Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Anlage zu den Nutzungsbedingungen des SALVIQ Prüfplaners.
Vertragsparteien
Verantwortlicher: der Kundenbetrieb, der den Prüfplaner nutzt (im Folgenden „Verantwortlicher").
Auftragsverarbeiter: [FIRMA], [ANSCHRIFT] (im Folgenden „Auftragsverarbeiter").
Dieser Vertrag gilt mit Abschluss des Nutzungsvertrags und konkretisiert die datenschutzrechtlichen Pflichten der Parteien, soweit der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
1. Gegenstand, Art, Zweck und Dauer
1.1. Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der
Bereitstellung des Dienstes „SALVIQ Prüfplaner".
1.2. Art und Zweck: Speicherung, Organisation, Anzeige und automatisierte Erinnerung zu den vom
Verantwortlichen eingestellten Prüf-, Wartungs-, Schulungs- und Mängeldaten samt zugehöriger Dokumente.
1.3. Dauer: Der Vertrag läuft für die Dauer des Nutzungsvertrags. Die konkreten Datenkategorien und
betroffenen Personen sind in Anlage 1 aufgeführt.
2. Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen und nur zu den vereinbarten Zwecken. Die Nutzung des Dienstes durch den Verantwortlichen gilt als Weisung. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.
3. Vertraulichkeit
Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer gesetzlichen Verschwiegenheitspflicht unterworfen sind.
4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen und hält sie während der Vertragslaufzeit nach dem Stand der Technik aufrecht.
5. Weitere Auftragsverarbeiter (Subprozessoren)
5.1. Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 3
genannten weiteren Auftragsverarbeiter.
5.2. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung
oder Austausch). Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund
widersprechen.
5.3. Der Auftragsverarbeiter verpflichtet jeden Subprozessor vertraglich auf ein gleichwertiges
Datenschutzniveau (Art. 28 Abs. 4 DSGVO).
6. Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen – unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen – durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 12–23) sowie bei der Sicherheit der Verarbeitung (Art. 32), der Meldung und Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34), bei Datenschutz-Folgenabschätzungen (Art. 35) und vorherigen Konsultationen (Art. 36). Funktionen zur Auskunft, zum Export und zur Löschung stehen dem Verantwortlichen unmittelbar in der Anwendung zur Verfügung.
7. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden, damit dieser seinen Meldepflichten (Art. 33, 34 DSGVO) nachkommen kann.
8. Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Nutzungsvertrags werden die im Auftrag verarbeiteten Daten einschließlich Dokumenten und Sicherungskopien gelöscht, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht. Lokale Sicherungen werden binnen rund 30 Tagen überschrieben; aus dem verschlüsselten Offsite-Backup werden die Daten spätestens nach rund 6 Monaten endgültig entfernt. Nach Wahl des Verantwortlichen werden die Daten vor der Löschung zurückgegeben; hierfür steht der vollständige Export jederzeit in der Anwendung zur Verfügung.
9. Nachweise und Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang, vorrangig durch Auskünfte und Dokumentation. Reichen diese nicht aus, ermöglicht der Auftragsverarbeiter nach angemessener Vorankündigung – höchstens einmal jährlich bzw. anlassbezogen, gegebenenfalls gegen Kostenersatz – auch Inspektionen, die der Verantwortliche selbst oder durch einen zur Verschwiegenheit verpflichteten Dritten durchführt.
10. Drittland
Eine Verarbeitung außerhalb der EU/des EWR findet nicht statt.
11. Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und den Nutzungsbedingungen gehen hinsichtlich des Datenschutzes die Regelungen dieses AVV vor. Es gilt österreichisches Recht.
Anlage 1 – Datenkategorien und betroffene Personen
Kategorien betroffener Personen: Mitarbeiter und Verantwortliche des Kundenbetriebs (Benutzer), vom Kunden erfasste Kontaktpersonen (z. B. Ansprechpartner von Prüffirmen), gegebenenfalls in Dokumenten oder Schulungsnachweisen genannte Personen.
Kategorien personenbezogener Daten: Namen, dienstliche Kontaktdaten, Benutzer- und Anmeldedaten, Prüf-/Termin-/Mängeldaten mit Personenbezug, Inhalte hochgeladener Dokumente und Fotos, Protokolldaten (inkl. IP-Adresse).
Besondere Kategorien (Art. 9) sind nicht vorgesehen; der Verantwortliche stellt sicher, keine solchen Daten ohne gesonderte Grundlage einzustellen.
Anlage 2 – Technische und organisatorische Maßnahmen
- Verschlüsselung/Übertragung: TLS/HTTPS erzwungen (HSTS); interner Anwendungsport nicht öffentlich erreichbar; strenge Sicherheits-Header (Content-Security-Policy ohne Fremdquellen).
- Zugriffskontrolle: Anmeldung mit E-Mail und Passwort (scrypt-Hash), optionale Zwei-Faktor-Authentifizierung; Sperre nach mehrfachen Fehlversuchen; Rate-Limits; serverseitig widerrufbare Sitzungen (12 h).
- Mandantentrennung: Jede Datenbankabfrage ist serverseitig auf den jeweiligen Betrieb begrenzt; Dokumente liegen je Betrieb getrennt.
- Eingabe-/Protokollkontrolle: Ereignisprotokoll (Anmeldungen, Uploads, Löschungen, Exporte; automatische Löschung nach 90 Tagen), E-Mail-Versandprotokoll (Löschung nach 30 Tagen); serverseitige Validierung aller Eingaben.
- Speicher-/Verfügbarkeitskontrolle: Upload-Allowlist und Größenbegrenzung; Mandanten- Quotas; rollierende lokale Backups (max. 30 Stände) sowie verschlüsseltes Offsite-Backup; automatischer Neustart bei Ausfall.
Detaillierte Fassung siehe interne DSGVO-Dokumentation.
Anlage 3 – Genehmigte weitere Auftragsverarbeiter
| Dienstleister | Zweck | Ort |
|---|---|---|
| [HOSTING-ANBIETER] | Server-Hosting / Betrieb | EU |
| [SMTP-ANBIETER] | E-Mail-Versand | [EU] |
| [OFFSITE-BACKUP-SPEICHER, z. B. Hetzner Storage Box] | Verschlüsseltes Offsite-Backup | [EU] |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung (nur bei kostenpflichtigem Abo) | Irland |