CAREVO wird geladen...
Auftragsverarbeitung
AVV und TOM
Uebersicht fuer Kunden, die CAREVO mit personenbezogenen oder gesundheitsbezogenen Daten einsetzen. Der finale AVV muss als Vertrag mit konkreten Parteien, Unterauftragsverarbeitern und Fristen abgeschlossen werden.
Stand: Mai 2026
Rolle
CAREVO als Auftragsverarbeiter, Kunde als Verantwortlicher
Datenarten
Account-, Organisations-, Audio-, Transkript-, Dokumentations- und Auditdaten
Technik
Mandantentrennung, Zugriffsschutz, Protokollierung, private Speicherwege
Zugriff
Rollen, Organisationen und geschuetzte App-Bereiche
AVV-Struktur
Was vertraglich geregelt wird.
1. Zweck der Auftragsverarbeitung
CAREVO verarbeitet personenbezogene Daten, um Kunden Dokumentationsablaeufe, Teamverwaltung, KI-gestuetzte Entwurfserstellung, Speicherung, Freigabe, Export und Support bereitzustellen.
2. Rollenverteilung
Der Kunde ist in der Regel Verantwortlicher fuer die Daten seiner Betroffenen, Mitarbeitenden und Organisation. CAREVO handelt hinsichtlich der verarbeiteten Kundendaten als Auftragsverarbeiter, soweit keine eigene Verantwortlichkeit besteht.
3. Kategorien betroffener Personen
Betroffen sein koennen Nutzer, Mitarbeitende des Kunden, Pflegebeduerftige, Angehoerige, Kontaktpersonen und weitere Personen, die in Dokumentationsablaeufen genannt werden.
4. Kategorien personenbezogener Daten
Verarbeitet werden koennen Identifikations- und Kontaktdaten, Accountdaten, Rollen, Audioinhalte, Transkripte, Freitexte, Pflege- und Gesundheitsinformationen, SIS-nahe Inhalte, Metadaten, Auditlogs und Exportdaten.
5. Weisungen
CAREVO verarbeitet Kundendaten grundsaetzlich nur auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Pflicht entgegensteht. Produktkonfiguration, Nutzung der Anwendung und Supportanfragen koennen Weisungen konkretisieren.
6. Unterauftragsverarbeiter
Unterauftragsverarbeiter muessen vor Go-live final gelistet werden. Erwartete Kategorien sind Hosting, Datenbank, Storage, Authentifizierung, KI-Verarbeitung, Fehleranalyse und gegebenenfalls Abrechnung.
7. Technische und organisatorische Massnahmen
Zu den vorgesehenen Massnahmen gehoeren Zugriffskontrolle, rollenbasierte Berechtigungen, Organisationsgrenzen, geschuetzte Speicherbereiche, Auditlogs, Transportverschluesselung, kontrollierte Admin-Zugriffe, Backup- und Wiederherstellungsprozesse sowie Incident-Prozesse.
8. Loeschung und Rueckgabe
Nach Vertragsende werden Kundendaten nach Weisung geloescht oder in geeigneter Form bereitgestellt, soweit keine gesetzlichen Pflichten oder berechtigten Nachweiszwecke entgegenstehen. Konkrete Fristen muessen vertraglich festgelegt werden.
9. Unterstuetzung des Kunden
CAREVO unterstuetzt Kunden im erforderlichen Umfang bei Betroffenenrechten, Sicherheitsvorfaellen, Datenschutz-Folgenabschaetzungen und Nachweisen, soweit die Informationen im Verantwortungsbereich von CAREVO liegen.
10. Audit und Nachweise
Kunden erhalten angemessene Nachweise zur Einhaltung der vereinbarten Massnahmen. Umfang, Form und Frequenz von Audits muessen im finalen AVV geregelt werden.
TOM
Technische und organisatorische Massnahmen.
Zugriffskontrolle
Login, Supabase Auth, geschuetzte Routen, Rollen und Organisationskontext
Zugangskontrolle
Private Storage-Pfade, service role nur serverseitig, RLS-Policies und API-Kontext
Weitergabekontrolle
Kontrollierte Exporte, Auditlogs, keine oeffentlichen Audio- oder PDF-Pfade
Eingabekontrolle
Protokollierung von Erstellung, Bearbeitung, Freigabe, Export und Teamaktionen
Mandantentrennung
Organisation-ID in Datenmodell, RLS und serverseitiger Auth-Kontext
Verfuegbarkeit
Backup-, Restore-, Monitoring- und Incident-Prozesse laut Compliance-Dokumentation finalisieren
Datenschutz by Design
Freigabe vor Export, Entwuerfe statt automatische Enddokumentation, klare Nutzerverantwortung