Where is patient data hosted?

Exclusively in EU data centres in Vienna and Frankfurt with cloud providers certified to BSI C5. 100% GDPR-compliant. The full technical architecture — including the confidential-computing layer and trusted execution environments — is shared with qualified prospects under NDA.

Is there an MDR classification?

No. None of the MiraNext modules is certified as a medical device under MDR (EU 2017/745) or intended for medical use within the meaning of the MDR. No MDR conformity assessment is initiated. Components such as the web viewer are expressly labelled as a reference and preview implementation for non-diagnostic purposes. Diagnostic image reading is performed on separately certified reading workstations by the physician.

How is AI billing calculated?

Per study — transparently itemised. You pay exactly for what MiraScribe or MiraNext AI processes for you. The Professional plan includes a monthly volume bundle; beyond that we bill per report. No flat rates by design. Concrete rates are set in the intro call.

Can we migrate from a legacy RIS?

Yes. We migrate structured data, DICOM studies and reports from the common RIS and PACS systems. Migration is part of onboarding and contractually backed by success criteria.

How long does roll-out take?

Typically 4–8 weeks per module. RIS+PACS first, then AI automation, then patient/referrer portal. Stoppable after each step.

15RECHTLICHES · AUFTRAGSVERARBEITUNG

Stand · 14. Mai 2026

Auftragsverarbeitungs-vertrag (DPA).

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen dem Kunden (Verantwortlicher) und der MiraNext GmbH (Auftragsverarbeiter). Diese Fassung ist Vertragsbestandteil und geht den AGB im Konfliktfall vor.

Vertragsgegenstand

Gegenstand dieses Auftragsverarbeitungsvertrags (DPA) ist die Verarbeitung personenbezogener Daten durch MiraNext im Auftrag des Kunden im Rahmen der Bereitstellung und des Betriebs der MiraNext-SaaS-Plattform. Maßgeblich sind Art. 28 DSGVO sowie die ergänzenden Bestimmungen dieses DPA.

Art und Zweck der Verarbeitung

Art: automatisierte Verarbeitung in Cloud-Infrastruktur (EU, AT/DE, BSI C5 zertifiziert), strukturierte Speicherung in mandantengetrennten Datenbanken und Objektspeichern, KI-Inferenz in Trusted Execution Environments.

Zweck: Bereitstellung der vom Kunden gebuchten Module zur Unterstützung administrativer, kommunikativer und workflow-bezogener Aufgaben in Radiologie und bildgebender Diagnostik.

Dauer: für die Laufzeit des Hauptvertrags, längstens bis zur vereinbarten Löschung oder Rückgabe der Daten nach Vertragsende.

Kategorien betroffener Personen

Patientinnen und Patienten der Praxis bzw. Einrichtung des Kunden
Zuweisende Ärztinnen und Ärzte
Beschäftigte und Mitarbeitende des Kunden mit Plattform-Zugang
Berechtigte Vertreterinnen und Vertreter Dritter mit Lese-/Schreibzugriff (z.B. Befundungs-Subunternehmer im Auftrag des Kunden)

Kategorien personenbezogener Daten

Stammdaten (Name, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten)
Versicherungs- und Abrechnungsdaten
Besondere Kategorien gem. Art. 9 DSGVO: Gesundheitsdaten — Diagnosen, ICD-Codes, klinische Notizen, Bildbefunde, DICOM-Datensätze
Authentifizierungsdaten der Plattform-Nutzer (E-Mail, Hash-Passwort, Hardware-Token-ID)
Audit-Log-Daten (Zeitstempel, Aktion, IP, User-ID)

Pflichten des Auftragsverarbeiters

MiraNext verarbeitet personenbezogene Daten ausschließlich nach dokumentierter Weisung des Kunden, gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO), trifft alle in Art. 32 DSGVO genannten technischen und organisatorischen Maßnahmen (TOMs — siehe gesondertes Kapitel), unterstützt den Kunden bei der Wahrnehmung seiner Pflichten gemäß Art. 32–36 DSGVO sowie bei Betroffenenanfragen und stellt nach Wahl des Kunden bei Vertragsende alle personenbezogenen Daten zurück oder löscht sie.

Weisungsbindung

MiraNext darf personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten, sofern nicht durch das Recht der Union oder eines Mitgliedstaats zur Verarbeitung verpflichtet. In diesem Fall teilt MiraNext dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

Weitere Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO)

Der Kunde erteilt MiraNext eine allgemeine schriftliche Genehmigung zur Inanspruchnahme weiterer Auftragsverarbeiter im Sinne des Art. 28 Abs. 2 DSGVO.

MiraNext führt ein aktuelles Verzeichnis aller weiteren Auftragsverarbeiter mit Name, Anschrift, Funktion und Verarbeitungsort. Das Verzeichnis wird dem Kunden auf Anfrage zur Verfügung gestellt.

Vor Einsatz eines neuen weiteren Auftragsverarbeiters oder Änderung wird der Kunde mindestens 30 Tage im Voraus informiert. Der Kunde kann der Änderung aus wichtigem datenschutzrechtlichem Grund schriftlich widersprechen.

MiraNext verpflichtet jeden weiteren Auftragsverarbeiter zu Datenschutzpflichten, die denen dieses DPA mindestens entsprechen, und haftet gegenüber dem Kunden für die Einhaltung dieser Pflichten wie für eigenes Handeln.

Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung: AES-256 für ruhende Daten, TLS 1.3 für Übertragung, mandantengetrennte Schlüsselverwaltung in HSM, optionale Bring-Your-Own-Key (BYOK), 90-Tage-Schlüsselrotation, mTLS für Service-zu-Service-Kommunikation
Confidential Computing: KI-Inferenz für sensible Modelle (Sprache, Bildkontext) in Trusted Execution Environments (Intel TDX / AMD SEV-SNP) mit Remote Attestation
Pseudonymisierung: nach Möglichkeit bei der Verarbeitung von Sekundärdaten (Telemetrie, KI-Training)
Zugriff: OIDC / OAuth 2.1, Hardware-Sicherheitsschlüssel (WebAuthn / FIDO2) für Administrator-Zugänge, rollenbasierte Zugriffssteuerung (RBAC) pro Mandant, 4-Stunden-Session-Timeout, ELGA-konforme e-card-Anmeldung für Patient/Zuweiser
Logging und Monitoring: strukturiertes Audit-Log jeder Aktion, hash-verkettet und für 6 Monate aufbewahrt, NIS2-konformes Incident-Response-Verfahren mit 24/7 Bereitschaft
Backup und Wiederherstellung: georedundant zwischen AT und DE, RTO ≤ 4 h, RPO ≤ 15 min, regelmäßiges Restore-Testing
Penetrationstests: kontinuierliche Tests gemeinsam mit unabhängigem Drittauditor, tägliche automatisierte Vulnerability Scans
Personal: Vertraulichkeitsverpflichtung aller Beschäftigten, jährliche Sicherheits- und Datenschutzschulung, Background-Check für Administrator-Rollen
Physische Sicherheit: Rechenzentren mit Zutrittskontrolle, n+1 Power, USV, Brandfrüherkennung

Sicherheitsvorfälle · Verletzungen des Schutzes personenbezogener Daten

MiraNext informiert den Kunden unverzüglich, in der Regel innerhalb von 24 Stunden, jedenfalls aber innerhalb der 72-Stunden-Frist gemäß Art. 33 DSGVO, über Verletzungen des Schutzes personenbezogener Daten. Die Meldung umfasst Art und Kategorien der betroffenen Daten, ungefähre Anzahl der Betroffenen, vermutete Folgen sowie ergriffene oder vorgeschlagene Maßnahmen. MiraNext unterstützt den Kunden bei dessen Meldepflichten gegenüber Aufsichtsbehörde und ggf. Betroffenen.

Unterstützung des Verantwortlichen

MiraNext unterstützt den Kunden bei der Beantwortung von Betroffenenanfragen (Art. 12–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen — insbesondere durch Self-Service-Auskunfts- und Löschwerkzeuge im Mandanten. Bei Anfragen, die direkt an MiraNext gerichtet werden, leitet MiraNext diese unverzüglich an den Kunden weiter und antwortet nicht eigenständig.

Audit-Rechte

Der Kunde — bzw. ein durch ihn beauftragter, zur Verschwiegenheit verpflichteter Auditor (kein Wettbewerber von MiraNext) — kann einmal jährlich nach 30 Tagen Vorankündigung die Einhaltung dieses DPA prüfen. Außerordentliche Audits nach gravierendem Sicherheitsvorfall sind ohne Frist zulässig. MiraNext kann Auditrechte vorrangig durch Vorlage gleichwertiger Drittprüfungen erfüllen (ISO 27001-Audit-Reports, SOC 2 Type II , Pen-Test-Reports). Ordentliche Audits trägt der Kunde; außerordentliche Audits, die einen wesentlichen Verstoß durch MiraNext nachweisen, gehen zu Lasten von MiraNext.

Drittland-Übermittlung

Die Verarbeitung erfolgt grundsätzlich im EWR (Österreich, Deutschland). Eine Übermittlung in Drittländer findet ohne gesonderte schriftliche Vereinbarung mit dem Kunden nicht statt. Sollten in einem konkreten Fall Drittland-Übermittlungen erforderlich werden, schließt MiraNext zuvor die EU-Standardvertragsklauseln (Modul 2 oder 3, Beschluss der EU-Kommission 2021/914) und führt — soweit erforderlich — eine ergänzende Risikobewertung (TIA) durch.

Rückgabe und Löschung

Bei Beendigung des Hauptvertrags werden alle vom Kunden bereitgestellten oder im Zuge der Verarbeitung erhobenen personenbezogenen Daten nach Wahl des Kunden zurückgegeben (Self-Service-Export in DICOM, PDF, FHIR/JSON; auf Wunsch auch über verschlüsseltes physisches Medium) oder gelöscht. Eine zertifizierte Löschung erfolgt spätestens 90 Tage nach Vertragsende und wird durch ein unterzeichnetes Löschzertifikat bestätigt. Gesetzliche Aufbewahrungspflichten (z.B. § 132 BAO, § 51 ÄrzteG) bleiben unberührt — entsprechende Daten werden gesperrt und ausschließlich für den Aufbewahrungszweck vorgehalten.

Haftung · Schlussbestimmungen

Die Haftung der Parteien für Verletzungen dieses DPA richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Bestimmungen des Hauptvertrags und der AGB. Bei Konflikt zwischen DPA und Hauptvertrag geht der DPA insoweit vor, als es um die Verarbeitung personenbezogener Daten geht. Gerichtsstand und anwendbares Recht: Salzburg, österreichisches Recht.

Fragen zu diesem Dokument?

[email protected] · [email protected]

← Zurück zur Startseite