübermittlungen werden im AVV und in den zugehörigen Anlagen (z.B. TOM-Übersicht, Subdienstleisterliste) beschrieben.

3. Was Praxen & MVZ für ihre Unterlagen benötigen

Aus Sicht von Praxisleitung, MVZ-Management und Datenschutzbeauftragten sind in der Regel insbesondere folgende Unterlagen relevant:

• Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
• Übersicht der technischen und organisatorischen Maßnahmen (TOMs)
• Übersicht der eingesetzten Subdienstleister (z.B. Hosting, Druck, E-Mail, Zahlungsdienstleister)
• kurze Beschreibung des Datenflusses von der Praxis bis zur Zustellung des Briefes

Diese Unterlagen stellen wir auf Anfrage zur Verfügung, damit Sie sie in Ihre internen Datenschutzunterlagen und Verzeichnisse von Verarbeitungstätigkeiten aufnehmen können.

4. Wie läuft der Abschluss des AVV mit LetterDoc ab?

Der Abschluss des AVV erfolgt bewusst schlank und transparent, typischerweise in folgenden Schritten:

1. Sie nehmen Kontakt mit uns auf und teilen kurz mit, dass Sie LetterDoc nutzen bzw. testen möchten.
2. Wir stellen Ihnen den AV-Vertrag, die TOM-Übersicht und – falls gewünscht – Informationen für Ihre:n Datenschutzbeauftragte:n zur Verfügung.
3. Nach Prüfung durch Praxisleitung, Datenschutz oder IT erfolgt die Unterzeichnung des AVV (elektronisch oder schriftlich).
4. Im Anschluss richten wir Ihr Mandantenkonto ein und besprechen den konkreten Start (z.B. Testphase, Standorte, Briefarten).

5. AV-Vertrag und Unterlagen anfordern

Sie möchten LetterDoc in Ihrer Praxis oder Ihrem MVZ einsetzen oder prüfen, ob sich der Einsatz lohnt? Gerne senden wir Ihnen:

• den aktuellen Auftragsverarbeitungsvertrag (AVV)
• eine Übersicht der technischen und organisatorischen Maßnahmen
• Informationen zu den eingesetzten Subdienstleistern und zum Datenfluss