Geschäftspartnervertrag

HIPAA-Konformitätsvereinbarung für geschützte Gesundheitsdaten

Gültigkeitsdatum: Bei Annahme
Version: baa_v2025-10-17

Vertragsparteien

Betroffene Einrichtung: Die Zahnarztpraxis oder Gesundheitseinrichtung, die Dienstleistungen in Anspruch nimmt („betroffene Einrichtung“)

Geschäftspartner: Dental Education, Inc., firmierend als Intake.Dental („Geschäftspartner“)

Produkt/Dienstleistung: Dental Forms Pro – Cloud-basierte Dienstleistungen für die Patientenaufnahme, Verwaltung von Gesundheitsdaten und Speicherung geschützter Gesundheitsdaten (PHI)

Erwägungsgründe

IN ANBETRACHT DESSEN, dass das betroffene Unternehmen ein Gesundheitsdienstleister ist, der dem Health Insurance Portability and Accountability Act von 1996 („HIPAA“), dem Health Information Technology for Economic and Clinical Health Act („HITECH Act“) und den damit verbundenen Vorschriften (zusammenfassend als „HIPAA-Vorschriften“ bezeichnet) unterliegt;

IN ANBETRACHT DESSEN, dass der Geschäftspartner Cloud-basierte Softwaredienste anbietet, die die Erstellung, den Empfang, die Pflege, die Übertragung oder den Zugriff auf geschützte Gesundheitsdaten im Auftrag des betroffenen Unternehmens umfassen;

IN ANBETRACHT DESSEN, dass die HIPAA-Vorschriften von betroffenen Einrichtungen verlangen, mit Geschäftspartnern eine Geschäftspartnervereinbarung abzuschließen, um angemessene Schutzmaßnahmen für geschützte Gesundheitsdaten zu gewährleisten;

Daher vereinbaren die Parteien unter Berücksichtigung der nachstehenden gegenseitigen Zusagen und unter Berücksichtigung anderer wichtiger und wertvoller Gegenleistungen Folgendes:

1. Definitionen

Die in dieser Vereinbarung verwendeten, aber nicht anderweitig definierten Begriffe haben dieselbe Bedeutung wie die Begriffe in den HIPAA-Vorschriften (45 CFR Teile 160 und 164).

1.1 Geschützte Gesundheitsdaten (Protected Health Information, PHI): Gemäß der Definition in 45 CFR § 160.103 sind dies individuell identifizierbare Gesundheitsdaten, die über elektronische Medien übertragen, in elektronischen Medien gespeichert oder in anderer Form oder auf anderen Medien übertragen oder gespeichert werden. Zu den PHI gehören unter anderem Patientennamen, Adressen, Geburtsdaten, Sozialversicherungsnummern, Krankenaktennummern, Krankenkassennummern, Kontonummern, Fotos, biometrische Identifikatoren und alle anderen eindeutigen Identifikationsnummern, Merkmale oder Codes sowie Gesundheitsdaten, die sich auf die vergangene, gegenwärtige oder zukünftige körperliche oder geistige Gesundheit oder den Zustand einer Person, die Gesundheitsversorgung einer Person oder die vergangenen, gegenwärtigen oder zukünftigen Zahlungen für die Gesundheitsversorgung einer Person beziehen.

1.2 Sicherheitsvorfall: Der versuchte oder erfolgreiche unbefugte Zugriff, die unbefugte Nutzung, Offenlegung, Änderung oder Zerstörung von Informationen oder die Störung des Systembetriebs in einem Informationssystem.

1.3 Verstoß: Der Erwerb, der Zugriff, die Nutzung oder die Offenlegung von PHI in einer Weise, die gemäß der Datenschutzverordnung nicht zulässig ist und die Sicherheit oder Vertraulichkeit der PHI gemäß 45 CFR § 164.402 gefährdet, mit Ausnahme von Offenlegungen, bei denen die Wahrscheinlichkeit gering ist, dass die PHI gefährdet wurde.

1.4 Elektronisch geschützte Gesundheitsdaten (ePHI): PHI, die über elektronische Medien übertragen oder in diesen gespeichert werden.

1.5 Gesetzlich vorgeschrieben: Eine gesetzliche Verpflichtung, die ein Unternehmen zur Verwendung oder Offenlegung von PHI zwingt und vor Gericht durchsetzbar ist.

1.6 Subunternehmer: Eine Person oder Organisation, an die der Geschäftspartner eine Funktion, Tätigkeit oder Dienstleistung delegiert, die nicht in die Zuständigkeit eines Mitarbeiters des Geschäftspartners fällt.

2. Pflichten und Tätigkeiten des Geschäftspartners

2.1 Standards für Datenspeicherung und -sicherheit

Der Geschäftspartner muss alle PHI ausschließlich in sicheren, verschlüsselten Umgebungen mit den folgenden Sicherheitsvorkehrungen speichern:

2.1.1 Verschlüsselungsanforderungen:

  • Verschlüsselung im Ruhezustand mit AES-256 oder einer gleichwertigen Verschlüsselung nach Industriestandard
  • Verschlüsselung während der Übertragung mit TLS 1.2 oder höher für alle Datenübertragungen
  • Verschlüsselte Backups mit dem gleichen Schutzniveau wie Produktionsdaten

2.1.2 Zugriffskontrollen:

  • Rollenbasierte Zugriffskontrolle (RBAC), die den Zugriff auf PHI ausschließlich auf autorisiertes Personal beschränkt
  • Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugriffe erforderlich
  • Eindeutige Benutzerkennungen für alle Personen mit Zugriff auf ePHI
  • Automatische Abmeldung nach einer bestimmten Zeit der Inaktivität
  • Notfallzugangsverfahren mit Prüfpfad

2.1.3 Sicherheitsüberwachung:

  • Regelmäßige Sicherheitsaudits und Schwachstellenanalysen (mindestens einmal jährlich)
  • Kontinuierliche Überwachung auf unbefugte Zugriffsversuche
  • Einbruchserkennungs- und -verhinderungssysteme
  • Regelmäßige Sicherheitspatches und Updates für alle Systeme

2.2 Zulässige Verwendung und Weitergabe von PHI

2.2.1 Der Geschäftspartner darf PHI nur gemäß den Bestimmungen dieser Vereinbarung oder gemäß den gesetzlichen Bestimmungen verwenden und offenlegen.

2.2.2 Der Geschäftspartner darf PHI für die ordnungsgemäße Verwaltung und Administration der Dienstleistungen des Geschäftspartners verwenden, einschließlich:

  • Hosting, Speicherung und Sicherung von Patientenaufnahmeformularen und Krankengeschichten
  • Weiterleitung von PHI an betroffene Stellen über sichere, zeitlich begrenzte Links
  • Technischer Support und Fehlerbehebung, wenn dies ausdrücklich von der betroffenen Einrichtung angefordert wird
  • Systemwartung und Leistungsoptimierung

2.2.3 Der Geschäftspartner darf PHI nur dann für die ordnungsgemäße Verwaltung und Administration des Geschäftspartners offenlegen, wenn:

  • Die Offenlegung ist gesetzlich vorgeschrieben; oder
  • Der Geschäftspartner erhält von der Person, an die die Informationen weitergegeben werden, angemessene Zusicherungen, dass diese vertraulich behandelt und nur gemäß den gesetzlichen Bestimmungen oder für den Zweck, für den sie an die Person weitergegeben wurden, verwendet oder weitergegeben werden, und die Person benachrichtigt den Geschäftspartner über alle ihr bekannten Fälle, in denen die Vertraulichkeit der Informationen verletzt wurde.

2.2.4 Der Geschäftspartner kann PHI gemäß 45 CFR § 164.514(a)-(c) anonymisieren und diese anonymisierten Daten für Systemverbesserungen, Analysen und Qualitätssicherungszwecke verwenden. Der Geschäftspartner darf nicht versuchen, anonymisierte Informationen wieder zu identifizieren.

2.2.5 Verbotene Nutzung: Der Geschäftspartner darf NICHT:

  • Verwendung von PHI zu Marketingzwecken ohne ausdrückliche schriftliche Genehmigung der betroffenen Einrichtung
  • Verkauf von PHI oder Verwendung von PHI für kommerzielle Zwecke, die nicht in direktem Zusammenhang mit der Erbringung von Dienstleistungen stehen
  • Weitergabe von PHI an externe Analysedienste, KI-Trainingsmodelle oder maschinelle Lernsysteme ohne ausdrückliche schriftliche Genehmigung
  • Weitergabe von PHI an Dritte, die nicht durch eine nachgelagerte Geschäftspartnervereinbarung abgedeckt sind

2.3 Mindestanforderungen

Der Geschäftspartner beschränkt die Verwendung, Offenlegung oder Anforderung von PHI gemäß 45 CFR § 164.502(b) und § 164.514(d) auf das zur Erreichung des beabsichtigten Zwecks erforderliche Mindestmaß.

2.4 Angemessene Schutzmaßnahmen

Der Geschäftspartner muss angemessene administrative, physische und technische Sicherheitsvorkehrungen treffen, die die Vertraulichkeit, Integrität und Verfügbarkeit der ePHI, die er im Auftrag der betroffenen Einrichtung erstellt, empfängt, verwaltet oder übermittelt, in Übereinstimmung mit 45 CFR Teil 164, Unterabschnitt C (die Sicherheitsvorschrift) angemessen und angemessen schützen.

2.5 Meldepflichten

2.5.1 Benachrichtigung bei Verstößen: Der Geschäftspartner muss der betroffenen Einrichtung jeden ihm bekannt gewordenen Verstoß gegen die Sicherheit ungeschützter PHI innerhalb von fünf (5) Werktagen nach Entdeckung oder, falls dies nach geltendem Recht erforderlich ist, früher melden. Die Benachrichtigung muss, soweit möglich, Folgendes enthalten:

  • Eine Beschreibung des Verstoßes, einschließlich des Datums des Verstoßes und des Datums der Entdeckung
  • Identifizierung der Personen, deren PHI während der Datenschutzverletzung abgerufen, erworben, verwendet oder offengelegt wurde oder bei der davon auszugehen ist, dass dies geschehen ist.
  • Eine Beschreibung der Arten der betroffenen PHI (z. B. vollständiger Name, Sozialversicherungsnummer, Geburtsdatum, Nummer der Krankenakte)
  • Eine kurze Beschreibung der Maßnahmen, die der Geschäftspartner ergreift, um den Verstoß zu untersuchen, Schäden für Einzelpersonen zu mindern und vor weiteren Verstößen zu schützen.
  • Kontaktinformationen für Personen, die Fragen stellen oder weitere Informationen erhalten möchten

2.5.2 Meldung von Sicherheitsvorfällen: Der Geschäftspartner meldet Sicherheitsvorfälle auf Anfrage oder wie anderweitig vereinbart an das betroffene Unternehmen. Der Geschäftspartner und die betroffene Einrichtung erkennen an, dass dieser Abschnitt eine Mitteilung des Geschäftspartners an die betroffene Einrichtung über das fortdauernde Vorhandensein und Auftreten von versuchten, aber erfolglosen Sicherheitsvorfällen (wie erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und Malware, die nicht zum Zugriff auf ePHI führt) darstellt. Der Geschäftspartner muss erfolgreiche Sicherheitsvorfälle innerhalb desselben Zeitraums wie Verstöße melden.

2.5.3 Unsachgemäße Verwendung oder Offenlegung: Der Geschäftspartner muss der betroffenen Einrichtung jede Verwendung oder Offenlegung von PHI, die nicht in dieser Vereinbarung vorgesehen ist, innerhalb von fünf (5) Werktagen nach Bekanntwerden dieser Verwendung oder Offenlegung melden.

2.6 Vereinbarungen mit Subunternehmern

2.6.1 Der Geschäftspartner stellt sicher, dass alle Subunternehmer, die im Auftrag des Geschäftspartners PHI erstellen, empfangen, verwalten oder übertragen, sich schriftlich zu denselben Einschränkungen, Bedingungen und Anforderungen verpflichten, die für den Geschäftspartner in Bezug auf diese PHI gelten.

2.6.2 Zu den derzeitigen Subunternehmern gehören:

  • Amazon Web Services (AWS) – Cloud-Hosting und Speicherinfrastruktur
  • Supabase – Datenbankdienste
  • E-Mail-Dienstleister für die sichere Übermittlung von PHI

2.6.3 Der Geschäftspartner muss mit allen Subunternehmern, die PHI verarbeiten, gültige Geschäftspartnervereinbarungen abschließen und aufrechterhalten und der betroffenen Einrichtung auf begründete Anfrage Kopien dieser Vereinbarungen zur Verfügung stellen.

2.6.4 Der Geschäftspartner muss die betroffene Einrichtung innerhalb von dreißig (30) Tagen nach einer Änderung über alle Änderungen bei den Subunternehmern informieren.

2.7 Zugang zu PHI

2.7.1 Innerhalb von zehn (10) Werktagen nach einer Anfrage durch das betroffene Unternehmen stellt der Geschäftspartner dem betroffenen Unternehmen oder, gemäß den Anweisungen des betroffenen Unternehmens, einer Person die PHI in einem bestimmten Datensatz, der vom oder für den Geschäftspartner geführt wird, zu dem vom betroffenen Unternehmen festgelegten Zeitpunkt und in der vom betroffenen Unternehmen festgelegten Weise zur Verfügung, damit das betroffene Unternehmen seinen Verpflichtungen gemäß 45 CFR § 164.524 nachkommen kann.

2.7.2 Wenn der Geschäftspartner einen elektronischen Datensatz führt, muss er die PHI in elektronischer Form bereitstellen, damit die betroffene Einrichtung ihre Verpflichtungen gemäß 45 CFR § 164.524(c)(2)(ii) erfüllen kann.

2.8 Änderung von PHI

Innerhalb von zehn (10) Werktagen nach Erhalt einer Anfrage von der betroffenen Einrichtung muss der Geschäftspartner die in einem bestimmten Datensatz gespeicherten PHI zur Änderung bereitstellen und alle Änderungen an den PHI gemäß 45 CFR § 164.526 in einen bestimmten Datensatz auf Anweisung der betroffenen Einrichtung aufnehmen.

2.9 Bilanzierung von Angaben

2.9.1 Der Geschäftspartner muss alle Offenlegungen von PHI und Informationen im Zusammenhang mit solchen Offenlegungen dokumentieren, die erforderlich sind, damit die betroffene Einrichtung gemäß 45 CFR § 164.528 auf eine Anfrage einer Person nach einer Aufstellung der Offenlegungen reagieren kann.

2.9.2 Innerhalb von zehn (10) Werktagen nach Benachrichtigung durch die betroffene Einrichtung, dass sie eine Anfrage zur Aufstellung der Offenlegungen von PHI erhalten hat, stellt der Geschäftspartner der betroffenen Einrichtung die Informationen zur Verfügung, die sich im Besitz des Geschäftspartners befinden und die die betroffene Einrichtung benötigt, um die gemäß 45 CFR § 164.528 erforderliche Aufstellung zu erstellen.

2.9.3 Der Geschäftspartner muss die Buchhaltungsunterlagen mindestens sechs (6) Jahre ab dem Datum der Offenlegung aufbewahren.

2.10 Zugang zu Büchern und Aufzeichnungen

Der Geschäftspartner stellt dem Minister für Gesundheit und Soziales seine internen Praktiken, Bücher und Aufzeichnungen in Bezug auf die Verwendung und Offenlegung von PHI, die er von der betroffenen Einrichtung erhalten oder im Namen dieser erstellt oder erhalten hat, zur Verfügung, damit dieser die Einhaltung der HIPAA-Vorschriften durch die betroffene Einrichtung zu dem vom Minister festgelegten Zeitpunkt und in der von ihm festgelegten Weise überprüfen kann.

2.11 Einhaltung des HITECH-Gesetzes

Der Geschäftspartner hat die geltenden Anforderungen des HITECH Act und die darunter erlassenen Vorschriften einzuhalten, einschließlich, aber nicht beschränkt auf:

  • Beschränkungen für den Verkauf von PHI (42 U.S.C. § 17935(d))
  • Marketingbeschränkungen (42 U.S.C. § 17936(a))
  • Rechnungslegung über Offenlegungen (42 U.S.C. § 17935(c))
  • Benachrichtigungspflichten im Falle einer Verletzung (42 U.S.C. § 17932)

3. Pflichten der betroffenen Einrichtung

3.1 Hinweis zum Datenschutz

Das betroffene Unternehmen stellt dem Geschäftspartner eine Kopie seiner Datenschutzerklärung und aller Änderungen daran zur Verfügung, soweit diese Erklärung oder Änderungen die zulässigen oder erforderlichen Verwendungen und Offenlegungen des Geschäftspartners betreffen.

3.2 Erlaubnis zur Nutzung oder Offenlegung

Die betroffene Einrichtung darf vom Geschäftspartner nicht verlangen, PHI in einer Weise zu verwenden oder offenzulegen, die gemäß der Datenschutzverordnung nicht zulässig wäre, wenn sie von der betroffenen Einrichtung vorgenommen würde, außer in den gemäß 45 CFR §§ 164.504(e)(2) und 164.504(e)(3) zulässigen Fällen.

3.3 Einschränkungen hinsichtlich der Nutzung und Weitergabe

Die betroffene Einrichtung muss den Geschäftspartner über alle Beschränkungen hinsichtlich der Verwendung oder Offenlegung von PHI informieren, denen die betroffene Einrichtung gemäß 45 CFR § 164.522 zugestimmt hat, soweit diese Beschränkungen die Verwendung oder Offenlegung von PHI durch den Geschäftspartner betreffen.

3.4 Zulässige Anträge

Die betroffene Einrichtung versichert und garantiert, dass alle dem Geschäftspartner zur Verfügung gestellten PHI oder PHI, die der Geschäftspartner im Auftrag der betroffenen Einrichtung erstellt oder erhält, in Übereinstimmung mit den HIPAA-Vorschriften erfolgt.

4. Laufzeit und Kündigung

4.1 Laufzeit

Diese Vereinbarung tritt an dem Tag in Kraft, an dem die betroffene Einrichtung diese Bedingungen (elektronisch oder schriftlich) akzeptiert, und bleibt in Kraft, bis alle von der betroffenen Einrichtung an den Geschäftspartner übermittelten oder vom Geschäftspartner im Auftrag der betroffenen Einrichtung erstellten, empfangenen oder verwahrten PHI vernichtet oder an die betroffene Einrichtung zurückgegeben wurden oder, falls eine Rückgabe oder Vernichtung der PHI nicht möglich ist, werden die Schutzmaßnahmen für diese PHI gemäß den Kündigungsbestimmungen in diesem Abschnitt verlängert.

4.2 Kündigung aus wichtigem Grund

4.2.1 Die betroffene Einrichtung kann diese Vereinbarung nach schriftlicher Mitteilung an den Geschäftspartner mit sofortiger Wirkung kündigen, wenn die betroffene Einrichtung feststellt, dass der Geschäftspartner gegen eine wesentliche Bestimmung dieser Vereinbarung verstoßen hat und den Verstoß nicht innerhalb von dreißig (30) Tagen nach Erhalt der schriftlichen Mitteilung über den Verstoß durch die betroffene Einrichtung behoben hat.

4.2.2 Der Geschäftspartner kann diese Vereinbarung nach schriftlicher Mitteilung mit sofortiger Wirkung kündigen, wenn die betroffene Einrichtung gegen eine wesentliche Bestimmung verstoßen hat und den Verstoß nicht innerhalb von dreißig (30) Tagen nach Erhalt der schriftlichen Mitteilung behoben hat.

4.2.3 Jede Partei kann diese Vereinbarung mit sofortiger Wirkung schriftlich kündigen, wenn die andere Partei Gegenstand eines Insolvenzantrags wird, zahlungsunfähig wird oder eine Abtretung zugunsten der Gläubiger vornimmt.

4.3 Wirkung der Kündigung

4.3.1 Rückgabe oder Vernichtung von PHI:

Bei Beendigung dieser Vereinbarung aus irgendeinem Grund hat der Geschäftspartner:

a) Abrufzeitraum: Der betroffenen Einrichtung sind dreißig (30) Tage Zeit gegeben, um alle PHI aus den Systemen des Geschäftspartners abzurufen oder zu exportieren. Während dieses Zeitraums hat der Geschäftspartner:

  • Gewährleistung des uneingeschränkten Zugriffs für die betroffene Einrichtung auf alle PHI
  • Technische Unterstützung für den Datenexport bereitstellen
  • Daten in gängigen, maschinenlesbaren Formaten anbieten
  • Keine zusätzlichen Gebühren für den Standard-Datenexport

b) Vernichtung: Nach Ablauf der dreißigtägigen (30) Abrufungsfrist hat der Geschäftspartner:

  • Alle PHI in allen Formen (elektronisch und physisch) dauerhaft löschen oder vernichten
  • Alle Speichermedien, die PHI enthalten, gemäß den Richtlinien der NIST Special Publication 800-88 für die Medienbereinigung sicher überschreiben.
  • Löschen Sie alle PHI aus den Backup-Systemen innerhalb von neunzig (90) Tagen oder beim nächsten Backup-Zyklus.
  • Stellen Sie der betroffenen Einrichtung innerhalb von zehn (10) Tagen nach Abschluss eine schriftliche Bescheinigung über die Vernichtung aus.

4.3.2 Unmöglichkeit der Rückgabe oder Vernichtung:

Wenn der Geschäftspartner feststellt, dass die Rückgabe oder Vernichtung der PHI nicht möglich ist, muss der Geschäftspartner:

  • Stellen Sie der betroffenen Einrichtung eine schriftliche Mitteilung zur Verfügung, in der Sie die konkreten Gründe darlegen, warum eine Rückgabe oder Vernichtung nicht möglich ist.
  • Erweitern Sie den Schutz dieser Vereinbarung auf solche PHI.
  • Beschränken Sie die weitere Verwendung und Offenlegung solcher PHI auf diejenigen Zwecke, die eine Rückgabe oder Vernichtung unmöglich machen.
  • Diese PHI nicht für andere Zwecke verwenden oder offenlegen

Beispiele für die Unmöglichkeit sind unter anderem: gesetzliche oder behördliche Anforderungen zur Aufbewahrung von Unterlagen, technische Einschränkungen von Backup-Systemen oder laufende Rechtsstreitigkeiten oder behördliche Untersuchungen.

4.4 Überleben

Die Verpflichtungen des Geschäftspartners gemäß Abschnitt 4.3 (Wirkung der Kündigung) und Abschnitt 7 (Haftung und Freistellung) bestehen auch nach Beendigung dieser Vereinbarung fort.

5. Prüfungsrechte

5.1 Anfragen nach Unterlagen

Nach einer angemessenen schriftlichen Ankündigung (mindestens fünfzehn (15) Werktage im Voraus) kann das betroffene Unternehmen vom Geschäftspartner verlangen, dass er Unterlagen zu seinen Sicherheitsrichtlinien, Verschlüsselungskontrollen, Prüfprotokollen, Schulungsunterlagen für Mitarbeiter und Unterauftragnehmer-Geschäftspartner-Vereinbarungen vorlegt, um die Einhaltung dieser Vereinbarung durch den Geschäftspartner zu überprüfen.

5.2 Prüfungsmethoden

Der Geschäftspartner kann die Audit-Anforderungen durch eine der folgenden Methoden erfüllen:

  • Schriftliche Zusammenfassungen von Sicherheitskontrollen, Richtlinien und Verfahren
  • Compliance-Berichte von Drittanbietern (z. B. SOC 2 Typ II, HITRUST-Zertifizierung, ISO 27001)
  • Auszüge aus dem Audit-Protokoll für bestimmte Zeiträume (soweit möglich anonymisiert)
  • Virtuelle oder persönliche Inspektion von Anlagen und Systemen nach gegenseitiger Vereinbarung von Termin und Umfang

5.3 Häufigkeit der Audits

Das betroffene Unternehmen kann höchstens einmal pro Kalenderjahr Audits beantragen, es sei denn:

  • Es ist ein Verstoß oder Sicherheitsvorfall aufgetreten.
  • Gesetzlich oder behördlich vorgeschrieben
  • Das betroffene Unternehmen hat berechtigten Grund zu der Annahme, dass der Geschäftspartner die Vorschriften nicht einhält.

5.4 Prüfungskosten

Jede Partei trägt ihre eigenen Kosten im Zusammenhang mit Audits, es sei denn, das Audit ergibt eine wesentliche Nichteinhaltung durch den Geschäftspartner. In diesem Fall erstattet der Geschäftspartner der betroffenen Einrichtung die angemessenen Auditkosten.

5.5 Vertraulichkeit

Alle während einer Prüfung offengelegten Informationen sind als vertrauliche Geschäftsinformationen zu behandeln und dürfen ausschließlich zum Zweck der Überprüfung der Einhaltung dieser Vereinbarung verwendet werden.

6. Haftung und Entschädigung

6.1 Gegenseitige Verantwortung

Jede Partei haftet im Rahmen des gesetzlich Zulässigen für ihre eigenen fahrlässigen Handlungen oder Unterlassungen sowie für die ihrer Mitarbeiter, Beauftragten oder Subunternehmer im Zusammenhang mit dieser Vereinbarung.

6.2 Haftungsbeschränkung

6.2.1 Mit Ausnahme der Bestimmungen in Abschnitt 6.2.2 übersteigt die Gesamthaftung des Geschäftspartners gegenüber dem betroffenen Unternehmen gemäß dieser Vereinbarung für alle Ansprüche, die sich aus dieser Vereinbarung ergeben oder damit in Zusammenhang stehen, nicht einen Betrag in Höhe von zwölf (12) Monatsgebühren, die das betroffene Unternehmen an den Geschäftspartner gezahlt hat oder zahlen muss.

6.2.2 Die Einschränkung in Abschnitt 6.2.1 gilt nicht für:

  • Vorsätzliches Fehlverhalten oder vorsätzliches Fehlverhalten
  • Grobe Fahrlässigkeit
  • Vorsätzliche Verletzung von Vertraulichkeitsverpflichtungen
  • Kriminelles Verhalten
  • Verstöße gegen HIPAA aufgrund der Nichtumsetzung erforderlicher Sicherheitsvorkehrungen durch den Geschäftspartner
  • Verpflichtungen gemäß Abschnitt 6.3 (Entschädigung)

6.2.3 KEINE DER PARTEIEN HAFTET FÜR INDIREKTE, ZUFÄLLIGE, FOLGE-, SONDER- ODER STRAFSCHÄDEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF ENTGANGENE GEWINNE, DATENVERLUST ODER VERLUST VON GESCHÄFTSMÖGLICHKEITEN, SELBST WENN AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE, ES SEI DENN, DIESE SCHÄDEN SIND AUF GROBE FAHRLÄSSIGKEIT ODER VORSÄTZLICHES FEHLVERHALTEN ZURÜCKZUFÜHREN.

6.3 Entschädigung durch Geschäftspartner

Der Geschäftspartner entschädigt, verteidigt und hält die betroffene Einrichtung, ihre Direktoren, Führungskräfte, Mitarbeiter und Vertreter schadlos gegenüber allen Ansprüchen, Haftungen, Schäden, Verlusten, Kosten und Ausgaben (einschließlich angemessener Anwaltskosten), die sich aus folgenden Gründen ergeben oder damit in Zusammenhang stehen:

  • Verstoß des Geschäftspartners gegen diese Vereinbarung
  • Verstoß des Geschäftspartners gegen die HIPAA-Vorschriften
  • Unbefugte Nutzung oder Offenlegung von PHI durch Geschäftspartner
  • Ansprüche Dritter aufgrund von Handlungen oder Unterlassungen des Geschäftspartners
  • Verstoß oder Sicherheitsvorfall durch Geschäftspartner oder deren Subunternehmer

Diese Entschädigungsverpflichtung gilt nicht, soweit solche Ansprüche, Verbindlichkeiten, Schäden, Verluste, Kosten oder Ausgaben durch einen Verstoß der betroffenen Einrichtung gegen diese Vereinbarung oder gegen die HIPAA-Vorschriften verursacht wurden.

6.4 Entschädigung durch das versicherte Unternehmen

Das betroffene Unternehmen verpflichtet sich, den Geschäftspartner, seine Direktoren, Führungskräfte, Mitarbeiter und Vertreter von allen Ansprüchen, Haftungen, Schäden, Verlusten, Kosten und Ausgaben (einschließlich angemessener Anwaltskosten) freizustellen, zu verteidigen und schadlos zu halten, die sich aus folgenden Gründen ergeben oder damit in Zusammenhang stehen:

  • Verstoß der betroffenen Einrichtung gegen diese Vereinbarung
  • Verstoß der betroffenen Einrichtung gegen die HIPAA-Vorschriften
  • Bereitstellung unrichtiger oder unvollständiger PHI durch das betroffene Unternehmen an den Geschäftspartner
  • Anweisungen von betroffenen Einrichtungen an Geschäftspartner, die gegen die HIPAA-Vorschriften verstoßen

6.5 Versicherung

Jede Partei muss einen angemessenen Versicherungsschutz, einschließlich einer Cyber-Haftpflichtversicherung, in einer Höhe unterhalten, die zur Deckung potenzieller Verbindlichkeiten aus dieser Vereinbarung angemessen ist. Auf Anfrage muss jede Partei der anderen Partei Versicherungsbescheinigungen vorlegen.

7. Änderungen und Ergänzungen der Vorschriften

7.1 Änderungen der Vorschriften

Die Parteien erkennen an, dass die HIPAA-Vorschriften von Zeit zu Zeit vom Minister für Gesundheit und Soziales geändert werden können. Der Geschäftspartner verpflichtet sich, Änderungen an seinen Praktiken, Richtlinien und Verfahren vorzunehmen, die erforderlich sind, um die Einhaltung der geänderten HIPAA-Vorschriften zu gewährleisten.

7.2 Vertragsänderungen

7.2.1 Der Geschäftspartner muss die betroffene Einrichtung innerhalb von dreißig (30) Tagen nach Inkrafttreten wesentlicher Änderungen der HIPAA-Vorschriften, die sich auf diese Vereinbarung auswirken, darüber in Kenntnis setzen.

7.2.2 Wenn eine der Parteien feststellt, dass eine Änderung dieser Vereinbarung erforderlich ist, um Änderungen der HIPAA-Vorschriften zu entsprechen, verhandeln die Parteien in gutem Glauben, um diese Vereinbarung entsprechend zu ändern.

7.2.3 Diese Vereinbarung kann nur durch eine schriftliche Vereinbarung geändert werden, die von bevollmächtigten Vertretern beider Parteien unterzeichnet ist.

7.2.4 Der Geschäftspartner behält sich das Recht vor, die Fassung dieser Vereinbarung von Zeit zu Zeit zu aktualisieren. Aktualisierte Fassungen werden auf der Website des Geschäftspartners veröffentlicht, und die betroffene Einrichtung wird mindestens dreißig (30) Tage vor Inkrafttreten wesentlicher Änderungen per E-Mail benachrichtigt.

8. Sonstige Bestimmungen

8.1 Geltendes Recht

Diese Vereinbarung unterliegt den Gesetzen des Staates, in dem sich das betroffene Unternehmen befindet, und ist entsprechend auszulegen, ungeachtet der Bestimmungen zum Kollisionsrecht, es sei denn, Bundesgesetze haben Vorrang vor Landesgesetzen.

8.2 Gerichtsbarkeit und Gerichtsstand

Alle Rechtsstreitigkeiten, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben, sind ausschließlich vor den staatlichen oder bundesstaatlichen Gerichten in dem Gerichtsbezirk zu verhandeln, in dem das betroffene Unternehmen seinen Hauptgeschäftssitz hat.

8.3 Auslegung

Jegliche Unklarheiten in dieser Vereinbarung sind zugunsten einer Auslegung zu klären, die es dem betroffenen Unternehmen ermöglicht, die HIPAA-Vorschriften einzuhalten. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Vereinbarung und den HIPAA-Vorschriften haben die HIPAA-Vorschriften Vorrang.

8.4 Keine Drittbegünstigten

Keine Bestimmung dieser Vereinbarung gewährt anderen Personen als den Parteien und ihren jeweiligen Rechtsnachfolgern oder Abtretungsempfängern Rechte, Rechtsmittel, Pflichten oder Verbindlichkeiten jeglicher Art.

8.5 Verzicht

Das Versäumnis einer der Parteien, eine Bestimmung dieser Vereinbarung durchzusetzen, stellt keinen Verzicht auf diese oder eine andere Bestimmung dar und hindert diese Partei auch nicht daran, diese Bestimmung zu einem späteren Zeitpunkt durchzusetzen.

8.6 Salvatorische Klausel

Sollte eine Bestimmung dieser Vereinbarung für ungültig oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen in vollem Umfang wirksam und gültig, und die ungültige oder nicht durchsetzbare Bestimmung wird im erforderlichen Mindestmaß geändert, um sie gültig und durchsetzbar zu machen.

8.7 Abtretung

Keine der Parteien darf diese Vereinbarung ohne vorherige schriftliche Zustimmung der anderen Partei abtreten, mit der Ausnahme, dass der Geschäftspartner diese Vereinbarung im Zusammenhang mit einer Fusion, einer Übernahme oder einem Verkauf aller oder im Wesentlichen aller seiner Vermögenswerte an einen Nachfolgeunternehmen abtreten kann, vorausgesetzt, dass der Abtretungsempfänger sich bereit erklärt, alle Verpflichtungen aus dieser Vereinbarung zu übernehmen.

8.8 Gesamte Vereinbarung

Diese Vereinbarung bildet zusammen mit allen zwischen den Parteien geschlossenen Dienstleistungsvereinbarungen die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand dieser Vereinbarung und ersetzt alle früheren oder gleichzeitigen mündlichen oder schriftlichen Vereinbarungen zu diesem Gegenstand.

8.9 Mitteilungen

Alle gemäß dieser Vereinbarung erforderlichen oder zulässigen Mitteilungen müssen schriftlich erfolgen und gelten als zugestellt, wenn:

  • Persönlich zugestellt
  • Gesendet per bestätigter E-Mail-Übertragung
  • Per Einschreiben oder Einschreiben mit Rückschein versandt
  • Geliefert durch einen landesweit anerkannten Übernacht-Kurierdienst

Mitteilungen an den Geschäftspartner sind zu richten an: Dental Education, Inc. d/b/a Intake.Dental 1041 N. Dupont Hwy Dover, DE 19901 E-Mail: support@intake.dental

Mitteilungen an das betroffene Unternehmen sind an die bei der Registrierung angegebene E-Mail-Adresse und Postanschrift zu senden.

8.10 Höhere Gewalt

Keine der Parteien haftet für Verzögerungen oder Leistungsstörungen, die auf Ursachen zurückzuführen sind, die außerhalb ihrer zumutbaren Kontrolle liegen, einschließlich, aber nicht beschränkt auf höhere Gewalt, Naturkatastrophen, Krieg, Terrorismus, Unruhen, Arbeitskämpfe oder staatliche Maßnahmen, vorausgesetzt, dass die betroffene Partei die andere Partei unverzüglich benachrichtigt und angemessene Anstrengungen unternimmt, um die Leistung wieder aufzunehmen.

8.11 Gegenstücke und elektronische Signaturen

Diese Vereinbarung kann in mehreren Ausfertigungen ausgefertigt werden, von denen jede als Original gilt und die zusammen ein und dasselbe Dokument bilden. Elektronische Signaturen und elektronisch übermittelte Unterschriften haben dieselbe Gültigkeit und Wirkung wie Originalunterschriften.

9. Annahme und Ausführung

9.1 Abnahmemethoden

Diese Geschäftsvereinbarung gilt als vollständig ausgeführt und verbindlich, wenn:

  • Elektronische Annahme: Digital akzeptiert durch elektronische Unterschrift während der Online-Kontoanmeldung oder des Bezahlvorgangs; ODER
  • Schriftliche Unterschrift: Von bevollmächtigten Vertretern beider Parteien mittels elektronischer oder physischer Unterschrift unterzeichnet

9.2 Zeichnungsberechtigung

Mit der Unterzeichnung dieser Vereinbarung versichert und garantiert die Person, dass sie vollumfänglich befugt ist, die betroffene Einrichtung an die Bedingungen dieser Vereinbarung zu binden.

9.3 Aufbewahrung von Unterlagen

Beide Parteien bewahren eine Kopie dieser unterzeichneten Vereinbarung mindestens sechs (6) Jahre ab dem Datum ihrer Beendigung oder ihres Ablaufs oder, falls gesetzlich vorgeschrieben, für einen längeren Zeitraum auf.

10. Definitionen wichtiger Servicebegriffe

Für die Zwecke dieser Vereinbarung gelten die folgenden dienstspezifischen Bedingungen:

10.1 Dental Forms Pro-Plattform: Die von Business Associate bereitgestellte cloudbasierte Software-as-a-Service-Plattform zum Erstellen, Sammeln, Speichern und Übermitteln von Patientenaufnahmeformularen, Krankengeschichten und zugehörigen Unterlagen.

10.2 Abgelaufene Links: Sichere, zeitlich begrenzte URLs, die von der Plattform generiert werden und es dem betroffenen Unternehmen ermöglichen, für einen bestimmten Zeitraum (in der Regel 48 bis 72 Stunden) auf PHI zuzugreifen. Danach laufen die Links automatisch ab und sind nicht mehr zugänglich.

10.3 Cloud-Speicher: Verschlüsselte Speicherdienste, die über AWS S3 und die Supabase-Infrastruktur bereitgestellt werden und zur sicheren Speicherung von PHI im Auftrag der betroffenen Einrichtung dienen.

10.4 Patientenaufnahmeunterlagen: Von Patienten ausgefüllte elektronische Formulare, die PHI enthalten, einschließlich, aber nicht beschränkt auf Anamnese, aktuelle Medikamente, Allergien, Versicherungsinformationen und Einwilligungserklärungen.

Kontaktdaten

Bei Fragen zu dieser Geschäftsvereinbarung oder zur Einhaltung der HIPAA-Vorschriften wenden Sie sich bitte an:

Dental Education, Inc. d/b/a Intake.Dental
E-Mail: support@intake.dental
Website: https://intake.dental
Compliance-Beauftragter: Jordan Thomas
Telefon: (916) 752-2280

Dokumentinformationen

Vertragsversion: baa_v2025-10-17
Letzte Aktualisierung: 17. Oktober 2025
Nächstes Überprüfungsdatum: 17. Oktober 2026

Diese Vereinbarung für Geschäftspartner entspricht:

  • Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) von 1996
  • Gesetz über Gesundheitstechnologie für wirtschaftliche und klinische Gesundheit (HITECH) von 2009
  • 45 CFR Teile 160 und 164 (HIPAA-Vorschriften zu Datenschutz, Sicherheit und Benachrichtigung bei Verstößen)
  • ESIGN-Gesetz (Gesetz über elektronische Signaturen im globalen und nationalen Handel)

WICHTIGER HINWEIS FÜR BETROFFENE UNTERNEHMEN:

Durch das Fortfahren mit dem Bezahlvorgang oder durch Klicken auf „Ich stimme zu“ bestätigen Sie Folgendes:

  1. Sie haben diese gesamte Geschäftspartnervereinbarung gelesen und verstanden.
  2. Sie sind ein bevollmächtigter Vertreter Ihrer Praxis/Einrichtung und befugt, diese Vereinbarung abzuschließen.
  3. Sie erklären sich mit allen hier aufgeführten Bedingungen einverstanden.
  4. Ihre elektronische Unterschrift ist rechtsverbindlich und einer handschriftlichen Unterschrift gleichwertig.
  5. Diese Vereinbarung bleibt für die Dauer unserer Dienstleistungsbeziehung und darüber hinaus gemäß den Kündigungsbestimmungen in Kraft.

Dies ist ein rechtsverbindlicher Vertrag. Bitte bewahren Sie eine Kopie für Ihre Unterlagen auf.

Für technischen Support oder Fragen: support@intake.dental
Für Fragen zur HIPAA-Konformität: support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}