Auftragsverarbeitungsvertrag (AVV)
Stand: Mai 2026 · fuer Tierarztpraxen
Verantwortlicher (= Praxis): wird beim Onboarding ergaenzt.
Auftragsverarbeiter: David Vucic, Fritz-Reuter-Strasse 9, 40699 Erkrath, Tasteclubde@gmail.com
§ 1 Gegenstand und Dauer
(1) Der Auftragsverarbeiter stellt der Praxis ueber die Plattform VetConnect Funktionen zur Online-Terminvergabe, Patientenverwaltung und Kommunikation bereit.
(2) Im Zuge dessen verarbeitet er personenbezogene Daten der Patienten der Praxis im Auftrag und nach Weisung der Praxis.
(3) Der Vertrag laeuft fuer die Dauer der VetConnect-Mitgliedschaft der Praxis und endet automatisch bei Kuendigung des Abos.
§ 2 Art und Zweck der Verarbeitung
| Art | Zweck |
|---|---|
| Speicherung von Tierhalter- und Tierdaten | Termin-Vermittlung |
| Speicherung von Symptomen, Vorbefunden | Vorbereitung der tieraerztlichen Behandlung |
| Versand von E-Mails (Bestaetigung, Erinnerung) | Vertragserfuellung gegenueber Tierhalter |
| Push-Benachrichtigungen | Termin-Erinnerung |
§ 3 Kategorien betroffener Personen
- Tierhalter (Kunden der Praxis)
- Hinweis: Tierdaten sind keine personenbezogenen Daten im engeren Sinne, koennen aber Rueckschluesse auf den Halter zulassen und werden daher mitgeschuetzt.
§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
(1) Daten ausschliesslich im Rahmen dieses Vertrags und nach Weisung der Praxis zu verarbeiten.
(2) Mitarbeiter zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO).
(3) Geeignete technische und organisatorische Massnahmen (TOM) zu treffen — siehe Anlage 1.
(4) Die Praxis bei der Erfuellung von Betroffenenrechten zu unterstuetzen.
(5) Datenschutzverletzungen unverzueglich (≤72 h nach Kenntnis) zu melden.
(6) Nach Vertragsende alle Daten der Praxis zu loeschen oder zurueckzugeben — innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten bestehen.
(7) Audit-Rechte der Praxis nicht zu behindern.
§ 5 Unter-Auftragsverarbeiter
| Anbieter | Sitz | Zweck |
|---|---|---|
| Supabase Inc. | USA (mit EU-Hosting-Option) | DB, Auth, Storage |
| Resend, Inc. | USA | E-Mail-Versand |
| Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung Praxis-Abo |
| Apple Inc. | USA | Push iOS |
| Google LLC (Firebase) | USA | Push Android |
Mit allen Unter-AVs bestehen ihrerseits AVV mit DSGVO-Standardvertragsklauseln. Die Praxis stimmt dem Einsatz dieser Unter-AVs durch Abschluss dieses Vertrags zu.
§ 6 Datenuebermittlung in Drittlaender
Sofern Daten in die USA uebertragen werden, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (SCC) sowie — soweit anwendbar — des EU-US Data Privacy Frameworks.
§ 7 Loeschung und Rueckgabe
Nach Vertragsende:
(1) Der Auftragsverarbeiter stellt der Praxis innerhalb von 14 Tagen einen Datenexport (JSON) zur Verfuegung.
(2) Anschliessend werden alle Daten der Praxis innerhalb von weiteren 14 Tagen geloescht.
(3) Backup-Daten werden nach maximal 30 Tagen ueberschrieben.
§ 8 Haftung
Es gelten die Haftungsregelungen aus den AGB. Im Uebrigen Art. 82 DSGVO.
Anlage 1 — Technische und organisatorische Massnahmen (TOM)
| Bereich | Massnahme |
|---|---|
| Zutrittskontrolle | Cloud-Hosting (Supabase), keine eigenen Server-Raeume |
| Zugangskontrolle | E-Mail-Verifikation, Passwort-Pflicht (min. 8 Zeichen), Brute-Force-Schutz |
| Zugriffskontrolle | Row-Level-Security (PostgreSQL RLS), rollenbasiert (patient/partner/admin) |
| Pseudonymisierung | UUID-basierte IDs, keine Klartextnamen in URLs |
| Verschluesselung | TLS 1.3 in Transit, AES-256 at Rest (Supabase Storage) |
| Verfuegbarkeit | Tagliche Backups, georedundant |
| Trennbarkeit | Pro Praxis isolierte Daten via RLS-Policies |
| Auftragskontrolle | Schriftliche Vereinbarungen mit allen Unter-AVs |
| Wirksamkeitspruefung | jaehrliche TOM-Revision |