Auftragsverarbeitungsvertrag (AVV) Vorlage für Österreich

GEGENSTAND, ART UND ZWECK DER VERARBEITUNG

Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten ausschließlich zum folgenden Zweck (Art. 28 Abs. 3 lit. a DSGVO):

Hosting und Betrieb der CRM- und Kundendatenbank des Verantwortlichen auf einer Software-as-a-Service-Plattform; Versand transaktionaler und marketingbezogener E-Mails an Kunden und Newsletter-Abonnenten; Cloud-Speicherung und Backup von Kundendokumenten; Auswertung von Nutzungs- und Performance-Daten zur Verbesserung der Plattform.

Die Verarbeitung umfasst insbesondere die Tätigkeiten der Erhebung, Speicherung, Organisation, Strukturierung, Veränderung, Abfrage, Verwendung, Offenlegung, Löschung und Vernichtung der personenbezogenen Daten im Rahmen des vereinbarten Zwecks (Art. 4 Z 2 DSGVO). Eine Verarbeitung für eigene Zwecke des Auftragsverarbeiters oder zu anderen als den vereinbarten Zwecken ist ausgeschlossen und stellt eine schwerwiegende Vertragsverletzung dar.

VERTRAGSDAUER

Dieser Vertrag beginnt am 15. Mai 2026 und läuft auf unbestimmte Dauer. Die Dauer entspricht der Laufzeit des Hauptvertrags, der die Datenverarbeitung veranlasst. Bei Beendigung des Hauptvertrags endet dieser AVV automatisch, ohne dass es einer gesonderten Kündigung bedarf; die Pflichten zur Rückgabe bzw. Löschung der personenbezogenen Daten (Art. 28 Abs. 3 lit. g DSGVO) sowie zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) bleiben von der Beendigung unberührt und wirken fort.

KATEGORIEN BETROFFENER PERSONEN UND ART DER DATEN

Kategorien betroffener Personen (Art. 28 Abs. 3 DSGVO):
Kundinnen und Kunden des Verantwortlichen (B2B- und B2C-Kunden); Interessenten und Newsletter-Abonnenten; Mitarbeiterinnen und Mitarbeiter des Verantwortlichen mit Plattformzugang; externe Beraterinnen und Berater sowie Dienstleister mit Plattformzugang; Nutzerinnen und Nutzer der Webplattform.

Kategorien der verarbeiteten personenbezogenen Daten:
Stammdaten und Kontaktdaten (Name, Vorname, Anschrift, E-Mail, Telefon, Geburtsdatum); Vertrags- und Abrechnungsdaten (Verträge, Rechnungen, Zahlungsverlauf, Bankverbindung); Nutzungs- und Verhaltensdaten (Login-Zeiten, IP-Adressen, Browsertyp, Geräte-IDs, Klickverhalten); Kommunikationsverlauf (E-Mail-Korrespondenz, Support-Tickets); Marketing-Präferenzen (Einwilligungen, Opt-outs).

Art der Daten / besondere Kategorien personenbezogener Daten:
Es werden regelmäßig keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit etc.) sowie keine Daten über strafrechtliche Verurteilungen iSv Art. 10 DSGVO verarbeitet. Sollte ausnahmsweise eine Verarbeitung erforderlich werden, informieren sich die Parteien vorgängig gegenseitig schriftlich.

Die Parteien werden die vorstehenden Angaben bei Bedarf gemeinsam aktualisieren und in einem Nachtrag zu diesem Vertrag festhalten. Die Verarbeitungsverzeichnisse werden gemäß Art. 30 DSGVO jeweils eigenverantwortlich geführt.

WEISUNGSBINDUNG UND RECHTMÄSSIGKEIT

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), einschließlich in Bezug auf die Übermittlung von Daten an ein Drittland oder eine internationale Organisation. Eine darüber hinausgehende Verarbeitung ist nur zulässig, wenn:
• sie durch das Recht der Europäischen Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, vorgeschrieben ist; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen die rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
• der Verantwortliche einer zusätzlichen Verarbeitung ausdrücklich schriftlich zugestimmt hat.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO, das DSG oder andere datenschutzrechtliche Bestimmungen der EU oder Österreichs verstößt (Art. 28 Abs. 3 UAbs. 2 DSGVO).

VERTRAULICHKEIT

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Die Vertraulichkeitspflicht besteht auch nach Beendigung der jeweiligen Tätigkeit der betreffenden Person sowie nach Beendigung dieses Vertrags zeitlich unbefristet fort.

Der Auftragsverarbeiter gewährt Zugriff auf die personenbezogenen Daten nur denjenigen Mitarbeitern und Beauftragten, die diesen zur Erfüllung ihrer Aufgaben im Rahmen dieses Vertrags zwingend benötigen (Grundsatz «need-to-know» / Art. 5 Abs. 1 lit. f DSGVO — Vertraulichkeit).

SUB-AUFTRAGSVERARBEITER

Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) beizuziehen (Art. 28 Abs. 2 Satz 2 DSGVO — allgemeine schriftliche Genehmigung). Er informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mit einer Vorlauffrist von mindestens 30 Tagen vorab in Textform, sodass der Verantwortliche aus sachlich gerechtfertigten Gründen Einspruch erheben kann.

Der Auftragsverarbeiter verpflichtet eingesetzte Sub-Auftragsverarbeiter vertraglich zu Datenschutzpflichten, die denjenigen dieses Vertrags inhaltlich entsprechen und insbesondere hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten (Art. 28 Abs. 4 DSGVO). Er haftet gegenüber dem Verantwortlichen für die Erfüllung der Datenschutzpflichten der von ihm beigezogenen Sub-Auftragsverarbeiter wie für eigenes Handeln. Eine aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter wird dem Verantwortlichen auf Anfrage offengelegt und ist Gegenstand der laufenden Aktualisierung.

Aktuell eingesetzte Sub-Auftragsverarbeiter:
Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg (Cloud-Infrastruktur, Rechenzentren in Frankfurt und Wien); Twilio Ireland Limited, 25-28 North Wall Quay, Dublin 1, Irland (E-Mail-Versand und SMS); Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland (Zahlungsabwicklung).

STANDORT DER VERARBEITUNG UND DRITTLANDSTRANSFER

Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich im Europäischen Wirtschaftsraum (EU/EWR), in dem das Schutzniveau der DSGVO unmittelbar gewährleistet ist. Eine Übermittlung in Drittländer (außerhalb des EU/EWR) erfolgt ausschließlich unter Einhaltung der Voraussetzungen der Art. 44-49 DSGVO. Der Auftragsverarbeiter dokumentiert sämtliche Drittlandsübermittlungen und stellt dem Verantwortlichen auf Anfrage die entsprechenden Nachweise (z.B. unterzeichnete SCC, TIA-Dokumentation, ergänzende Schutzmaßnahmen) zur Verfügung. Bei Änderungen am Verarbeitungsstandort informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig im Voraus, damit dieser eine erneute datenschutzrechtliche Bewertung vornehmen kann.

MELDEPFLICHT BEI VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten (Art. 4 Z 12 DSGVO) — insbesondere unbefugten Zugriff, Verlust, Veränderung oder Offenlegung — unverzüglich nach Kenntnisnahme, spätestens jedoch innerhalb von 72 Stunden (Art. 33 Abs. 2 DSGVO). Die Meldung an den Verantwortlichen ermöglicht diesem die Einhaltung der eigenen 72-Stunden-Meldefrist gegenüber der Datenschutzbehörde nach Art. 33 Abs. 1 DSGVO.

Die Meldung an den Verantwortlichen enthält mindestens (Art. 33 Abs. 3 DSGVO sinngemäß):
• eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
• eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Der Verantwortliche entscheidet über die Meldung an die Datenschutzbehörde (DSB, Barichgasse 40-42, 1030 Wien) gemäß Art. 33 DSGVO sowie über die Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung dieser Meldepflichten (Art. 28 Abs. 3 lit. f DSGVO).

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM)

Der Auftragsverarbeiter trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Insbesondere werden folgende Maßnahmen umgesetzt:

Technische Maßnahmen (Art. 32 Abs. 1 DSGVO):
Verschlüsselung der Datenübertragung (TLS 1.2 oder höher) und der ruhenden Daten (AES-256 oder gleichwertig) — Art. 32 Abs. 1 lit. a DSGVO; rollenbasierte Zugriffskontrolle (RBAC) und dokumentiertes Berechtigungskonzept; Multi-Faktor-Authentifizierung (MFA) für administrative und privilegierte Zugänge; Protokollierung und Auditierung sicherheitsrelevanter Zugriffe und Veränderungen; Pseudonymisierung und Anonymisierung, wo technisch sinnvoll (Art. 32 Abs. 1 lit. a DSGVO); Firewall, Intrusion Detection / Prevention (IDS/IPS), regelmäßige Penetrationstests; regelmäßige Datensicherung mit getestetem Wiederherstellungsverfahren (Art. 32 Abs. 1 lit. c DSGVO); Patch- und Update-Management; physische Zugangskontrolle zu Rechenzentren (Zutritt nur mit Berechtigungsnachweis, Videoüberwachung, Brandschutz); sicheres Löschverfahren nach Vertragsende oder bei Speichermedien-Außerdienststellung.

Organisatorische Maßnahmen:
Schriftliche Vertraulichkeitsverpflichtung aller mit der Verarbeitung betrauten Personen (Art. 28 Abs. 3 lit. b DSGVO); regelmäßige (mindestens jährliche) Datenschutz- und Informationssicherheitsschulungen mit dokumentierter Teilnahme; schriftliche interne Datenschutzrichtlinien und Verfahrensanweisungen (Privacy by Design / by Default — Art. 25 DSGVO); regelmäßige interne und externe Audits sowie Risikoanalysen; Notfall- und Business-Continuity-Management mit dokumentiertem Wiederanlaufplan (Art. 32 Abs. 1 lit. c DSGVO); dokumentiertes Verfahren zur Behandlung von Datenpannen (Incident Response); Bestellung eines Datenschutzbeauftragten gemäß Art. 37-39 DSGVO, soweit gesetzlich erforderlich; Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs (Art. 32 Abs. 1 lit. d DSGVO).

Der Auftragsverarbeiter überprüft die Wirksamkeit dieser Maßnahmen regelmäßig (Art. 32 Abs. 1 lit. d DSGVO) und passt sie bei Bedarf an den aktuellen Stand der Technik sowie an neu erkannte Risiken an. Auf Verlangen werden die Maßnahmen in einem TOM-Konzept dokumentiert vorgelegt.

UNTERSTÜTZUNG DES VERANTWORTLICHEN BEI BETROFFENENRECHTEN

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung der folgenden Pflichten (Art. 28 Abs. 3 lit. e und f DSGVO):
• Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III DSGVO, insbesondere Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Recht auf Nichtunterwerfung unter eine ausschließlich automatisierte Entscheidung (Art. 22);
• Einhaltung der Sicherheit der Verarbeitung (Art. 32 DSGVO);
• Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) und Benachrichtigung der betroffenen Personen (Art. 34 DSGVO);
• Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

Anträge betroffener Personen, die direkt an den Auftragsverarbeiter gerichtet werden, leitet dieser unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht eigenständig, sofern der Verantwortliche nichts anderes dokumentiert anweist.

NACHWEIS- UND AUDITRECHTE

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — die vom Verantwortlichen oder einem anderen von diesem beauftragten, zur Verschwiegenheit verpflichteten unabhängigen Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO).

Vor-Ort-Audits sind mit einer Vorlauffrist von mindestens 14 Tagen während der ordentlichen Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs des Auftragsverarbeiters anzukündigen. Die Kosten üblicher, routinemäßiger Audits trägt der Verantwortliche selbst; außerordentliche Audits aus konkretem Anlass (z.B. nach einer Datenpanne, bei begründetem Verdacht auf Vertragsverletzung) trägt der Auftragsverarbeiter, wenn ein Mangel festgestellt wird.

Der Auftragsverarbeiter legt dem Verantwortlichen auf Anfrage anerkannte Zertifizierungen und Prüfberichte (z.B. ISO 27001, ISO 27018, SOC 2 Type II, ISAE 3402, BSI C5, TÜV-Datenschutzzertifikat) als Nachweis vor.

BEENDIGUNG, RÜCKGABE UND LÖSCHUNG

Nach Beendigung dieses Vertrags — gleich aus welchem Rechtsgrund — ist der Auftragsverarbeiter nach Wahl des Verantwortlichen verpflichtet, innerhalb von 30 Tagen sämtliche personenbezogenen Daten in einem gängigen Format an den Verantwortlichen zurückzugeben und anschließend aus allen Systemen einschließlich Sicherungen unwiderruflich zu löschen und die Löschung schriftlich zu bestätigen (Art. 28 Abs. 3 lit. g DSGVO). Vorbehalten bleiben gesetzliche Aufbewahrungspflichten — insbesondere die siebenjährige Aufbewahrungsfrist nach § 132 BAO sowie nach § 212 UGB für Bücher und Geschäftspapiere — die eine längere Aufbewahrung erfordern; in diesem Umfang wirkt die Vertraulichkeitspflicht fort und die Daten werden ausschließlich zum Zweck der gesetzlichen Aufbewahrung (eingeschränkter Zweck) verarbeitet.

HAFTUNG UND SCHADENERSATZ

Die Parteien haften nach den gesetzlichen Bestimmungen, insbesondere nach Art. 82 DSGVO sowie nach den allgemeinen Schadenersatzvorschriften des österreichischen Rechts (§§ 1295 ff. ABGB). Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die aus einer Verletzung seiner Pflichten nach diesem Vertrag oder nach speziell den Auftragsverarbeitern auferlegten Pflichten der DSGVO (Art. 82 Abs. 2 Satz 2 DSGVO) entstehen, sowie für das Handeln seiner Mitarbeiter, Erfüllungsgehilfen (§ 1313a ABGB) und Sub-Auftragsverarbeiter wie für eigenes Handeln. Der Auftragsverarbeiter haftet ferner, wenn er den rechtmäßig erteilten Anweisungen des Verantwortlichen nicht nachgekommen ist oder gegen sie gehandelt hat. Geldbußen nach Art. 83 DSGVO (bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes) bleiben vorbehalten.

SCHRIFTFORM, SALVATORISCHE KLAUSEL, ANWENDBARES RECHT UND GERICHTSSTAND

(a) Schriftform: Dieser Vertrag bedarf gemäß Art. 28 Abs. 9 DSGVO der Schriftform; dieses Erfordernis kann auch in einem elektronischen Format erfüllt werden (qualifizierte elektronische Signatur nach eIDAS-VO Art. 25 / österreichisches SVG). Änderungen, Ergänzungen und Nebenabreden zu diesem Vertrag bedürfen zu ihrer Gültigkeit derselben Form (§ 884 ABGB). Dies gilt auch für den Verzicht auf das Schriftformerfordernis selbst.

(b) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam, ungültig oder nicht durchsetzbar sein oder werden, so wird die Gültigkeit der übrigen Bestimmungen davon nicht berührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlich Gewollten und dem Zweck des Datenschutzes möglichst nahekommt.

(c) Rangfolge: Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag oder anderen Vereinbarungen der Parteien gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor. Die Bestimmungen der DSGVO und des DSG bleiben in jedem Fall unberührt und gehen entgegenstehenden Vertragsregelungen vor.

(d) Anwendbares Recht: Dieser Vertrag unterliegt ausschließlich österreichischem Recht unter Ausschluss seiner kollisionsrechtlichen Verweisungsnormen sowie unter Ausschluss des UN-Kaufrechts (CISG). Vorrangig anzuwenden bleibt die unmittelbar geltende Datenschutz-Grundverordnung (Art. 28 DSGVO).

(e) Gerichtsstand: Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Wien (§ 104 JN — Vereinbarung über die Zuständigkeit, iVm Art. 25 Brüssel-Ia-VO (EU) 1215/2012). Davon unberührt bleibt der gesetzliche Gerichtsstand zwingender Verbraucherschutzbestimmungen.

(f) Aufsichtsbehörde: Zuständige Aufsichtsbehörde in Österreich ist die Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, Tel. +43 1 521 52-25 69, dsb@dsb.gv.at, www.dsb.gv.at (§ 18 DSG iVm Art. 51 DSGVO).