Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Vertragsparteien

Auftraggeber (Verantwortlicher):

Der Kunde gemäß dem zugrunde liegenden Hauptvertrag über die Nutzung der Software „TheraTap" (nachfolgend „Auftraggeber")

Auftragnehmer (Auftragsverarbeiter):

TheraTap GbR
Grootkoppelstr. 56
22844 Norderstedt
Deutschland

Vertreten durch: Jonas Imping, Maya Alina Imping
E-Mail: info@theratap.de
Telefon: +49 40 33 46 90 24-0
USt-IdNr.: DE354295422

(nachfolgend „Auftragnehmer")

Auftraggeber und Auftragnehmer werden nachfolgend einzeln als „Partei" und gemeinsam als „Parteien" bezeichnet.

Präambel

Der Auftragnehmer stellt dem Auftraggeber die cloudbasierte Praxisverwaltungssoftware „TheraTap" zur Verfügung (nachfolgend „Software"). Im Rahmen der Nutzung der Software verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dieser Datenverarbeitung gemäß Art. 28 DSGVO.

Dieser AVV ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags über die Nutzung der Software (nachfolgend „Hauptvertrag") und tritt mit Abschluss des Hauptvertrags in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Gegenstand der Auftragsverarbeitung ergibt sich aus dem Hauptvertrag. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung und des Betriebs der cloudbasierten Praxisverwaltungssoftware „TheraTap". Die Verarbeitung umfasst insbesondere:

• Speicherung und Verwaltung von Kontaktdaten (Tierhalter, Tierärzte, sonstige Kontakte)
• Speicherung und Verwaltung von Patientendaten (Tierdaten und zugehörige Halterdaten)
• Dokumentation von Behandlungen, Anamnesen und Therapieplänen
• Termin- und Kalenderverwaltung
• Rechnungserstellung und -verwaltung
• Kommunikation zwischen Auftraggeber und dessen Kunden (Nachrichten, Erinnerungen)
• Verwaltung von Dokumenten, Medien und Dateien
• Online-Terminbuchung durch Endkunden des Auftraggebers

1.2 Dauer

Die Dauer dieses AVV richtet sich nach der Laufzeit des Hauptvertrags. Er beginnt mit Abschluss des Hauptvertrags und endet mit dessen Beendigung, es sei denn, sich aus den nachfolgenden Bestimmungen ergebende Pflichten bestehen über die Beendigung hinaus fort.

§ 2 Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Erheben (soweit durch den Auftraggeber oder dessen Endkunden über die Software eingegeben)
• Erfassen
• Organisation und Ordnung
• Speicherung
• Anpassung und Veränderung
• Auslesen
• Abfragen
• Verwendung
• Offenlegung durch Übermittlung (z. B. E-Mail- und SMS-Versand im Auftrag des Auftraggebers)
• Abgleich und Verknüpfung
• Einschränkung
• Löschen und Vernichtung

2.2 Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Leistungen im Rahmen der Praxisverwaltungssoftware gemäß dem Hauptvertrag. Eine Verarbeitung zu anderen Zwecken findet nicht statt.

§ 3 Art der personenbezogenen Daten

Folgende Arten personenbezogener Daten sind Gegenstand der Verarbeitung:

3.1 Stamm- und Kontaktdaten der Endkunden des Auftraggebers

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer, Mobilfunknummer
• Anschrift (Straße, PLZ, Ort, Land)
• Unternehmen, Position, Abteilung
• Profilbilder
• Geodaten (Koordinaten zur Routenplanung)

3.2 Patientenbezogene Daten (Tierdaten mit Personenbezug)

• Tiername, Tierart, Rasse, Geschlecht
• Alter, Geburtsdatum, Gewicht, Größe
• Chipnummer
• Standort des Tieres
• Zuordnung zum Tierhalter (personenbezogener Bezug)

3.3 Behandlungs- und Gesundheitsdaten

• Behandlungsdokumentationen (Befunde, Therapieverläufe, Anamnesen)
• Therapiepläne (Inhalte, Zeiträume, Häufigkeit)
• Medikation und Fütterungshinweise
• Gesundheitspläne (Impfungen, Entwurmungen)
• Ganganalysen und Haltungsbefunde
• Notizen und Bemerkungen zu Behandlungen

3.4 Termin- und Kommunikationsdaten

• Termindetails (Datum, Uhrzeit, Status, Beschreibung)
• Nachrichten und Chatverläufe zwischen Auftraggeber und Endkunden
• E-Mail- und SMS-Kommunikation (Erinnerungen, Bestätigungen)
• Buchungsanfragen

3.5 Rechnungs- und Zahlungsdaten

• Rechnungsnummern, Rechnungsdaten und -beträge
• Steuerinformationen
• Zahlungsstatus

3.6 Nutzungsdaten

• Aktivitätsprotokolle
• Datei-Uploads (Dokumente, Bilder, Videos)
• Einwilligungserklärungen und Unterschriften

§ 4 Kategorien betroffener Personen

Von der Verarbeitung sind folgende Kategorien betroffener Personen betroffen:

• Endkunden des Auftraggebers: Tierhalter, die die Dienstleistungen des Auftraggebers in Anspruch nehmen
• Tierärzte und Überweiser: Tierärztliche Kontakte, die im Rahmen der Praxisverwaltung erfasst werden
• Sonstige Kontakte: Weitere vom Auftraggeber in der Software erfasste Geschäftskontakte
• Mitarbeiter und Teammitglieder des Auftraggebers: Soweit deren Daten in der Software verarbeitet werden

§ 5 Pflichten des Auftragnehmers

5.1 Weisungsgebundenheit

(a) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, der Auftragnehmer ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(b) Die Weisungen des Auftraggebers ergeben sich grundsätzlich aus diesem AVV und dem Hauptvertrag. Einzelweisungen, die über die im Hauptvertrag vereinbarte Leistung hinausgehen, bedürfen der Textform (E-Mail genügt) und sind vom Auftraggeber unverzüglich zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(c) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

5.2 Vertraulichkeit

(a) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(b) Der Auftragnehmer stellt sicher, dass der Zugang zu den personenbezogenen Daten im Rahmen der Auftragsverarbeitung auf diejenigen Beschäftigten beschränkt wird, die diesen für die Erfüllung der vertraglichen Pflichten benötigen.

5.3 Technische und organisatorische Maßnahmen

(a) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 1 zu diesem AVV beschrieben.

(b) Der Auftragnehmer überprüft die technischen und organisatorischen Maßnahmen regelmäßig und passt sie dem Stand der Technik an. Das Schutzniveau darf dabei nicht unterschritten werden.

(c) Der Auftragnehmer ist berechtigt, die technischen und organisatorischen Maßnahmen während der Laufzeit des Vertrags zu ändern, sofern das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

5.4 Unterstützung des Auftraggebers

(a) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Anfragen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III der DSGVO (Art. 15–22 DSGVO).

(b) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32–36 DSGVO genannten Pflichten, insbesondere:

• Sicherheit der Verarbeitung (Art. 32 DSGVO)
• Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO)
• Benachrichtigung der betroffenen Personen (Art. 34 DSGVO)
• Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
• Vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)

5.5 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:

• eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung möglicher nachteiliger Auswirkungen

5.6 Löschung und Rückgabe von Daten

(a) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.

(b) Vor der Löschung hat der Auftraggeber die Möglichkeit, die Daten in einem gängigen, maschinenlesbaren Format zu exportieren. Der Auftragnehmer stellt hierfür geeignete Exportfunktionen innerhalb der Software bereit.

(c) Die Löschung erfolgt spätestens innerhalb von 30 Tagen nach Beendigung des Hauptvertrags, sofern der Auftraggeber nicht zuvor einen Datenexport durchgeführt hat oder eine abweichende Frist vereinbart wurde.

(d) Der Auftragnehmer bestätigt dem Auftraggeber die Löschung auf Anfrage in Textform.

5.7 Nachweispflichten und Kontrollen

(a) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(b) Der Auftragnehmer ermöglicht Überprüfungen einschließlich Inspektionen, die vom Auftraggeber oder einem von ihm beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Der Auftraggeber hat den Auftragnehmer über Überprüfungen mit angemessener Frist (mindestens 14 Tage) vorab in Textform zu informieren.

(c) Überprüfungen sind während der üblichen Geschäftszeiten durchzuführen und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig stören. Der Auftraggeber hat sicherzustellen, dass beauftragte Prüfer zur Vertraulichkeit verpflichtet werden.

(d) Der Auftragnehmer kann den Nachweis der Einhaltung seiner Pflichten auch durch Vorlage geeigneter, aktueller Zertifizierungen oder Prüfberichte unabhängiger Stellen erbringen.

§ 6 Unterauftragsverarbeiter

6.1 Genehmigung

(a) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Mit Abschluss dieses AVV gelten diese als genehmigt.

(b) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber hat die Möglichkeit, gegen derartige Änderungen innerhalb von 14 Tagen nach Zugang der Information Einspruch zu erheben. Der Einspruch bedarf der Textform und muss sachlich begründet sein.

(c) Erhebt der Auftraggeber berechtigten Einspruch und kann keine einvernehmliche Lösung gefunden werden, steht dem Auftraggeber ein Sonderkündigungsrecht bezüglich des Hauptvertrags zu.

6.2 Pflichten gegenüber Unterauftragsverarbeitern

(a) Der Auftragnehmer wählt Unterauftragsverarbeiter sorgfältig aus und stellt sicher, dass diese hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt.

(b) Der Auftragnehmer schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem dieselben Datenschutzpflichten auferlegt, wie sie in diesem AVV festgelegt sind. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

§ 7 Drittlandtransfers

7.1 Grundsatz

Eine Übermittlung personenbezogener Daten in ein Drittland (außerhalb des EWR) oder an eine internationale Organisation durch den Auftragnehmer erfolgt nur, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind.

7.2 Garantien

Soweit Unterauftragsverarbeiter in Drittländern eingesetzt werden, stellt der Auftragnehmer sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist, insbesondere durch:

• Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO)
• Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
• Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
• Sonstige geeignete Garantien gemäß Art. 46 DSGVO

7.3 Informationspflicht

Der Auftragnehmer informiert den Auftraggeber über den Einsatz von Unterauftragsverarbeitern in Drittländern und die jeweils getroffenen Garantien.

§ 8 Pflichten des Auftraggebers

8.1 Verantwortlichkeit

(a) Der Auftraggeber ist im Rahmen dieses AVV für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich (Art. 4 Nr. 7, Art. 24 DSGVO).

(b) Der Auftraggeber ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten über die Software auf einer gültigen Rechtsgrundlage beruht und die betroffenen Personen ordnungsgemäß über die Verarbeitung informiert werden.

8.2 Weisungsrecht

(a) Der Auftraggeber hat das Recht und die Pflicht, dem Auftragnehmer Weisungen hinsichtlich der Art, des Umfangs und der Methode der Datenverarbeitung zu erteilen.

(b) Weisungen sind grundsätzlich in Textform zu erteilen. Mündlich erteilte Weisungen sind unverzüglich in Textform zu bestätigen.

8.3 Mitwirkungspflichten

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

§ 9 Haftung

Die Haftung der Parteien richtet sich nach den allgemeinen gesetzlichen Bestimmungen, insbesondere nach Art. 82 DSGVO in Verbindung mit den Regelungen des Hauptvertrags. Die Haftungsregelungen des Hauptvertrags gelten ergänzend.

§ 10 Schlussbestimmungen

10.1 Vorrang

Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag oder sonstigen Vereinbarungen zwischen den Parteien gehen die Bestimmungen dieses AVV vor, soweit datenschutzrechtliche Belange betroffen sind.

10.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

10.3 Änderungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Textformklausel.

10.4 Anwendbares Recht und Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist – soweit gesetzlich zulässig – Norderstedt.

---

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

• Serverinfrastruktur wird auf dedizierten Servern bei Hetzner Online GmbH in deutschen Rechenzentren mit entsprechenden Sicherheitszertifizierungen (ISO 27001) betrieben
• Kein physischer Zugang zu Servern durch Mitarbeiter des Auftragnehmers erforderlich

1.2 Zugangskontrolle

• Authentifizierung über individuelle Benutzerkonten mit Passwortschutz
• Verschlüsselte Datenübertragung mittels TLS/SSL (HTTPS)
• SSH-Schlüsselbasierter Zugang zu Serversystemen
• Automatische Sperrung nach mehrfachen fehlgeschlagenen Anmeldeversuchen

1.3 Zugriffskontrolle

• Rollenbasiertes Berechtigungskonzept (Teambasierte Datentrennung)
• Mandantentrennung: Jeder Auftraggeber hat ausschließlich Zugriff auf die eigenen Daten
• Protokollierung von administrativen Zugriffen
• Regelmäßige Überprüfung der Zugriffsrechte

1.4 Trennungskontrolle

• Logische Mandantentrennung auf Datenbankebene
• Getrennte Speicherbereiche für Dateien und Medien je Mandant
• Entwicklungs-, Test- und Produktivumgebungen sind voneinander getrennt

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

• Verschlüsselte Datenübertragung (TLS/SSL) für alle externen Verbindungen
• Einsatz sicherer Schnittstellen (APIs) mit Authentifizierung
• Protokollierung von Datenweitergaben

2.2 Eingabekontrolle

• Protokollierung von Eingaben, Änderungen und Löschungen in der Software
• Nachvollziehbarkeit durch Aktivitätsprotokolle

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

3.1 Verfügbarkeitskontrolle

• Hosting auf dedizierten Servern bei Hetzner Online GmbH in deutschen Rechenzentren
• Container-Orchestrierung mittels Kubernetes für automatische Skalierung und Ausfallsicherheit
• Regelmäßige automatisierte Backups der Datenbanken
• Datenspeicherung ausschließlich in Deutschland
• Monitoring der Systeme und automatische Benachrichtigung bei Störungen

3.2 Wiederherstellbarkeit

• Dokumentierte Wiederherstellungsverfahren
• Regelmäßige Tests der Backup-Wiederherstellung
• Automatisierte Deployment-Prozesse (CI/CD) für schnelle Wiederherstellung

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen
• Zeitnahe Einspielung von Sicherheitsupdates
• Verpflichtung aller Mitarbeiter auf das Datengeheimnis
• Schulung der Mitarbeiter in Datenschutz und IT-Sicherheit

---

Anlage 2: Genehmigte Unterauftragsverarbeiter

Nr.	Unterauftragsverarbeiter	Anschrift	Verarbeitungszweck	Verarbeitungsort
1	Hetzner Online GmbH	Industriestr. 25, 91710 Gunzenhausen, Deutschland	Dedizierte Server, Hosting, Datenspeicherung, Rechenleistung	Deutschland / EU
2	Stripe Payments Europe, Ltd.	1 Grand Canal Street Lower, Dublin 2, Irland	Zahlungsabwicklung und Abrechnungsmanagement	EU / USA (Angemessenheitsbeschluss)
3	Google Ireland Limited	Gordon House, Barrow Street, Dublin 4, Irland	Kalenderintegration (Google Calendar API)	EU / USA (Angemessenheitsbeschluss)
4	seven communications GmbH & Co. KG	Hafenweg 32, 48155 Münster, Deutschland	SMS-Versand (Terminerinnerungen, Benachrichtigungen)	Deutschland / EU

Diese Liste wird fortlaufend aktualisiert. Änderungen werden dem Auftraggeber gemäß § 6 dieses AVV mitgeteilt.

---

Stand: Februar 2026