Fakturion

AnmeldenRegistrieren
AVV

1. Vertragsparteien

Verantwortlicher (Auftraggeber):
Victoria Marx (Einzelunternehmen)
Schulgasse 16
2551 Enzesfeld
Österreich
E-Mail: victoriamarx.business@gmail.com

Auftragsverarbeiter (Auftragnehmer):
Kunde / Vertragspartner der Software-Plattform
(Name, Firma, Adresse vom Kunden selbst auszufüllen)

Dieser AVV wird Bestandteil der Nutzungsbedingungen / des Hauptvertrags.

2. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer nutzt die vom Auftraggeber bereitgestellte Software-/SaaS-Plattform zur Verarbeitung personenbezogener Daten im Rahmen seiner eigenen Geschäftstätigkeit.

Die Verarbeitung erfolgt ausschließlich für die Dauer des bestehenden Vertragsverhältnisses.

Der Auftragnehmer (Testkunde) ist allein verantwortlich für die Verarbeitung personenbezogener Daten seiner eigenen Kunden innerhalb der Software. Die Anbieterin übernimmt keine Haftung für Fehler in der Software, Datenverluste oder Schäden, die durch Nutzung der Beta-Version entstehen.

Zustimmung zum AVV:

Die Zustimmung zum AVV erfolgt durch aktive Checkbox: „Ich habe den Auftragsverarbeitungsvertrag (AVV) gelesen, akzeptiere den Haftungsausschluss für Beta-Version und stimme diesem zu.“

3. Art und Zweck der Verarbeitung

Der Auftraggeber verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftragnehmers.

Zweck der Verarbeitung:

  • Bereitstellung, Betrieb und Wartung der Software-Plattform
  • Benutzerverwaltung und Authentifizierung
  • Vertrags- und Abonnementverwaltung
  • Technische Sicherheit und Fehleranalyse

4. Art der personenbezogenen Daten

Je nach Nutzung der Plattform können insbesondere folgende Daten verarbeitet werden:

  • Stamm- und Kontaktdaten (z. B. Name, E-Mail-Adresse)
  • Login- und Authentifizierungsdaten
  • Vertrags- und Abodaten
  • Kommunikationsdaten
  • Technische Nutzungsdaten

5. Kategorien betroffener Personen

  • Mitarbeiter des Auftragnehmers
  • Kunden oder Geschäftspartner des Auftragnehmers
  • Sonstige autorisierte Nutzer der Plattform

6. Pflichten des Auftraggebers

Der Auftraggeber verpflichtet sich:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftragnehmers zu verarbeiten
  • die Vertraulichkeit zu wahren
  • geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO umzusetzen
  • eingesetzte Mitarbeiter auf Vertraulichkeit zu verpflichten
  • den Auftragnehmer bei der Wahrung der Betroffenenrechte zu unterstützen
  • Datenschutzverletzungen unverzüglich zu melden

7. Technische und organisatorische Maßnahmen (TOMs)

Der Auftraggeber setzt insbesondere folgende Maßnahmen ein:

  • Zugriffskontrollen (Authentifizierung, Rollenmodelle)
  • Verschlüsselung bei Übertragung (TLS)
  • Datensicherung und Wiederherstellung
  • Mandantentrennung
  • Protokollierung sicherheitsrelevanter Ereignisse

Eine detaillierte TOM-Liste kann auf Anfrage zur Verfügung gestellt werden.

8. Unterauftragsverarbeiter

Der Auftraggeber setzt folgende Unterauftragsverarbeiter ein:

  • Netlify (Hosting & Deployment)
  • Supabase (Datenbank & Authentifizierung)
  • Stripe (Zahlungsabwicklung – Abonnements)
  • Resend (E-Mail-Versand, derzeit nicht aktiv)

Der Auftragnehmer erklärt sich mit dem Einsatz dieser Unterauftragsverarbeiter einverstanden.

9. Drittlandübermittlung

Sofern eine Verarbeitung außerhalb der EU/EWR erfolgt, stellt der Auftraggeber sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen (insbesondere Standardvertragsklauseln).

10. Rechte der betroffenen Personen

Der Auftraggeber unterstützt den Auftragnehmer bei der Erfüllung von Auskunfts-, Lösch-, Berichtigungs- und Widerspruchsersuchen.

11. Kontrollrechte

Der Auftragnehmer ist berechtigt, nach vorheriger Ankündigung die Einhaltung dieses AVV zu überprüfen.

12. Beendigung des Vertrags

Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten nach Wahl des Auftragnehmers gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

13. Haftung

Es gelten die Haftungsregelungen des Hauptvertrags.

14. Zustimmung und Vertragsabschluss (Checkbox-Lösung)

Der Auftragsverarbeitungsvertrag wird gemäß Art. 28 DSGVO rechtswirksam abgeschlossen, indem der Verantwortliche bei Registrierung, Vertragsabschluss oder Nutzung der Software aktiv bestätigt:

„Ich habe den Auftragsverarbeitungsvertrag (AVV) gelesen und stimme diesem zu.“

Die Zustimmung erfolgt durch aktive Handlung (Checkbox) und wird elektronisch protokolliert (Zeitpunkt, Account, IP-Adresse, Version des AVV).
Mit Abgabe der Zustimmung kommt der Auftragsverarbeitungsvertrag rechtsverbindlich zustande.

15. Vorrang und Rangfolge

Dieser Auftragsverarbeitungsvertrag ist Bestandteil des Hauptvertrags (AGB/Nutzungsbedingungen). Bei Widersprüchen zwischen AVV und sonstigen Vertragsdokumenten hat dieser AVV Vorrang, soweit datenschutzrechtliche Regelungen betroffen sind.

16. Schlussbestimmungen

  • Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
  • Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen unberührt.
  • Es gilt das Recht des Staates, in dem der Auftragsverarbeiter seinen Sitz hat, soweit zwingendes Datenschutzrecht nichts anderes bestimmt.
  • Gerichtsstand ist – soweit zulässig – der Sitz des Auftragsverarbeiters.

Anlage 1 – Gegenstand, Dauer und Zweck der Verarbeitung

Gegenstand: Bereitstellung einer webbasierten SaaS-Software (B2B) inkl. Benutzerverwaltung, Authentifizierung, Abonnementverwaltung und technischer Systemkommunikation.

Dauer: Für die Dauer des Hauptvertrags sowie darüber hinaus, soweit gesetzliche Aufbewahrungspflichten bestehen.

Zweck:

  • Technische Bereitstellung der Software
  • Verwaltung von Benutzerkonten
  • Abwicklung von Abonnementzahlungen über Stripe
  • Versand systemrelevanter E-Mails (optional)

Anlage 2 – Art der verarbeiteten Daten

  • Bestandsdaten (Name, Firma)
  • Kontaktdaten (E-Mail-Adresse)
  • Zugangsdaten (Login-Informationen)
  • Vertrags- und Abonnementdaten
  • Nutzungsbezogene technische Metadaten

Anlage 3 – Kategorien betroffener Personen

  • Mitarbeiter und Beauftragte des Verantwortlichen
  • Registrierte Nutzer der Software
  • Ansprechpartner von Geschäftskunden

Anlage 4 – Technische und organisatorische Maßnahmen (TOMs)

  1. Zutrittskontrolle
    Hosting in professionellen Rechenzentren, physische Zugangsbeschränkungen durch Anbieter
  2. Zugriffskontrolle
    Rollen- und Berechtigungskonzepte, Passwortschutz und Authentifizierung
  3. Weitergabekontrolle
    Verschlüsselung bei Datenübertragung (TLS/HTTPS)
  4. Eingabekontrolle
    Nachvollziehbarkeit von Zugriffen auf personenbezogene Daten
  5. Auftragskontrolle
    Abschluss von AVV/DPA mit allen Unterauftragsverarbeitern
  6. Verfügbarkeitskontrolle
    Redundante Systeme, regelmäßige Backups
  7. Trennungsgebot
    Mandantentrennung auf System- und Datenbankebene

Anlage 5 – Genehmigte Unterauftragsverarbeiter

  • Netlify (Hosting & Deployment)
  • Supabase (Datenbank & Authentifizierung)
  • Stripe (Zahlungsabwicklung – Abonnements)
  • Resend (E-Mail-Versand, derzeit optional)

Eine aktuelle Liste der Unterauftragsverarbeiter kann auf Anfrage zur Verfügung gestellt werden.

Rechtlicher Hinweis

Dieser AVV entspricht dem Stand 2026 und den Anforderungen des Art. 28 DSGVO. Er ersetzt keine individuelle Rechtsberatung. Für Sonderfälle (z. B. Gesundheitsdaten, besonders sensible Daten oder US-spezifische Anforderungen) ist eine rechtliche Prüfung erforderlich.

Dieser AVV wurde nach bestem Wissen und Gewissen gemäß Art. 28 DSGVO, Stand 2026, erstellt. Er stellt eine branchenübliche, rechtlich belastbare Grundlage für SaaS-B2B-Geschäftsmodelle dar.