praxis-website.at
Registrieren

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Stand: April 2026

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

Verantwortlicher (Auftraggeber): Der Kunde, der die Plattform praxis-website.atnutzt (nachfolgend „Auftraggeber“).

Auftragsverarbeiter: Oliver Streißelberger, Stadlauer Straße 8/28, 1220 Wien (nachfolgend „Auftragnehmer“).

(2) Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) der Plattform praxis-website.at und gilt für die Dauer des Vertragsverhältnisses. Er wird mit Zustimmung zu den AGB abgeschlossen.

(3) Die Dauer der Verarbeitung entspricht der Dauer des Hauptvertrages (Nutzungsvertrag über die Plattform), sofern in diesem AVV nicht abweichend geregelt.

§ 2 Gegenstand und Zweck der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zum Zweck der Bereitstellung der vertraglich vereinbarten Plattform-Dienstleistungen, insbesondere:

  • Hosting und Auslieferung der vom Auftraggeber erstellten Website
  • Speicherung und Darstellung von Website-Inhalten
  • Weiterleitung von Kontaktformular-Eingaben per E-Mail an den Auftraggeber (keine dauerhafte Speicherung)
  • KI-gestützte Inhaltsgenerierung auf Basis vom Auftraggeber bereitgestellter Daten
  • Bereitstellung rechtlicher Seiten (Impressum, Datenschutzerklärung)

(2) Die Verarbeitung erfolgt grundsätzlich in der EU/dem EWR. Verarbeitungen in Drittländern erfolgen nur im Rahmen der in Anlage 2 genannten Unterauftragsverarbeiter und unter den dort angegebenen Transfermechanismen.

§ 3 Art der verarbeiteten Daten und Kategorien betroffener Personen

(1) Kategorien betroffener Personen:

  • Website-Besucher des Auftraggebers (Patienten, Interessenten)
  • Kontaktpersonen, die über die Website des Auftraggebers Anfragen stellen

(2) Arten personenbezogener Daten:

  • Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer) und Nachrichteninhalte aus Kontaktformularen – diese werden nicht dauerhaft gespeichert, sondern unmittelbar per E-Mail an den Auftraggeber weitergeleitet
  • IP-Adressen und technische Zugriffsdaten (Server-Logfiles) von Website-Besuchern
  • Ggf. Gesundheitsdaten (besondere Kategorien gemäß Art. 9 DSGVO), sofern Website-Besucher in Kontaktformularen freiwillig gesundheitsbezogene Angaben machen

(3) Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) kann nicht ausgeschlossen werden, da Website-Besucher in Kontaktformularen eigeninitiativ gesundheitsbezogene Informationen mitteilen können. Der Auftraggeber ist als Verantwortlicher für die Einholung erforderlicher Einwilligungen verantwortlich.

(4) Der Auftraggeber hat seine Kontaktformulare so zu gestalten, dass nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten abgefragt werden und die Eingabe sensibler Daten (insbesondere Gesundheitsdaten) auf das Notwendige beschränkt wird (Art. 5 Abs. 1 lit. c DSGVO – Datenminimierung).

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).

(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten gemäß Art. 12–22 DSGVO (Betroffenenrechte) und Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung).

(5) Der Auftragnehmer verarbeitet die im Auftrag verarbeiteten personenbezogenen Daten nicht für eigene Zwecke. Insbesondere darf der Auftragnehmer die Daten nicht für Werbung, Marktforschung oder Profiling verwenden.

(6) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

§ 5 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.

(2) Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
  • Den Namen und die Kontaktdaten der Anlaufstelle für weitere Informationen
  • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Eindämmung

§ 6 Unterauftragsverarbeiter (Sub-Processors)

(1) Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter.

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail mindestens 30 Tage vor der geplanten Änderung.

(3) Der Auftraggeber hat das Recht, gegen die Änderung Einspruch zu erheben. Erhebt der Auftraggeber innerhalb von 30 Tagen nach Zugang der Mitteilung Einspruch, bemühen sich die Parteien um eine einvernehmliche Lösung. Kann keine einvernehmliche Lösung erzielt werden, hat der Auftraggeber das Recht, den Vertrag außerordentlich zu kündigen.

(4) Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Einhaltung durch die Unterauftragsverarbeiter verantwortlich.

§ 7 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses AVV und der anwendbaren Datenschutzvorschriften durch den Auftragnehmer zu überprüfen. Dies kann in Form von Audits, einschließlich Inspektionen, erfolgen.

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(3) Inspektionen vor Ort sind nach angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten und unter Wahrung der Geschäftsgeheimnisse des Auftragnehmers durchzuführen. Die Kosten einer Inspektion trägt der Auftraggeber, sofern bei der Inspektion keine Verstöße festgestellt werden.

(4) Alternativ zu einer Inspektion vor Ort kann der Auftragnehmer dem Auftraggeber einen aktuellen Nachweis über die Einhaltung der technischen und organisatorischen Maßnahmen vorlegen (z. B. Zertifizierungen, Auditberichte, Selbstauskünfte).

§ 8 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrages löscht oder gibt der Auftragnehmer — nach Wahl des Auftraggebers — sämtliche im Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern nicht nach Unionsrecht oder dem Recht des Mitgliedstaats eine Verpflichtung zur Speicherung besteht.

(2) Vor der Löschung stellt der Auftragnehmer dem Auftraggeber die Möglichkeit zur Verfügung, seine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu exportieren. Die Exportfrist beträgt 30 Tage ab Vertragsbeendigung (siehe § 13 der AGB).

(3) Der Auftragnehmer bestätigt dem Auftraggeber die vollständige Löschung schriftlich (E-Mail genügt).

§ 9 Schlussbestimmungen

(1) Dieser AVV unterliegt österreichischem Recht.

(2) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) gehen die Bestimmungen dieses AVV in Bezug auf den Datenschutz vor.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

1. Vertraulichkeit

Zutrittskontrolle (physisch)

  • Die Plattform wird vollständig in Cloud-Infrastruktur betrieben (Vercel, Supabase, AWS). Die physische Zutrittskontrolle zu Rechenzentren wird von den jeweiligen Cloud-Anbietern gewährleistet (ISO 27001 zertifiziert).

Zugangskontrolle (logisch)

  • Zugang zu Produktionssystemen nur für den Inhaber über Multi-Faktor-Authentifizierung (MFA)
  • Zugangsberechtigungen nach dem Prinzip der minimalen Berechtigung (Least Privilege)
  • Alle Zugänge zu Drittanbieterdiensten (Vercel, Supabase, Sentry, PostHog, Stripe, AWS) mit individuellen Zugangsdaten und MFA gesichert
  • API-Schlüssel werden ausschließlich als Umgebungsvariablen gespeichert und nicht in Code-Repositorien abgelegt

Zugriffskontrolle (datenbezogen)

  • Row-Level Security (RLS) in der Datenbank: Jeder Kunde kann nur auf seine eigenen Daten zugreifen
  • Rollenbasierte Zugriffskontrolle innerhalb der Anwendung
  • Mandantentrennung auf Datenbankebene (logische Trennung)

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

  • Kontaktformular-Daten werden nicht dauerhaft gespeichert, sondern unmittelbar per E-Mail an den Auftraggeber weitergeleitet
  • Analytische Daten werden ausschließlich in pseudonymisierter oder anonymisierter Form verarbeitet
  • PostHog-Nutzerdaten verwenden pseudonyme Identifikatoren statt personenbezogener Daten

Trennungskontrolle

  • Strikte logische Trennung der Daten verschiedener Kunden in der Datenbank
  • Getrennte Speicherbereiche (Storage Buckets) pro Kunde für hochgeladene Dateien

2. Integrität

Weitergabekontrolle

  • Verschlüsselung aller Datenübertragungen mit TLS 1.2 oder höher
  • Verschlüsselung der Datenbank at-rest (AES-256, durch Supabase/AWS bereitgestellt)
  • Kein unverschlüsselter Datentransfer

Eingabekontrolle

  • Protokollierung von Datenänderungen in der Anwendung
  • Audit-Log für sicherheitsrelevante Aktionen (Anmeldungen, Rechteänderungen)

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

  • Automatische Backups der Datenbank (durch Supabase, tägliche Point-in-Time Recovery)
  • Redundante Infrastruktur durch Cloud-Anbieter (Multi-AZ Deployment)
  • Monitoring und automatische Benachrichtigung bei Ausfällen (Sentry, Vercel)

Belastbarkeitskontrolle

  • Auto-Scaling der Anwendungsinfrastruktur (Vercel Serverless)
  • DDoS-Schutz durch Cloud-Infrastruktur (Vercel Edge Network)

4. Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
  • Automatische Sicherheitsupdates für Abhängigkeiten
  • Monitoring von Sicherheitswarnungen der eingesetzten Dienste

Anlage 2: Liste der Unterauftragsverarbeiter

UnterauftragsverarbeiterZweck der VerarbeitungStandort der VerarbeitungTransfermechanismus
Vercel Inc.
440 N Barranca Ave #4133, Covina, CA 91723, USA		Hosting und Auslieferung der Kunden-Websites, Edge FunctionsEU-RegionEU-Standardvertragsklauseln (SCCs)
Supabase Inc.
970 Toa Payoh North #07-04, Singapore 318992		Datenbank, Authentifizierung, DateispeicherungEU-Region (Frankfurt, Deutschland)EU-Standardvertragsklauseln (SCCs)
Functional Software Inc. (Sentry)
45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA		Fehlerverfolgung und MonitoringEU-Region (Frankfurt, Deutschland)EU-US Data Privacy Framework (DPF)
PostHog Inc.
2261 Market Street #4008, San Francisco, CA 94114, USA		Produktanalyse (anonymisiert)EU-Region (Frankfurt, Deutschland)DPA, vollständige EU-Verarbeitung
Stripe Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, USA		ZahlungsabwicklungUSA / EUEU-US DPF + SCCs
Google LLC
1600 Amphitheatre Parkway, Mountain View, CA 94043, USA		KI-gestützte Inhaltsgenerierung (Gemini, über Vercel AI Gateway)USAEU-US Data Privacy Framework (DPF)
Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855 Luxembourg		E-Mail-Versand (SES)EU-Region (Frankfurt, Deutschland)SCCs (im AWS DPA enthalten)
Cloudflare, Inc.
101 Townsend Street, San Francisco, CA 94107, USA		Spam- und Bot-Schutz (Turnstile CAPTCHA)Global (Edge-Netzwerk)EU-US Data Privacy Framework (DPF)

Hinweis: Die aktuelle Liste der Unterauftragsverarbeiter ist jederzeit unter praxis-website.at/avv einsehbar. Änderungen werden gemäß § 6 dieses AVV angekündigt.