Auftragsverarbeitungsvertrag
gem. Art. 28 Datenschutz-Grundverordnung (DSGVO)
Precision DNA Report – KI-gestützter Lifestyle-DNA-Analyse
Verantwortlicher (Auftraggeber)
Auftragsverarbeiter
NP Precision Consulting Lab
Inhaber: Niko Preus
Anschrift: Landsberg am Lech
Kontakt: preusconsulting@gmail.com
Datenschutz-Ansprechpartner: Niko Preus, preusconsulting@gmail.com
Vertragstext
Vertragsparteien
Verantwortlicher (Auftraggeber)
—
—
—
Auftragsverarbeiter
NP Precision Consulting Lab
Inhaber: Niko Preus
Landsberg am Lech
preusconsulting@gmail.com
Nachfolgend einzeln „Partei“ und gemeinsam „Parteien“ genannt.
§ 1 – Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Erstellung des „Precision DNA Reports“. Dabei werden vom Verantwortlichen hochgeladene DNA-Analysedaten (Nordic DNA Health® Test) KI-gestützt ausgewertet und als priorisierter Report zurückgegeben.
(2) Die Verarbeitung beginnt mit der ersten Nutzung des Dienstes und läuft auf unbestimmte Zeit. Jede Partei kann den Vertrag mit einer Frist von 30 Tagen zum Monatsende kündigen.
(3) Die Verarbeitungsdauer pro Auftrag beträgt in der Regel unter 5 Minuten. Nach Erstellung des Reports werden die hochgeladenen Daten automatisiert gelöscht.
§ 2 – Art und Zweck der Verarbeitung
(1) Zweck: Erstellung eines personalisierten DNA-Lifestyle-Reports auf Basis von Clinical Reasoning über 19 Kategorien. Der Report dient ausschließlich der Lifestyle-Optimierung und Gesundheitsprävention – er stellt keine medizinische Diagnostik im Sinne des Gendiagnostikgesetzes (GenDG) dar.
(2) Art der Verarbeitung: Erhebung (Upload), automatisierte Auswertung mittels KI (Large Language Models), Erstellung eines strukturierten Reports (PDF), anschließende Löschung der Eingabedaten.
§ 3 – Art der personenbezogenen Daten
Folgende Datenkategorien werden verarbeitet:
| Datenkategorie | Details |
|---|---|
| Genetische Daten (Art. 9 DSGVO) | SNP-Genotypen (z.B. MTHFR, COMT, CYP1A2), über 50 Genmarker aus dem Nordic DNA Health® Test |
| Identifikationsdaten | Sofern im hochgeladenen PDF enthalten (Name, Geburtsdatum, Labornummer). Das System extrahiert ausschließlich SNP-Rohdaten – Identifikationsdaten werden nicht verarbeitet oder gespeichert. |
| Gesundheitsdaten | Abgeleitete Interpretationen (Methylierungsstatus, Entgiftungskapazität, Entzündungsneigung etc.) |
Technischer Hinweis: Das System extrahiert automatisiert ausschließlich die SNP-Rohdaten aus dem hochgeladenen PDF. Personenbezogene Identifikationsdaten (Name, Geburtsdatum, Labornummer) werden weder verarbeitet noch gespeichert. Die Anonymisierung erfolgt systemseitig.
Rechtsgrundlage für besondere Kategorien (Art. 9 Abs. 2 DSGVO): Die Verarbeitung genetischer Daten erfolgt auf Grundlage der ausdrücklichen Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO), die der Verantwortliche vor dem Upload einholt, und/oder zum Zweck der Gesundheitsversorgung (Art. 9 Abs. 2 lit. h DSGVO). Der Verantwortliche ist dafür verantwortlich, eine gültige Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO sicherzustellen.
§ 4 – Kategorien betroffener Personen
Klientinnen und Klienten des Verantwortlichen, deren DNA-Analysedaten zum Zweck der Report-Erstellung hochgeladen werden.
§ 5 – Weisungsbindung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung des Dienstes (Upload eines PDF) gilt als Einzelweisung.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO).
§ 6 – Vertraulichkeit
(1) Der Auftragsverarbeiter gewährleistet, dass die mit der Verarbeitung beauftragten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Die Vertraulichkeitspflicht besteht auch nach Beendigung dieses Vertrages fort.
§ 7 – Technisch-organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter setzt folgende Maßnahmen gem. Art. 32 DSGVO um:
| Maßnahme | Umsetzung |
|---|---|
| Hosting | Microsoft Azure, Region Germany West Central (Frankfurt). ISO 27001, SOC 2 zertifiziert. |
| Verschlüsselung | TLS 1.2+ für Datenübertragung, AES-256 für ruhende Daten. |
| Zugriffskontrolle | Authentifizierter Zugang. Kein Zugriff durch Dritte auf Klientendaten. |
| Pseudonymisierung | Systemseitige Anonymisierung: Nur SNP-Rohdaten werden extrahiert und verarbeitet. Identifikationsdaten werden automatisch ignoriert und nicht gespeichert. |
| Datenminimierung | Automatische Löschung der Eingabedaten nach Report-Erstellung. |
| Qualitätssicherung | 4 Qualitäts-Ankerpunkte: Quality Gate (Score 0–100), 19-Kategorien-Garantie, medizinische Plausibilitätsprüfung, Two-Phase-Architektur. |
| Audit-Log | Quality Scores und Verarbeitungsprotokolle werden DSGVO-konform protokolliert (ohne personenbezogene Daten). |
| Verfügbarkeit / Wiederherstellung | Azure-Infrastruktur mit automatischen Backups und Geo-Redundanz. Wiederherstellung bei technischem Zwischenfall innerhalb von 24 Stunden (Art. 32 Abs. 1 lit. c DSGVO). |
| Regelmäßige Überprüfung | Die Wirksamkeit der technisch-organisatorischen Maßnahmen wird regelmäßig überprüft und bei Bedarf angepasst (Art. 32 Abs. 1 lit. d DSGVO). |
§ 8 – Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt hiermit eine allgemeine schriftliche Genehmigung für den Einsatz der nachfolgend genannten Unterauftragsverarbeiter:
| Unterauftragnehmer | Zweck | Standort / Angemessenheit |
|---|---|---|
| Microsoft Azure | Cloud-Hosting, Datenspeicherung | Germany West Central (Frankfurt), EU |
| Anthropic | KI-Verarbeitung (Claude API) | USA – EU-US Data Privacy Framework + SCCs |
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf Unterauftragsverarbeiter. Der Verantwortliche kann innerhalb von 14 Tagen schriftlich Einspruch erheben. Erfolgt kein Einspruch innerhalb der Frist, gilt die Änderung als genehmigt. Bei berechtigtem Einspruch steht dem Verantwortlichen ein Sonderkündigungsrecht zu.
(3) Der Auftragsverarbeiter stellt vertraglich sicher, dass die vereinbarten Regelungen dieses Vertrages auch gegenüber Unterauftragsverarbeitern gelten (Art. 28 Abs. 4 DSGVO). Er haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter.
§ 9 – Drittlandtransfer
(1) Soweit personenbezogene Daten in Drittländer übermittelt werden (insb. USA über die Anthropic Claude API), erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework) und/oder Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO.
(2) Ergänzende Maßnahmen: Die an die KI-API übermittelten Daten enthalten durch die systemseitige Anonymisierung keine direkten Identifikationsmerkmale.
§ 10 – Meldung von Datenpannen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden.
(2) Die Meldung enthält mindestens: (a) Beschreibung der Art der Verletzung, einschließlich der Kategorien und der geschätzten Anzahl der betroffenen Personen und Datensätze, (b) Name und Kontaktdaten des Datenschutz-Ansprechpartners, (c) Beschreibung der wahrscheinlichen Folgen der Verletzung, (d) Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung.
§ 11 – Unterstützung bei Betroffenenrechten und DSFA
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich und verhältnismäßig ist.
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und bei vorherigen Konsultationen der Aufsichtsbehörde (Art. 36 DSGVO), soweit die Verarbeitung im Rahmen dieses Vertrages betroffen ist. Dies umfasst die Bereitstellung von Informationen zur Verarbeitungslogik, zu den TOM und zur Risikobewertung (Art. 28 Abs. 3 lit. f DSGVO).
(3) Angesichts der Verarbeitung genetischer Daten (Art. 9 DSGVO) empfiehlt der Auftragsverarbeiter dem Verantwortlichen die Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 3 lit. b DSGVO.
§ 12 – Löschung und Rückgabe
(1) Hochgeladene DNA-Analysedaten werden automatisch nach Erstellung des Reports gelöscht. Eine dauerhafte Speicherung der Eingabedaten findet nicht statt.
(2) Nach Beendigung dieses Vertrages löscht der Auftragsverarbeiter alle im Zusammenhang mit dem Auftrag verarbeiteten personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.
§ 13 – Nachweise und Kontrollen
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gem. Art. 28 DSGVO zur Verfügung.
(2) Der Verantwortliche ist berechtigt, Überprüfungen durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen. Die Kosten trägt der Verantwortliche.
§ 14 – Haftung
Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Jede Partei haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird.
§ 15 – Schlussbestimmungen
(1) Dieser Vertrag unterliegt deutschem Recht.
(2) Änderungen und Ergänzungen bedürfen der Schriftform.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Dieser Vertrag tritt mit Unterzeichnung beider Parteien in Kraft.
Unterschrift
Auftragsverarbeiter
NP Precision Consulting Lab
Datum:
Verantwortlicher
Bitte hier unterschreiben
—
Datum: