Rechtliches

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Version 2.0 – Stand: März 2026

Mit der Nutzung dieser Software erklären Sie sich mit diesem Auftragsverarbeitungsvertrag einverstanden.

1. Vertragsgegenstand

Dieser Auftragsverarbeitungsvertrag (AVV) wird gemäß Art. 28 DSGVO geschlossen und regelt die Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Verarbeitung personenbezogener Daten.

Der AVV gilt für das Hosting, den Betrieb, die Wartung und die Weiterentwicklung von Softwareanwendungen auf VPS-Infrastruktur (Virtual Private Server). Die Anwendungen werden zentral auf einem VPS gehostet und vom Auftragsverarbeiter technisch betreut.

2. Vertragsparteien

AuftraggeberDer jeweilige Kunde (Verantwortlicher)

AuftragsverarbeiterDaniel Reichhart, Parzhofstraße 14, 4040 Linz, Kleinunternehmer

3. Gegenstand und Dauer

Dieser AVV gilt ausschließlich für die Dauer der aktiven Nutzung der Software durch den Auftraggeber. Der AVV beginnt mit der erstmaligen Nutzung der Software und endet mit der vollständigen Beendigung der Nutzung.

Nach Beendigung der Nutzung erfolgt die Löschung personenbezogener Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Gesetzliche Aufbewahrungsfristen gemäß BAO (Bundesabgabenordnung) und UGB (Unternehmensgesetzbuch) bleiben unberührt.

4. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

Technischer Betrieb der Softwareanwendungen
Hosting auf VPS-Infrastruktur
Wartung und technische Betreuung
Datensicherung (Backups)
IT-Sicherheit und Systemschutz
Weiterentwicklung und Optimierung der Software

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nicht für eigene Zwecke. Eine Nutzung der Daten zu Marketing-, Analyse- oder sonstigen eigenen Zwecken findet nicht statt. Der Auftragsverarbeiter überprüft keine Inhalte und wertet keine personenbezogenen Daten des Auftraggebers aus.

5. Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können folgende Kategorien personenbezogener Daten verarbeitet werden:

Stammdaten (Name, Firma, Adresse)
Kontaktdaten (E-Mail, Telefon)
Kunden- und Auftragsdaten
Fahrzeug- und Vertragsdaten
Fotos, Dokumente und Berichte
Nutzungs- und Protokolldaten (Login, Aktivität)
Rechnungsdaten

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten, religiöse Überzeugungen, biometrische Daten) ist nicht Gegenstand dieses Vertrags und wird nicht gezielt verarbeitet. Sollte der Auftraggeber solche Daten in der Software speichern, liegt die Verantwortung für die Rechtmäßigkeit der Verarbeitung ausschließlich beim Auftraggeber.

6. Betroffene Personen

Kunden des Verantwortlichen
Mitarbeiter des Verantwortlichen
Geschäftspartner
Sonstige natürliche Personen, deren Daten im System verarbeitet werden

7. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere zu folgenden Pflichten:

Weisungsgebundenheit: Daten werden ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeitet. Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen.
Vertraulichkeit: Alle Personen, die Zugang zu personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet. Der Auftragsverarbeiter gewährleistet die Vertraulichkeit aller verarbeiteten Daten.
Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter setzt technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um und hält diese aufrecht (siehe § 8 dieses AVV).
Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten innerhalb von 72 Stunden nach Eingang einer entsprechenden Anfrage.
Meldung von Datenschutzverletzungen: Datenschutzverletzungen werden dem Verantwortlichen unverzüglich, spätestens jedoch binnen 24 Stunden nach Bekanntwerden, gemeldet.
Unterstützung bei DSFA: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO, soweit dies erforderlich ist.
Verzeichnis der Verarbeitungstätigkeiten: Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.

8. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Zutrittskontrolle

Die Server werden in gesicherten Rechenzentren des Hosting-Providers betrieben. Der Auftragsverarbeiter hat keinen physischen Zugang zu den Rechenzentren. Die physische Zutrittssicherung wird durch den Hosting-Provider gewährleistet.

Zugangskontrolle

Der Zugang zu Servern erfolgt ausschließlich über SSH-Keys. Es ist kein Passwort-Login möglich. Es besteht eine strikte Rollentrennung zwischen administrativem Zugang und Anwendungszugang.

Zugriffskontrolle

Es wird eine rollenbasierte Zugriffskontrolle (RBAC) eingesetzt. Passwörter werden mit bcrypt gehasht und gesalzen. Sessions sind mit den Attributen HttpOnly, Secure und SameSite konfiguriert.

Übertragungssicherheit

Sämtliche Datenübertragungen erfolgen über HTTPS/TLS. Die TLS-Zertifikate werden über Let's Encrypt bereitgestellt und automatisch erneuert. Es besteht eine erzwungene Weiterleitung von HTTP auf HTTPS. Die Datenbank ist ausschließlich lokal erreichbar und nicht von außen zugänglich.

Eingabekontrolle

Schutz vor XSS (Cross-Site Scripting) und SQL-Injection durch validierte Eingaben und parametrisierte Abfragen. Ein Prozessmanager wird für die stabile Ausführung der Anwendungen eingesetzt. Webserver-Zugriffslogs werden zur Nachvollziehbarkeit geführt.

Verfügbarkeit

Tägliches automatisiertes Backup um 02:00 Uhr, Aufbewahrung 30 Tage
Wöchentlicher Server-Snapshot
Monitoring im 5-Minuten-Intervall mit E-Mail-Alarm bei Ausfällen

Die Wiederherstellung der Datenbank ist innerhalb weniger Stunden möglich.

Trennungsgebot

Die Mandantentrennung wird durch isolierte PostgreSQL-Datenbanken je Kunde (Mandant) sichergestellt. Jeder Kunde verfügt über eine eigene, separierte Datenbank, sodass ein Zugriff auf Daten anderer Mandanten technisch ausgeschlossen ist.

9. Subunternehmer

Folgende Subauftragsverarbeiter werden eingesetzt:

HostingerHostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern. VPS-Hosting, Rechenzentrum in Deutschland (EU). Rechtsgrundlage: Art. 28 DSGVO, Standardvertragsklauseln. DSGVO-verpflichtet.

Microsoft OneDriveMicrosoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Backup-Speicherung in EU-Rechenzentren. Rechtsgrundlage: EU-US Data Privacy Framework, Microsoft DPA (Data Processing Agreement). DSGVO-verpflichtet.

Alle Subunternehmer sind vertraglich zur Einhaltung der DSGVO verpflichtet. Der Auftragsverarbeiter informiert den Verantwortlichen über jeden beabsichtigten Wechsel oder die Hinzunahme eines Subunternehmers.

10. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV getroffenen Vereinbarungen zu überprüfen. Kontrollanfragen sind schriftlich an office@digitalma.at zu richten.

Es gilt eine Vorankündigungsfrist von 5 Werktagen. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zur Verfügung, die zur Überprüfung der Einhaltung der Pflichten aus diesem AVV notwendig sind.

Eine Vor-Ort-Prüfung des Rechenzentrums ist aufgrund der virtuellen Infrastruktur (VPS) nicht möglich. Die Kontrolle kann durch Einsichtnahme in Dokumentationen, Zertifikate und technische Nachweise erfolgen.

11. Löschung und Rückgabe

Nach Vertragsende hat der Verantwortliche die Möglichkeit, seine Daten als SQL- oder CSV-Export zu erhalten. Der Auftragsverarbeiter stellt diese Exportmöglichkeit auf Anfrage bereit.

Sofern der Verantwortliche nach Vertragsende keine Anforderung zur Rückgabe stellt, erfolgt die Löschung der Produktionsdaten nach 30 Tagen.

Backups werden im Rahmen des regulären Backup-Zyklus automatisch überschrieben und sind spätestens nach 30 Tagen vollständig gelöscht.

Gesetzliche Aufbewahrungspflichten bleiben von dieser Regelung unberührt.

12. Haftung

Der Auftraggeber bleibt als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Der Auftragsverarbeiter haftet ausschließlich bei eigener Pflichtverletzung.

13. Vertragsschluss durch Nutzung

Dieser AVV tritt automatisch mit der Nutzung der Software in Kraft. Änderungen werden mindestens 14 Tage im Voraus angekündigt.

14. Anwendbares Recht

Es gilt österreichisches Recht, die DSGVO sowie das DSG. Aufsichtsbehörde ist die Datenschutzbehörde (DSB) Wien. Gerichtsstand ist Linz, Österreich. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt (salvatorische Klausel).

Für Fragen zum Datenschutz oder diesem AVV: office@digitalma.at