Auftragsverarbeitungsvertrag

nach Art. 28 DSGVO für die Nutzung des Arbeitsblattgenerators unter theraki.net

Dieser Auftragsverarbeitungsvertrag ist Anlage 1 zu den AGB des Anbieters und wird mit deren Annahme im Registrierungsformular rechtsverbindlich abgeschlossen (§ 28 Abs. 9 DSGVO i.V.m. § 126b BGB Textform). Eine gesonderte Unterzeichnung ist nicht erforderlich.

Zwischen

[Name der Praxis], [Anschrift], E-Mail [E-Mail]
– nachfolgend „Verantwortlicher" –

Die mit eckigen Klammern markierten Felder werden bei der Konto-Anlage automatisch mit den Angaben der nutzenden Praxis befüllt.

und

Jonas Bischof (natürliche Person), Kaiser-Friedrich-Straße 16, 10585 Berlin
E-Mail: bischof@theraki.net
– nachfolgend „Auftragsverarbeiter" –

– gemeinsam „Parteien" –

§ 1 Gegenstand und Dauer

  1. Der Auftragsverarbeiter stellt dem Verantwortlichen den Arbeitsblattgenerator unter theraki.net als Software-as-a-Service-Tool zur Verfügung (Hauptvertrag, AGB). Im Rahmen des Konto-Features verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.
  2. Gegenstand dieses Vertrages ist die Konkretisierung der datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO.
  3. Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Er endet automatisch mit dessen Beendigung; die Pflichten aus § 8 (Löschung) bleiben darüber hinaus bestehen.

§ 2 Beschreibung der Verarbeitung

  1. Art der Verarbeitung: Speicherung, Anzeige, Änderung und Löschung von Klient:innen-Profilen sowie der unter diesen Profilen abgelegten Arbeitsblätter in einer serverseitigen JSON-Datei. Übertragung über verschlüsselte Verbindungen.
  2. Zweck der Verarbeitung: Bereitstellung des Konto-Features des Arbeitsblattgenerators, d. h. das Wiederfinden und Zuordnen erstellter Arbeitsblätter durch den Verantwortlichen sowie der pseudonymisierte Zugriff der Klient:in über einen Zugangscode.
  3. Art der personenbezogenen Daten:
    • frei wählbarer Bezeichner des Profils (gemäß § 7a AGB dringend empfohlen: ausschließlich Pseudonyme),
    • optionale Freitext-Notiz des Verantwortlichen,
    • automatisch generierter Zugangscode,
    • technische Metadaten (Erstellungs- und Änderungszeitstempel, zugeordnete Arbeitsblatt-IDs).
  4. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Die Eingabe besonderer Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, in Klient:innen-Profile widerspricht der dringenden Empfehlung des Anbieters gemäß § 7a AGB. Sollte der Verantwortliche dennoch solche Daten eingeben, geschieht dies in seiner alleinigen datenschutzrechtlichen Verantwortung; eine bestimmungsgemäße Verarbeitung im Sinne dieses Vertrages liegt insoweit nicht vor. Der Verantwortliche ist für die Rechtsgrundlage einer etwaigen Verarbeitung nach Art. 9 Abs. 2 DSGVO selbst zuständig.
  5. Kategorien betroffener Personen: Klient:innen des Verantwortlichen, die im Konto-Feature als pseudonyme Profile angelegt werden.
  6. Dauer der Verarbeitung: Für die Laufzeit des Hauptvertrages, vorbehaltlich der Löschungspflichten nach § 8.

§ 3 Weisungsrecht des Verantwortlichen

  1. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist hierzu durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, verpflichtet; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Eine erstmalige Weisung wird durch diesen Vertrag und die im Hauptvertrag beschriebene bestimmungsgemäße Nutzung erteilt.
  2. Mündliche Weisungen sind unverzüglich in Textform (E-Mail genügt) zu bestätigen. Weisungen sind an bischof@theraki.net zu richten.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Er ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
  4. Eine Verarbeitung der Daten für eigene Zwecke des Auftragsverarbeiters findet nicht statt. Anonymisierte technische Statistiken (z. B. Anzahl Sessions, Fehlerprotokolle ohne Personenbezug) bleiben hiervon unberührt.

§ 4 Vertraulichkeit und Berufsgeheimnis

  1. Der Auftragsverarbeiter verpflichtet sich, alle ihm im Rahmen der Auftragsverarbeitung bekannt werdenden Daten streng vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung des Vertrages fort.
  2. Der Auftragsverarbeiter erbringt die Leistung als Einzelperson. Er verpflichtet sich persönlich zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO sowie Art. 5 Abs. 1 lit. f und Art. 32 Abs. 4 DSGVO.
  3. Der Auftragsverarbeiter wird hiermit ausdrücklich gemäß § 203 Abs. 4 StGB als an der beruflichen Tätigkeit des Verantwortlichen mitwirkende sonstige Person im datenverarbeitenden Bereich auf die Verschwiegenheit verpflichtet. Er ist sich der strafrechtlichen Folgen eines Geheimnisverrats nach § 203 StGB bewusst.
  4. Werden in Zukunft weitere Personen mit der Verarbeitung betraut, verpflichtet der Auftragsverarbeiter diese vor Aufnahme der Tätigkeit schriftlich entsprechend Absatz 2 und 3.

§ 5 Technische und organisatorische Maßnahmen

  1. Der Auftragsverarbeiter trifft die in Anhang 1 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO und hält diese während der Vertragsdauer aufrecht.
  2. Die TOMs unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter darf einzelne Maßnahmen anpassen oder durch gleichwertige ersetzen, sofern das Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen werden dem Verantwortlichen in Textform mitgeteilt.
  3. Auf Verlangen weist der Auftragsverarbeiter die Einhaltung der TOMs durch geeignete Belege nach (z. B. Konfigurationsauszüge, aktuelle Fassung dieses Anhangs).

§ 6 Subunternehmer (Allgemeine Genehmigung)

  1. Der Verantwortliche stimmt mit Abschluss dieses Vertrages dem Einsatz der in Anlage 2 aufgeführten Subunternehmer (weiteren Auftragsverarbeiter) zu. Aktuell ist dies ausschließlich die Strato AG (Hosting, Deutschland).
  2. Im Übrigen erteilt der Verantwortliche eine allgemeine Genehmigung i.S.v. Art. 28 Abs. 2 Satz 2 DSGVO zur Hinzuziehung oder Ersetzung weiterer Subunternehmer. Der Auftragsverarbeiter informiert den Verantwortlichen jedoch über jede beabsichtigte Änderung mindestens 14 Tage vorher in Textform (z. B. per E-Mail an die hinterlegte Kontaktadresse oder durch Aktualisierung der Anlage 2 mit gesonderter Mitteilung).
  3. Der Verantwortliche kann der beabsichtigten Änderung innerhalb der genannten Frist in Textform widersprechen. Bei berechtigtem Widerspruch können beide Parteien den Hauptvertrag außerordentlich kündigen; bis dahin verarbeitet der Auftragsverarbeiter die Daten ausschließlich beim bisherigen Subunternehmer.
  4. Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR findet nicht statt. Sämtliche Verarbeitung erfolgt ausschließlich in Deutschland. Drittlandtransfer ist von der allgemeinen Genehmigung nach Absatz 2 ausgenommen und bedarf vorheriger Zustimmung des Verantwortlichen in Textform; er erfolgt ausschließlich unter den Voraussetzungen der Art. 44 ff. DSGVO.
  5. Der Auftragsverarbeiter stellt sicher, dass mit jedem Subunternehmer ein Vertrag nach Art. 28 DSGVO besteht, der dem Schutzniveau dieses Vertrages entspricht.

§ 7 Unterstützung des Verantwortlichen

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten aus den Art. 12 bis 22 sowie 32 bis 36 DSGVO, insbesondere bei:
    • Anträgen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–22 DSGVO),
    • der Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO),
    • der Durchführung von Datenschutz-Folgenabschätzungen und vorheriger Konsultation (Art. 35, 36 DSGVO).
  2. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und antwortet nicht ohne dessen Weisung.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung, über Verletzungen des Schutzes personenbezogener Daten, die im Rahmen seiner Verarbeitungstätigkeit aufgetreten sind. Die Meldung erfolgt per E-Mail an die hinterlegte Kontaktadresse des Verantwortlichen und enthält mindestens die in Art. 33 Abs. 3 DSGVO geforderten Angaben, soweit verfügbar. Die Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO obliegt dem Verantwortlichen.
  4. Unterstützungsleistungen, die über das gesetzlich Geschuldete und den üblichen Aufwand erheblich hinausgehen (z. B. wiederholte Mass-Exports, Audits vor Ort), kann der Auftragsverarbeiter nach vorheriger Ankündigung mit einem angemessenen Stundensatz abrechnen.

§ 8 Löschung und Rückgabe nach Vertragsende

  1. Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle im Rahmen der Auftragsverarbeitung gespeicherten personenbezogenen Daten des Verantwortlichen oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung bzw. Rückgabe erfolgt spätestens 30 Tage nach Vertragsende.
  2. Auf Verlangen des Verantwortlichen werden die Daten vor der Löschung in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON) bereitgestellt. Das Verlangen ist spätestens 14 Tage nach Vertragsende in Textform zu erklären.
  3. Bestehende Server-Backups, die personenbezogene Daten enthalten können, laufen nach den Rotationsregeln des Hosting-Providers regulär aus. Eine aktive Löschung einzelner Datensätze aus Backups ist technisch nicht möglich; der Auftragsverarbeiter sichert zu, dass diese Backups ausschließlich für Disaster Recovery genutzt und nicht zur Wiederherstellung produktiv eingesetzt werden, sobald die Hauptverarbeitung beendet ist.
  4. Auf Verlangen weist der Auftragsverarbeiter die Löschung in Textform nach.

§ 9 Nachweise und Kontrollrechte

  1. Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung seiner Pflichten aus diesem Vertrag in geeigneter Weise nach, insbesondere durch Vorlage einer aktuellen Fassung der TOMs (Anhang 1) und schriftlicher Auskünfte.
  2. Der Verantwortliche ist berechtigt, sich von der Einhaltung der Pflichten nach Maßgabe des Art. 28 Abs. 3 lit. h DSGVO zu überzeugen. Kontrollen erfolgen in der Regel remote (z. B. durch Fragebogen, Auskunft per E-Mail, gemeinsamen Video-Termin).
  3. Vor-Ort-Kontrollen sind auf das Notwendige zu beschränken und mindestens vier Wochen vorher in Textform anzukündigen. Sie dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen. Sie finden während der üblichen Geschäftszeiten und nicht häufiger als einmal jährlich statt, es sei denn, ein konkreter Anlass rechtfertigt eine zusätzliche Prüfung.
  4. Der Auftragsverarbeiter darf den durch eine Kontrolle entstehenden eigenen Aufwand, der über den üblichen Rahmen hinausgeht, nach vorheriger Ankündigung in Rechnung stellen.

§ 10 Haftung

  1. Die Haftung der Parteien gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO.
  2. Im Innenverhältnis haftet jede Partei für Schäden, die durch eine ihr zurechenbare Pflichtverletzung entstehen. Eine gesamtschuldnerische Haftung im Außenverhältnis bleibt davon unberührt; eine Partei, die in Anspruch genommen wird, kann von der anderen Partei den auf diese entfallenden Anteil zurückverlangen.
  3. Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter sowie von Bußgeldern der Aufsichtsbehörden frei, die darauf beruhen, dass der Verantwortliche unter Verstoß gegen § 7a AGB Klarnamen, Gesundheitsdaten oder andere besondere Kategorien personenbezogener Daten im Konto-Feature eingegeben hat.
  4. Soweit gesetzlich zulässig, ist die Haftung des Auftragsverarbeiters für einfache Fahrlässigkeit auf den vorhersehbaren, vertragstypischen Schaden begrenzt. Die Haftung für Vorsatz, grobe Fahrlässigkeit, Verletzung von Leben, Körper oder Gesundheit sowie nach zwingenden gesetzlichen Vorschriften bleibt unberührt.

§ 11 Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieser Klausel.
  2. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Gleiches gilt für etwaige Regelungslücken.
  3. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
  4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist Berlin, sofern der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
  5. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrages in datenschutzrechtlichen Fragen vor.

Anhang 1 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

1. Vertraulichkeit

BereichMaßnahme
ZutrittskontrolleVerarbeitung in zertifiziertem Rechenzentrum der Strato AG, Deutschland. Physischer Zutritt ausschließlich durch Strato-Personal nach deren Sicherheitskonzept. Kein physischer Zugriff durch den Auftragsverarbeiter notwendig.
ZugangskontrolleAuthentifizierung der Nutzer:innen per Einmalcode an die hinterlegte E-Mail-Adresse (Passwordless-Login, keine Klartext-Passwörter). Neuregistrierungen ausschließlich nach manueller Admin-Freigabe. SSH-Zugang zum Server ausschließlich per Public-Key, kein Passwort-Login. Sessions per HMAC-signiertem Cookie (HttpOnly, Secure, SameSite=Lax).
ZugriffskontrolleAnwendungsschicht in isoliertem Docker-Container. Datenzugriff ausschließlich über die Anwendung, getrennt nach Konten. Admin-Funktionen erfordern eigene Berechtigung. Verschlüsselung at-rest auf Hoster-Ebene (LUKS / Strato-seitige Festplattenverschlüsselung des Hosting-Providers).
TrennungskontrolleTrennung der Konten auf Anwendungsebene. Kein Cross-Account-Zugriff. Trennung von Produktiv- und Backup-Daten.
PseudonymisierungKlient:innen-Profile sollen gemäß § 7a AGB dringender Empfehlung folgend ausschließlich pseudonym angelegt werden. Die Verantwortung für die Pseudonymisierung liegt beim Verantwortlichen; die Re-Identifizierung erfolgt ausschließlich beim Verantwortlichen.

2. Integrität

BereichMaßnahme
WeitergabekontrolleTransportverschlüsselung TLS 1.2/1.3 mit Zertifikaten von Let's Encrypt, Auslieferung über Caddy. HTTP-Anfragen werden auf HTTPS umgeleitet. HSTS aktiviert.
EingabekontrolleServer-Access-Logs mit Zeitstempel, IP-Adresse und Request-Pfad für 30 Tage, anschließend automatisierte Löschung (längere Aufbewahrung nur zur Aufklärung konkreter sicherheitsrelevanter Vorfälle). Admin-Aktionen (z. B. Freigabe neuer Konten) werden protokolliert. Login-Versuche werden protokolliert.

3. Verfügbarkeit und Belastbarkeit

BereichMaßnahme
VerfügbarkeitHosting auf VPS bei Strato AG (Deutschland). Tägliche Snapshots durch den Hosting-Provider. Containerisierte Anwendung mit Auto-Restart. Ein hartes Service-Level-Agreement (SLA) wird durch den Auftragsverarbeiter nicht zugesichert; es gelten die SLA-Bedingungen des Hosting-Providers.
WiederherstellbarkeitBind-Mount der Datenpfade auf das Host-Filesystem ermöglicht Wiederherstellung aus Provider-Backups. Verschlüsselte Off-Site-Backup-Kopien. Konfiguration versioniert (Git).
DatenlöschungDokumentiertes Löschkonzept: Die Löschung eines Kunden-Accounts führt zur sofortigen Löschung der zugeordneten Klient:innen-Profile und gespeicherten Arbeitsblätter aus dem Produktivsystem. Backups laufen nach Rotationsregeln aus (§ 8 dieses Vertrages).

4. Verfahren zur regelmäßigen Überprüfung

BereichMaßnahme
Datenschutz-ManagementVerarbeitungsverzeichnis nach Art. 30 DSGVO geführt. Datenschutzerklärung und AGB öffentlich verfügbar. Single-Person-Betrieb ohne weitere Beschäftigte.
Incident-ResponseMeldekette: Erkennung durch Monitoring/Logs → Bewertung durch den Auftragsverarbeiter → Meldung an den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden ab Kenntnis (vgl. Art. 33 Abs. 1 DSGVO) per E-Mail an die hinterlegte Kontaktadresse des Verantwortlichen, ausgehend von bischof@theraki.net.
DrittanbieterKeine Einbindung von Drittanbieter-CDN, kein Tracking, keine Web-Analyse, keine externen Schriftarten, keine Werbenetzwerke. Audio-Inhalte werden serverseitig vorgeneriert; zur Laufzeit erfolgt kein Aufruf externer KI- oder TTS-APIs mit Nutzer:innen- oder Klient:innen-Daten. Ausschließliche Subverarbeitung durch Strato AG (Hosting, Deutschland) – siehe Anlage 2.
AuftragskontrolleAVV mit Strato AG vorhanden. Standort der Verarbeitung ausschließlich Deutschland.

Anlage 2 – Subunternehmer / weitere Auftragsverarbeiter

NameAnschriftLeistungVerarbeitungsort
Strato AG Pascalstraße 10, 10587 Berlin, Deutschland Hosting der Serverinfrastruktur (Virtual Private Server), tägliche Snapshots Deutschland (Berlin/Pankow, deutsche Rechenzentren der Strato AG)

Weitere Subunternehmer (z. B. Anbieter von Sprachsynthese-APIs, Übersetzungs- oder KI-Diensten) werden nicht eingesetzt. Audio-Inhalte werden lokal vorgeneriert; zur Laufzeit werden keine Klient:innen- oder Nutzer:innen-Daten an externe Anbieter übermittelt.

Verwandte Dokumente: Impressum · Datenschutzerklärung · AGB