Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag für Stenoly

Zuletzt aktualisiert · Zuletzt aktualisiert: 06.06.2026
01

Parteien und Zweck

Dieser Auftragsverarbeitungsvertrag («Vertrag») wird abgeschlossen zwischen:

  • Verantwortlicher: die juristische Person, die Stenoly zur Verarbeitung personenbezogener Daten nutzt.
  • Auftragsverarbeiter: Stenoly AS («Stenoly»), die den Stenoly-Dienst bereitstellt.

Zweck des Vertrags ist die Regelung der Verarbeitung personenbezogener Daten gemäss DSGVO, wobei Stenoly als Auftragsverarbeiter handelt und der Verantwortliche für die Rechtsgrundlage der Verarbeitung verantwortlich ist.

02

Begriffsbestimmungen

  • Personenbezogene Daten: Informationen, die eine natürliche Person direkt oder indirekt identifizieren können.
  • Verarbeitung: jeder mit personenbezogenen Daten ausgeführte Vorgang.
  • Auftragsverarbeiter: Stenoly, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
03

Umfang und Weisungen für die Verarbeitung

Weisungen

Stenoly verarbeitet personenbezogene Daten ausschliesslich nach Weisung des Verantwortlichen. Die Verantwortung für die Rechtsgrundlage der Verarbeitung liegt beim Verantwortlichen.

Umfang und Kategorien

  • Zweck: Dokumentation von Krankenakten während Konsultationen.
  • Kategorien betroffener Personen: Patienten, Klienten, Kunden oder andere Personen, mit denen der Verantwortliche eine Konsultation führt.
  • Arten personenbezogener Daten: hängen davon ab, was der Verantwortliche an Stenoly weitergibt. Stenoly empfiehlt dem Verantwortlichen, die Datenmenge zu minimieren. Der Dienst kann auch ganz ohne Weitergabe personenbezogener Daten an Stenoly genutzt werden.
04

Vertraulichkeit

Stenoly verpflichtet sich zur Vertraulichkeit; alle Mitarbeitenden und Unterauftragsverarbeiter, die Daten verarbeiten, sind zur Vertraulichkeit verpflichtet. Die Informationen werden ohne ausdrückliche Erlaubnis des Verantwortlichen nicht an Dritte weitergegeben.

05

Sicherheitsmassnahmen

Technische Massnahmen

Stenoly setzt geeignete technische und organisatorische Massnahmen zum Schutz personenbezogener Daten um, darunter:

  • Verschlüsselung von Daten bei Speicherung und Übertragung.
  • Sichere Server in der EU/im EWR (europäische Cloud-Plattformen).
  • Zugangskontrollen, um den Zugang auf befugte Personen zu beschränken.

Verarbeitung und Speicherung

Stenoly verarbeitet personenbezogene Daten ausschliesslich nach Weisung des Verantwortlichen, und Daten werden auf sicheren Servern in Übereinstimmung mit der DSGVO gespeichert.

06

Einsatz von Unterauftragsverarbeitern

Stenoly kann Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen. Jeder Unterauftragsverarbeiter unterliegt denselben Datenschutzpflichten, die in diesem Auftragsverarbeitungsvertrag festgelegt sind. Eine aktuelle Liste der Unterauftragsverarbeiter von Stenoly ist in unserer Datenschutzerklärung veröffentlicht und kann ausserdem auf Anfrage zur Verfügung gestellt werden. Stenoly informiert den Verantwortlichen vor der Hinzunahme oder dem Austausch eines Unterauftragsverarbeiters und gibt dem Verantwortlichen eine angemessene Möglichkeit, Einwände zu erheben.

Infrastruktur & Hosting

NeonEU · Frankfurt

Datenbank-Hosting.

Konten, Konsultationen, Notizen, Abrechnung.

VercelEU · Stockholm

Anwendungs-Hosting und Datei-Uploads.

Website-Datenverkehr; hochgeladene Dokumente.

KI-Verarbeitung klinischer Daten

Google Cloud (Vertex AI)EU (Multi-Region)

KI-Notizgenerierung.

Konsultationstranskripte und Notizen.

Microsoft AzureEU · Schweden

KI-Diktat und Notizverarbeitung.

Klinischer Text.

SpeechmaticsEU/EWR

Sprache-zu-Text-Transkription.

Konsultations-Audio, transkribiert und nicht gespeichert.

Mistral AIEU · Frankreich

Textextraktion aus Dokumenten.

Hochgeladene Dokumente.

Authentifizierung

SignicatEU/EWR

Authentifizierung (BankID, Buypass, E-Mail).

Identitäts- und Anmeldeprüfung.

KIS-Integration

PridokNorwegen

Übermittlung fertiger Notizen an die elektronische Krankenakte.

An die elektronische Krankenakte gesendete Notizen.

Geschäft & Abrechnung

HubSpotEU · Irland

Kundenbeziehungsmanagement.

Kontaktdaten des Kontos. Keine klinischen Daten.

StripeEU / global

Abonnementabrechnung.

Abrechnungsdaten. Keine klinischen Daten.

Google WorkspaceEU/EWR

Geschäftliche E-Mail.

E-Mail-Korrespondenz.

Kundensupport

ChatwootEU (selbst gehostet)

Kundensupport-Chat.

Support-Nachrichten und Kontaktdaten.

Website-Analyse

Diese laufen ausschliesslich auf unserer Marketing-Website und erhalten niemals Patienten- oder klinische Daten.

Google Analytics & Tag ManagerWebsite-Datenverkehrsanalyse und Tag-Management.
Meta PixelMessung von Marketingkampagnen.

Alle Unterauftragsverarbeiter, die personenbezogene oder klinische Daten verarbeiten, tun dies innerhalb der EU/des EWR im Rahmen unterzeichneter Auftragsverarbeitungsverträge.

07

Auskunft, Berichtigung und Löschung

Stenoly unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen. Die Verantwortung für die Beantwortung solcher Anfragen liegt beim Verantwortlichen.

08

Umgang mit Sicherheitsverletzungen

Meldung

Stenoly meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden, entsprechend Art. 33 DSGVO.

Inhalt der Meldung

Die Meldung enthält:

  • Beschreibung der Verletzung
  • Mögliche Folgen
  • Massnahmen von Stenoly zum Umgang mit der Verletzung
  • Empfehlungen zur Information betroffener Personen und zuständiger Datenschutzbehörden
09

Datenübermittlung ausserhalb der EU/des EWR

Stenoly übermittelt personenbezogene Daten nicht ausserhalb der EU/des EWR ohne schriftliche Zustimmung des Verantwortlichen. Etwaige Übermittlungen erfolgen in Übereinstimmung mit der DSGVO.

10

Verfügbarkeit und Betriebszeit

Stenoly strebt eine hohe Verfügbarkeit an, garantiert jedoch keine ununterbrochene Betriebszeit. Stenoly haftet nicht für Verluste, die durch Nichtverfügbarkeit entstehen; Wartungen können ohne Vorankündigung erfolgen.

11

Rückgabe und Löschung von Daten

Bei Beendigung des Vertrags werden personenbezogene Daten von Stenoly nach den Wünschen des Verantwortlichen gelöscht oder zurückgegeben. Eine Löschbestätigung kann auf Anfrage bereitgestellt werden.

12

Pflichten des Verantwortlichen

Der Verantwortliche:

  • Stellt sicher, dass eine Rechtsgrundlage für die Verarbeitung besteht.
  • Informiert betroffene Personen über die Verarbeitung ihrer Daten.
  • Erteilt Stenoly Weisungen zur Verarbeitung.
  • Setzt etwaige Weisungen zu Auskunft, Berichtigung und Löschung um.
13

Haftung und Schadenersatz

Stenoly ist nicht für die Pflichten des Verantwortlichen nach DSGVO verantwortlich. In jedem Fall haftet Stenoly nur für Schäden, die aus einer Verletzung des Vertrags oder der DSGVO entstehen, und der Höhe nach begrenzt auf den Betrag, den der Verantwortliche in den letzten 12 Monaten für den Dienst gezahlt hat. Die Parteien verpflichten sich, im Falle von Schadenersatzforderungen zusammenzuarbeiten.

14

Beendigung

Der Vertrag gilt, solange Stenoly personenbezogene Daten für den Verantwortlichen verarbeitet. Bei Beendigung werden alle Daten zurückgegeben oder gelöscht.

15

Anwendbares Recht und Streitbeilegung

Dieser Vertrag unterliegt norwegischem Recht; Streitigkeiten werden vom Bezirksgericht Oslo entschieden.