Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Version 1.0 · Stand: Mai 2026
§ 1 Vertragsparteien und Gegenstand
Auftragsverarbeiter:
Therao, Gerresheimer Straße 13, 40211 Düsseldorf
E-Mail: info@therao.de
Verantwortlicher:
Der bei der Registrierung angegebene Therapeut bzw. die angegebene Praxis
(im Folgenden „Verantwortlicher").
Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch Therao im Auftrag des Verantwortlichen im Rahmen der Nutzung der Praxisverwaltungssoftware Therao.
§ 2 Art, Zweck und Umfang der Verarbeitung
| Merkmal | Details |
|---|---|
| Zweck der Verarbeitung | Bereitstellung der Praxisverwaltungssoftware Therao (Patientenverwaltung, Therapiedokumentation, Abrechnung, Kalender) |
| Art der Verarbeitung | Speicherung, Anzeige, Bearbeitung, Exportieren, Sichern und Löschen von Patientendaten auf Weisung des Verantwortlichen |
| Kategorien personenbezogener Daten | Stammdaten (Name, Adresse, Geburtsdatum, Kontaktdaten); Gesundheitsdaten gem. Art. 9 DSGVO (Diagnosen, Therapieprotokolle, Befunde, Fragebögen); Abrechnungs- und Versicherungsdaten |
| Kategorien betroffener Personen | Patienten des Verantwortlichen |
| Dauer der Verarbeitung | Für die Dauer des Nutzungsvertrags; nach Vertragsende Löschung auf Anfrage des Verantwortlichen |
§ 3 Pflichten des Auftragsverarbeiters
3.1 Weisungsgebundenheit
Therao verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaats schreibt eine Verarbeitung vor. Weisungen werden über die Nutzung der Software-Funktionen erteilt (z. B. Anlegen, Bearbeiten, Löschen von Datensätzen).
3.2 Vertraulichkeit
Therao stellt sicher, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3.3 Technische und organisatorische Maßnahmen (TOMs)
Therao ergreift folgende Maßnahmen gem. Art. 32 DSGVO:
- Verschlüsselte Übertragung aller Daten per TLS 1.2+ (HTTPS)
- Isolierte Datenbankinstanz pro Praxis (kein Tenant-übergreifender Datenzugriff)
- JWT-Authentifizierung (HS256, Access-Token 30 Min., Refresh-Token 7 Tage)
- Passwortschutz (PBKDF2-SHA256, 600.000 Iterationen, Mindestanforderungen)
- Credentials ausschließlich im Arbeitsspeicher (kein localStorage, kein Cookie)
- Vollständiges Audit-Log aller Zugriffe und Änderungen
- Tägliches automatisches Backup; verschlüsselte Datensicherung auf Anforderung (AES-256)
- Server in Deutschland (Hetzner, Rechenzentrum Nürnberg)
3.4 Unterstützung bei Betroffenenrechten
Therao stellt durch geeignete technische und organisatorische Maßnahmen sicher, dass der Verantwortliche seinen Pflichten zur Beantwortung von Anfragen betroffener Personen nachkommen kann (Art. 15–22 DSGVO). Die Software bietet hierfür Art.-17-Löschfunktion und Art.-20-Datenexport.
3.5 Unterstützung bei Sicherheitspflichten
Therao unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
3.6 Meldepflicht bei Datenpannen
Therao informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. Die Meldung erfolgt per E-Mail an die bei der Registrierung hinterlegte Adresse.
3.7 Löschung nach Vertragsende
Nach Beendigung des Nutzungsvertrags löscht Therao alle personenbezogenen Daten des Verantwortlichen auf dessen Anfrage hin, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung erfolgt innerhalb von 30 Tagen nach Eingang der Anfrage. Der Verantwortliche kann vorab einen Daten-Export anfordern (Art. 20 DSGVO).
3.8 Nachweispflicht
Therao stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen.
§ 4 Unterauftragnehmer
Therao ist berechtigt, folgende Unterauftragnehmer einzusetzen. Bei wesentlichen Änderungen informiert Therao den Verantwortlichen mit angemessenem Vorlauf:
| Unterauftragnehmer | Sitz | Zweck | Datenbasis |
|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Server-Hosting und Datenspeicherung | Alle Praxisdaten (Datenbankdateien auf Hetzner-Server) |
Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Eine Übermittlung in Drittländer außerhalb der EU/EEA findet nicht statt.
§ 5 Pflichten des Verantwortlichen
Der Verantwortliche ist verpflichtet:
- Therao unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt
- nur Daten in Therao einzutragen, für deren Verarbeitung eine Rechtsgrundlage besteht
- Zugangsdaten geheim zu halten und nicht an unbefugte Dritte weiterzugeben
- Patienten gemäß Art. 13 DSGVO über die Datenverarbeitung zu informieren (Therao stellt hierfür Vorlagen zur Verfügung)
§ 6 Haftung
Für Schäden, die durch eine Verarbeitung entstehen, die nicht den Weisungen des Verantwortlichen entspricht, haftet Therao. Wenn Therao nachweist, dass es für den Umstand, der den Schaden verursacht hat, nicht verantwortlich ist, kann es von der Haftung befreit werden (Art. 82 DSGVO).
§ 7 Schlussbestimmungen
Dieser Vertrag unterliegt deutschem Recht. Änderungen bedürfen der Textform. Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gilt dieser AVV für datenschutzrechtliche Fragen vorrangig.
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt der übrige Vertragsinhalt davon unberührt.