Auftragsverarbeitungsvertrag
Gemäß Art. 28 DSGVO (Datenschutz-Grundverordnung)
Stand: 18. März 2026 (Version 2026-03-18)
1. Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend “AVV”) regelt die Rechte und Pflichten bei der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).
Zwischen dem Betreiber der Plattform PhysioGerät, [Firmenname], [Adresse] (nachfolgend “Auftragsverarbeiter”) und dem Inhaber des gebuchten Workspace (nachfolgend “Verantwortlicher” oder “Auftraggeber”) wird dieser AVV geschlossen.
Dieser AVV ist Bestandteil des Hauptvertrages (Abonnementvertrag, AGB) und gilt für alle Leistungen, bei denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
2. Gegenstand und Dauer
Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der SaaS-Plattform “PhysioGerät” für Physiotherapiepraxen. Die Dauer entspricht der Laufzeit des Hauptvertrages.
3. Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung des vereinbarten SaaS-Dienstes, insbesondere: Speicherung und Verwaltung von Nutzerdaten, KI-gestützte Skriptgenerierung, Workflow-Automatisierung und Abrechnungsabwicklung.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
Verarbeitet werden folgende Kategorien personenbezogener Daten: Kontaktdaten (E-Mail-Adresse), Nutzungsdaten, technische Metadaten sowie ggf. im System erfasste patientenbezogene Inhalte (Themen, Beschreibungen) des Auftraggebers.
Betroffene Personen sind: Workspace-Inhaber, eingeladene Redakteure sowie ggf. Personen, die als Thema von Inhalten genannt werden.
5. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.
- Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet wurden.
- Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen (TOMs — technische und organisatorische Maßnahmen, siehe § 8).
- Die in § 7 genannten Unterauftragsverarbeiter nur unter den in Art. 28 Abs. 2 und 4 DSGVO genannten Voraussetzungen einzusetzen.
- Den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten zu unterstützen.
- Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben.
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen.
- Überprüfungen, einschließlich Inspektionen, durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Prüfer zu ermöglichen und dazu beizutragen.
- Den Verantwortlichen unverzüglich zu informieren, wenn eine erteilte Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
6. Pflichten des Auftraggebers
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO. Er ist verpflichtet, eine eigene Datenschutzerklärung für seine Endkunden vorzuhalten, soweit er über die Plattform patientenbezogene Inhalte verarbeitet.
Der Auftraggeber stellt sicher, dass die Verarbeitung personenbezogener Daten über die Plattform auf einer geeigneten Rechtsgrundlage beruht.
7. Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein (allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO):
| Anbieter | Zweck | Land | Rechtsgrundlage |
|---|---|---|---|
| Supabase (Supabase Inc.) | Datenbank, Authentifizierung, Dateispeicherung | USA / Irland | SCCs / EU-US DPF |
| Stripe Inc. | Zahlungsabwicklung, Abonnementverwaltung | USA | SCCs / EU-US DPF |
| Resend Inc. | Transaktionale E-Mails | USA | SCCs |
| n8n GmbH | Workflow-Automatisierung | Deutschland (EU) | Keine Drittstaatenübermittlung |
| Anthropic PBC | KI-Textanalyse (Claude) | USA | SCCs, DPA in Nutzungsbedingungen integriert |
| OpenAI Inc. | Sprachtranskription (Whisper) | USA | SCCs, separates DPA erforderlich |
| Apify Technologies s.r.o. | Web-Scraping (Instagram) | Tschechische Republik (EU) | Keine Drittstaatenübermittlung |
| seven.io GmbH | SMS-Versand für Marketing-Kampagnen im Selbstzahler-Modul. Verarbeitete Daten: Telefonnummer, Vorname (für Personalisierung). Eigener AV-Vertrag mit seven.io gemäß Art. 28 DSGVO abgeschlossen. | Deutschland (EU) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); keine Drittstaatenübermittlung |
Der Auftragsverarbeiter informiert den Auftraggeber über geplante Änderungen an den Unterauftragsverarbeitern mit angemessener Vorankündigungsfrist.
8. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:
- Verschlüsselung personenbezogener Daten in der Übertragung (TLS 1.3) und im Speicher
- Row-Level Security (RLS) für alle datenbankgespeicherten Nutzdaten
- AES-256-GCM-Verschlüsselung für sensitive Tokens (Instagram OAuth)
- Zugriffskontrolle und rollenbasierte Berechtigungen (Inhaber / Redakteur)
- Einsatz von Service-Role-Keys ausschließlich serverseitig (kein Client-Zugriff)
- Regelmäßige Sicherheitsupdates der eingesetzten Abhängigkeiten
- Pseudonymisierung wo technisch möglich und zweckmäßig
Der vollständige TOM-Katalog ist auf Anfrage erhältlich.
9. Vergütung
Die Auftragsverarbeitung ist in der Vergütung des Hauptvertrages enthalten.
10. Anwendbares Recht
Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist [Ort], soweit gesetzlich zulässig.