Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO
zwischen
dem Kunden (Tierarztpraxis/Tierklinik)
— nachfolgend „Verantwortlicher“ —
und
Petla UG (haftungsbeschränkt)
Brühler Str. 183, 50968 Köln
— nachfolgend „Auftragsverarbeiter“ —
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen je nach gebuchtem Leistungsumfang folgende Dienste bereit:
a) Online-Terminbuchung und Praxisverwaltung:
- Online-Terminbuchungssystem (Buchungswidget auf der Website des Verantwortlichen)
- Praxis-Dashboard zur Termin- und Patientenverwaltung
- Digitales Neukundenformular
- E-Mail-Benachrichtigungssystem (Terminbestätigungen, Stornierungen, Umterminierungen)
b) Videosprechstunde (video.petla.app) — sofern vom Verantwortlichen gebucht:
- Durchführung von Videosprechstunden zwischen Tierarzt und Tierhalter
- Online-Terminbuchung mit integrierter Zahlungsabwicklung
- SMS- und Sprachanruf-Benachrichtigungen an den Tierarzt
- Upload medizinischer Unterlagen durch den Tierhalter
- Dokumentation von Gesprächszusammenfassungen durch den Tierarzt
Der Verantwortliche kann einen oder beide Leistungsbereiche nutzen. Die jeweils eingesetzten Unterauftragsverarbeiter ergeben sich aus § 6 Abs. 2.
(2) Die Verarbeitung beginnt mit Abschluss des Nutzungsvertrags und endet mit dessen Beendigung. Nach Vertragsende gelten die Regelungen in § 10.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck der:
- Entgegennahme und Verwaltung von Terminbuchungen
- Verwaltung von Kunden- und Tierstammdaten (Tierhalter und Tiere)
- Versand von Terminbestätigungen, -erinnerungen und Stornierungsbenachrichtigungen per E-Mail
- Bereitstellung digitaler Formulare zur Kundenregistrierung
- Speicherung und Bereitstellung von Dateianhängen, die der Tierhalter im Rahmen der Buchung hochlädt
- Berechnung von Fahrtzeiten und -routen für mobile Tierarztbesuche
- Sofern gebucht: Durchführung von Videosprechstunden und zugehöriger Zahlungsabwicklung
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
a) Stammdaten der Tierhalter:
- Anrede (Herr/Frau/Divers), Vorname, Nachname
- E-Mail-Adresse, Telefonnummer
- Geburtsdatum
- Anschrift (Straße, PLZ, Ort)
- Geolokationsdaten (Breitengrad/Längengrad — nur bei Hausbesuchen)
b) Tierdaten:
- Name, Tierart, Rasse, Geschlecht, Geburtsdatum
- Kastrations-/Sterilisationsstatus
- Gewicht, Farbe, Herkunftsland
- Chipnummer, EU-Heimtierausweisnummer
- Haltungsform (Freigänger/Wohnungskatze)
c) Vom Tierhalter bereitgestellte Gesundheitsinformationen:
- Vorerkrankungen, Medikamente, Allergien, Operationen (Angaben des Tierhalters im Neukundenformular)
- Behandlungsanlässe/Beschwerden
- Freitextnotizen
- Hochgeladene Dateien (Befunde, Fotos — JPEG, PNG, PDF, max. 3 Dateien à 5 MB)
Hinweis: Es handelt sich um vom Tierhalter bereitgestellte Vorabinformationen, nicht um vom Tierarzt erstellte Behandlungsdokumentation.
d) Versicherungsdaten (sofern vom Tierhalter im Neukundenformular angegeben):
- Versicherungstyp, Versicherer, Policennummer
- Versicherungsnehmer, Tarif, Versicherungsbeginn
e) Terminbezogene Daten:
- Datum, Uhrzeit, Dauer des Termins
- Terminart, zugewiesener Kalender
- Hausbesuch-Adresse inkl. Geokoordinaten
- Geschätzte Fahrtzeiten
f) Einwilligungsdaten:
- AGB-Zustimmung (Zeitstempel)
- Marketing-Einwilligung (ja/nein)
- Bestätigungstext und Zeitstempel bei Formularabgabe
- IP-Adresse bei Formularbestätigung
g) Zusätzlich bei Nutzung der Videosprechstunde:
- Audio- und Videostreams (Echtzeitübertragung, keine Aufzeichnung durch den Auftragsverarbeiter)
- Teilnehmer-Metadaten (Beitritts-/Austrittszeiten, Gesprächsdauer)
- Vom Tierarzt erstellte Gesprächszusammenfassungen
- Technische Bewertungen der Verbindungsqualität
- Feedback des Tierhalters
- Stripe-Kunden-ID und Zahlungsstatus (keine Speicherung vollständiger Kreditkartendaten — Verarbeitung ausschließlich durch Stripe als PCI-DSS-zertifizierten Zahlungsdienstleister)
§ 4 Kategorien betroffener Personen
- Tierhalter/Kunden des Verantwortlichen
- Potenzielle Neukunden (Personen, die einen Termin buchen oder ein Neukundenformular ausfüllen)
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten (Sicherheit, Datenschutz-Folgenabschätzung, Meldung von Datenpannen).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO), insbesondere durch:
- Bereitstellung einer Löschfunktion für Kundendaten im Dashboard
- Export von Kundendaten auf Anfrage
- Berichtigung von Stammdaten über das Dashboard
(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
§ 6 Unterauftragsverarbeitung
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter hinzuzuziehen. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung mit einer Frist von 14 Tagen vor der Beauftragung. Der Verantwortliche kann der Änderung widersprechen.
(2) Je nach gebuchtem Leistungsumfang werden folgende Unterauftragsverarbeiter eingesetzt:
A. Grundlegende Unterauftragsverarbeiter (alle Leistungen)
| Unterauftragsverarbeiter | Zweck | Verarbeitete Daten | Standort / Rechtsgrundlage |
|---|---|---|---|
| DigitalOcean, LLC | Hosting (App Platform), Managed PostgreSQL-Datenbank (inkl. automatischer täglicher Backups), Object Storage (Spaces) | Sämtliche Kunden-, Tier- und Buchungsdaten | Frankfurt (EU); USA — EU-Standardvertragsklauseln |
| Resend, Inc. | Versand transaktionaler E-Mails (Terminbestätigungen, Stornierungen, Erinnerungen) | E-Mail-Adresse, Name, Termindetails | USA — EU-Standardvertragsklauseln |
| Wildbit, LLC (Postmark) | Fallback-E-Mail-Versand | E-Mail-Adresse, Name, Termindetails | USA — EU-Standardvertragsklauseln |
| Google Ireland Ltd (Maps Platform) | Geocoding, Routenberechnung, Adressautovervollständigung (bei Hausbesuchen) | Adresse, Geokoordinaten | Irland (EU); Datenverarbeitung ggf. auch USA — EU-US Data Privacy Framework |
| Upstash, Inc. | Rate Limiting (Redis) | IP-Adressen, Request-Metadaten | EU (Frankfurt) |
| Functional Software, Inc. (Sentry) | Fehlerüberwachung und Performance-Monitoring | IP-Adressen, technische Fehlerdaten; im Fehlerfall ggf. personenbezogene Daten aus dem Anwendungskontext | EU (de.sentry.io) |
| Axiom, Inc. | Logging und Observability | Technische Log-Daten; im Einzelfall ggf. personenbezogene Daten | USA — EU-Standardvertragsklauseln |
| Vercel, Inc. | Hosting der Buchungsseite (Landing Page) und automatisches Deployment | IP-Adressen, Request-Daten, Formulardaten im Transit | USA — EU-Standardvertragsklauseln |
| Usercentrics GmbH | Cookie-Consent-Management auf der Buchungsseite | Einwilligungsdaten, IP-Adresse, Geräte-/Browserdaten | München, Deutschland (EU) |
B. Zusätzlich bei Nutzung der Online-Terminbuchung
| Unterauftragsverarbeiter | Zweck | Verarbeitete Daten | Standort / Rechtsgrundlage |
|---|---|---|---|
| Supabase, Inc. | PostgreSQL-Datenbank (Landing Page) | Buchungsdaten, Formulardaten | EU (aws-eu-central-1) |
| Google Ireland Ltd (Analytics) | Webanalyse der Buchungsseite | IP-Adresse (anonymisiert), Nutzungsverhalten, Geräte-/Browserdaten | Irland (EU); USA — EU-US Data Privacy Framework |
| PostHog, Inc. | Produktanalyse der Buchungsseite | IP-Adresse, Nutzungsverhalten, Seitenaufrufe | EU (eu.posthog.com) |
C. Zusätzlich bei Nutzung der Videosprechstunde (video.petla.app)
| Unterauftragsverarbeiter | Zweck | Verarbeitete Daten | Standort / Rechtsgrundlage |
|---|---|---|---|
| Daily, Inc. (Daily.co) | WebRTC-Videoplattform für Sprechstunden | Teilnehmer-Metadaten (Join/Leave-Zeiten, Dauer), Audio-/Videostreams (nicht aufgezeichnet) | USA — EU-Standardvertragsklauseln |
| Stripe, Inc. | Zahlungsabwicklung für Videosprechstunden | Name, E-Mail, Zahlungsdaten, Rechnungsadresse | Irland (EU); USA — EU-US Data Privacy Framework |
| Twilio, Inc. | SMS- und Sprachanruf-Benachrichtigungen an den Tierarzt | Telefonnummer, Termindetails | USA — EU-Standardvertragsklauseln |
| Vercel, Inc. (Blob Storage) | Dateispeicherung (vom Tierhalter hochgeladene Unterlagen) | Dateiinhalte (Befunde, Fotos) | USA — EU-Standardvertragsklauseln |
| Supabase, Inc. | PostgreSQL-Datenbank (Videosprechstunde) | Termin-, Kunden-, Tier- und Zahlungsdaten | EU (aws-eu-central-1) |
(3) Der Auftragsverarbeiter stellt sicher, dass jedem Unterauftragsverarbeiter mindestens die gleichen Datenschutzpflichten auferlegt werden wie in dieser Vereinbarung.
§ 7 Drittlandübermittlung
(1) Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind.
(2) Soweit Unterauftragsverarbeiter in den USA eingesetzt werden, erfolgt die Übermittlung auf Grundlage des EU-US Data Privacy Framework (soweit der Anbieter zertifiziert ist) oder der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
§ 8 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen:
Zutrittskontrolle:
- Serverinfrastruktur bei DigitalOcean in zertifizierten Rechenzentren (SOC 2 Type II, ISO 27001)
- Kein physischer Serverzugriff durch den Auftragsverarbeiter
Zugangskontrolle:
- Authentifizierung über E-Mail/Passwort mit Session-Management
- Rollenbasierte Zugriffskontrolle (Praxis-Ebene, Kalender-Ebene, Admin)
- API-Schlüssel-Authentifizierung für interne Schnittstellen
- Zugriff auf die Produktionsdatenbank ist auf die Geschäftsführung beschränkt
Zugriffskontrolle:
- Mandantentrennung: Jede Praxis sieht ausschließlich ihre eigenen Daten (clinicId-basierte Filterung auf Datenbankebene)
- Kalender-beschränkte Zugriffe möglich
- Vom Tierhalter per Formular bestätigte Daten sind im Dashboard unveränderbar
Eingabekontrolle:
- Alle Schreiboperationen erfordern authentifizierte Sessions
- Datenbank-Zeitstempel (createdAt, updatedAt) für alle Datensätze
- Formulareinreichungen mit IP-Adresse und Bestätigungszeitstempel protokolliert
Transportverschlüsselung:
- TLS/HTTPS für alle Datenübertragungen
- CSRF-Token-Schutz (httpOnly Cookies) für alle formularbezogenen Endpunkte
- HMAC-SHA256-Signaturen für Webhook-Kommunikation zwischen Systemen
- Verschlüsselte Datenbankverbindungen (SSL)
Verfügbarkeitskontrolle:
- Automatische tägliche Datenbank-Backups (DigitalOcean Managed Backups)
- Rate Limiting auf öffentlichen Endpunkten (IP-basiert)
- Honeypot-Felder zur Bot-Erkennung bei digitalen Formularen
Trennungskontrolle:
- Strikte Mandantentrennung über clinicId auf Datenbankebene
- Getrennte Staging- und Produktionsumgebungen
Vertraulichkeit:
- Alle Mitarbeiter des Auftragsverarbeiters sind zur Vertraulichkeit verpflichtet
§ 9 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme.
(2) Die Meldung enthält mindestens:
- Art der Verletzung
- Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
- Wahrscheinliche Folgen
- Ergriffene und vorgeschlagene Maßnahmen
§ 10 Löschung und Rückgabe von Daten
(1) Der Auftragsverarbeiter speichert und löscht personenbezogene Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen. Die Festlegung von Aufbewahrungsfristen obliegt dem Verantwortlichen.
(2) Der Verantwortliche kann Kundendaten jederzeit über die Löschfunktion im Dashboard selbst löschen. Die Löschung erfolgt kaskadierend:
- Löschung eines Kunden führt zur automatischen Löschung aller zugehörigen Tiere und Formulareinreichungen
- Buchungsdaten bleiben in anonymisierter Form erhalten (Kundenzuordnung wird entfernt)
- Hochgeladene Dateien werden zusammen mit der zugehörigen Buchung gelöscht
(3) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen innerhalb von 90 Tagen. Auf Wunsch werden die Daten vor Löschung in einem gängigen Format (CSV, JSON) exportiert und übergeben.
(4) Hinweis: Die Plattform dient der Terminbuchung und Kundenstammdatenverwaltung, nicht der tierärztlichen Behandlungsdokumentation. Der Verantwortliche ist selbst dafür verantwortlich, seine berufsrechtlichen und steuerrechtlichen Aufbewahrungspflichten in seinen eigenen Systemen zu erfüllen.
§ 11 Kontroll- und Prüfrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung durch Inspektionen oder Audits zu überprüfen, auch durch beauftragte Dritte.
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
(4) Diese Vereinbarung wird elektronisch durch Zustimmung zu den AGB von Petla abgeschlossen.
Version: 1.0
Stand: März 2026