Auftragsverarbeitungsvereinbarung

Anhang 1 zu den Allgemeinen Geschäftsbedingungen · Stand: 17. Juli 2026

1. Gegenstand und Rollenverteilung

Diese Vereinbarung gemäß Art. 28 Abs. 3 DSGVO regelt die Verarbeitung personenbezogener Daten, die die Curabo GmbH, Währinger Straße 146/11, 1180 Wien (FN 682904x, Handelsgericht Wien) — nachfolgend „Auftragsverarbeiter" — im Auftrag des registrierten Therapeuten bzw. der registrierten Therapeutin — nachfolgend „Verantwortlicher" — durchführt. Sie ist Bestandteil der AGB und gilt für alle Therapeuten mit Curabo-Konto.

Abgrenzung: Für den Betrieb der Plattform selbst (Therapeuten-Verzeichnis und -Profile, Suche, Vermittlung von Buchungen und Anfragen, Bewertungen, Kommunikation mit Patienten im eigenen Namen) ist Curabo eigenständiger Verantwortlicher; Details regelt die Datenschutzerklärung. Diese Vereinbarung erfasst ausschließlich die in Ziffer 2 beschriebenen Leistungen, die Curabo als Werkzeug für die Praxisorganisation des Verantwortlichen erbringt.

2. Art, Zweck und Umfang der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen folgender Leistungen:

  • Klientenverwaltung (CRM): Anlage und Verwaltung von Klientendatensätzen, Notizen, Erinnerungen und Status
  • Behandlungsdokumentation: strukturierte Sitzungsdokumentation inklusive Nachträgen
  • Dokumentenablage: Speicherung von klientenbezogenen Dateien (z. B. Befunde)
  • Kalender- und Buchungsverwaltung: Terminverwaltung im Dashboard, Sperrzeiten, Serientermine sowie — auf Wunsch des Verantwortlichen — Synchronisation mit dessen externem Kalenderdienst und Bereitstellung von Kalender-Feeds

Zweck der Verarbeitung ist ausschließlich die Bereitstellung dieser Funktionen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

3. Kategorien betroffener Personen und Daten

Betroffene Personen: Klientinnen und Klienten (Patientinnen und Patienten) des Verantwortlichen sowie ggf. deren Kontaktpersonen.

Datenkategorien: Stammdaten (Name, Geburtsdatum), Kontaktdaten (E-Mail, Telefon, Adresse), Versicherungsart, zuweisende Ärztin/zuweisender Arzt, Termin- und Buchungsdaten, Notizen und Behandlungsdokumentation, hochgeladene Dokumente. Darin enthalten sind regelmäßig Gesundheitsdaten im Sinne des Art. 9 DSGVO; der Verantwortliche stellt sicher, dass er für deren Verarbeitung über eine geeignete Rechtsgrundlage (z. B. Art. 9 Abs. 2 lit. h DSGVO i.V.m. den berufsrechtlichen Dokumentationspflichten) verfügt.

4. Dauer

Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags (Registrierung) zwischen den Parteien. Ziffer 10 regelt die Löschung nach Vertragsende.

5. Weisungsbindung

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — diese ergibt sich aus dieser Vereinbarung und der Nutzung der Funktionen durch den Verantwortlichen — sofern er nicht durch Unions- oder Mitgliedstaatsrecht zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht verbietet. Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtswidrig, informiert er den Verantwortlichen unverzüglich.

6. Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugriff auf Auftragsdaten ist auf das für Betrieb und Support erforderliche Minimum beschränkt.

7. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und entwickelt sie entsprechend dem Stand der Technik fort, ohne das Schutzniveau wesentlich zu unterschreiten.

8. Subdienstleister

Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung von Subdienstleistern der folgenden Kategorien: Datenbank-, Speicher- und Backend-Infrastruktur (EU), Hosting, E-Mail-Versand sowie — soweit vom Verantwortlichen aktiviert — dessen externer Kalenderdienst. Der Auftragsverarbeiter verpflichtet Subdienstleister schriftlich auf Datenschutzpflichten, die dieser Vereinbarung entsprechen, und haftet für sie wie für eigenes Handeln.

Die aktuelle namentliche Liste der Subdienstleister stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage zur Verfügung (datenschutz@curabo.at). Über beabsichtigte Änderungen informiert er registrierte Therapeuten mindestens 30 Tage im Voraus per E-Mail; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Führt der Widerspruch zu keiner einvernehmlichen Lösung, kann jede Partei den Nutzungsvertrag ordentlich beenden.

Soweit Subdienstleister Daten in Drittländern verarbeiten, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses (insb. EU-US Data Privacy Framework) oder von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die Kerninfrastruktur (Datenbank, Dokumentenspeicher) liegt in der EU.

9. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) — insbesondere durch Export-, Berichtigungs- und Löschfunktionen im Dashboard — sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung), unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

Verletzungen des Schutzes personenbezogener Daten, die Auftragsdaten betreffen, meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich nach Bekanntwerden mit den nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen.

10. Löschung und Rückgabe

Nach Abschluss der Erbringung der Verarbeitungsleistungen — insbesondere nach Beendigung des Nutzungsvertrags — löscht der Auftragsverarbeiter alle Auftragsdaten, sofern nicht Unions- oder Mitgliedstaatsrecht eine weitere Speicherung verlangt. Der Verantwortliche kann seine Klientendaten zuvor selbst über das Dashboard exportieren; auf Wunsch unterstützt der Auftragsverarbeiter beim Export. Der Verantwortliche bleibt für die Erfüllung seiner berufsrechtlichen Aufbewahrungspflichten (z. B. Behandlungsdokumentation) selbst verantwortlich und hat Daten, die er dafür benötigt, vor Vertragsende zu exportieren.

11. Nachweis und Kontrolle

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung — in der Regel durch aktuelle Dokumentation der Maßnahmen nach Anlage 2 und geeignete Nachweise der eingesetzten Infrastruktur-Anbieter (z. B. Zertifizierungen und Auditberichte). Weitergehende Überprüfungen, einschließlich Inspektionen, ermöglicht er nach angemessener Vorankündigung, soweit sie erforderlich sind und Betriebs- und Geschäftsgeheimnisse sowie Daten anderer Verantwortlicher gewahrt bleiben.

12. Schlussbestimmungen

Bei Widersprüchen zwischen dieser Vereinbarung und den AGB geht diese Vereinbarung hinsichtlich des Datenschutzes vor. Es gilt österreichisches Recht; Gerichtsstand ist Wien. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit im Übrigen unberührt.

Anlage 1: Übersicht der Verarbeitung

  • Gegenstand: Praxis-Werkzeuge gemäß Ziffer 2 (CRM, Dokumentation, Dokumente, Kalender/Buchungsverwaltung)
  • Dauer: Laufzeit des Nutzungsvertrags
  • Betroffene: Klient:innen des Verantwortlichen
  • Datenkategorien: Stamm-, Kontakt-, Termin- und Abrechnungsbezugsdaten; Gesundheitsdaten (Dokumentation, Notizen, Dokumente)
  • Verarbeitungsort: EU (Irland) für Datenbank und Dokumentenspeicher

Anlage 2: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Verschlüsselung: Speicherung verschlüsselt (at rest); sämtliche Übertragungen TLS-verschlüsselt
  • Standort: Datenbank und Dokumentenspeicher in einem EU-Rechenzentrum (Irland)
  • Mandantentrennung & Zugriffskontrolle: Zugriff auf Klientendaten ausschließlich für das authentifizierte Konto des jeweiligen Verantwortlichen, technisch erzwungen auf Datenbank-Ebene (Row Level Security, spaltenweise Berechtigungen); kein anonymer Zugriff auf Auftragsdaten
  • Dokumentenzugriff: Dateien in privaten, nicht öffentlich zugänglichen Speicherbereichen; Abruf nur über kurzlebige signierte Zugriffslinks nach serverseitiger Berechtigungsprüfung
  • Integrität der Dokumentation: Finalisierte Behandlungsdokumentation ist technisch gegen nachträgliche Änderung gesperrt; Ergänzungen nur als gekennzeichnete Nachträge
  • Berechtigungskonzept: Least-Privilege-Prinzip für interne Dienste; privilegierte Operationen nur über serverseitige, geprüfte Funktionen
  • Protokollierung: Änderungsprotokollierung sicherheitsrelevanter Operationen
  • Verfügbarkeit: Regelmäßige automatisierte Backups der Datenbank durch den Infrastruktur-Anbieter
  • Authentifizierung: Konto-Zugang mit E-Mail/Passwort und serverseitiger Sitzungsverwaltung
  • Datenminimierung & Löschkonzept: Dokumentierte Speicher- und Löschfristen; automatisierte Anonymisierungs- bzw. Löschroutinen für abgelaufene Daten