Zum Inhalt
Menü
Login · Kundenzone Projekt starten

Vertrag zur Auftragsverarbeitung (AVV)

Stand: Juni 2026

↓ Als PDF herunterladen

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten gemäß Art 28 DSGVO für die Verarbeitung personenbezogener Daten, die der Anbieter im Rahmen der Website-Wartung im Auftrag des Kunden durchführt. Er wird Bestandteil des Wartungsvertrags.

§ 1 Parteien & Rollen

Verantwortlicher im Sinne des Art 4 Z 7 DSGVO ist der Kunde (Auftraggeber). Auftragsverarbeiter im Sinne des Art 4 Z 8 DSGVO ist Christopher Rapp (Werbung Wien), Hohenfelsplatz 5, Tür 7, 1120 Wien, Österreich · christopherrapp.online@gmail.com (im Folgenden „Auftragsverarbeiter").

Soweit der Auftragsverarbeiter zur Erbringung der Wartung auf personenbezogene Daten zugreift, die der Kunde verantwortet (z. B. Datenbankinhalte, Backups, Hosting-Zugänge), verarbeitet er diese ausschließlich im Auftrag und nach Weisung des Kunden. Daten, die der Auftragsverarbeiter zu eigenen Zwecken verarbeitet (z. B. Vertrags- und Abrechnungsdaten), unterliegen nicht diesem Vertrag, sondern seiner Datenschutzerklärung.

§ 2 Gegenstand, Art, Zweck & Dauer

Gegenstand der Verarbeitung ist die laufende technische Wartung und Betreuung der Website des Kunden. Art und Zweck umfassen das Überwachen, Sichern (Backups), Aktualisieren und Wiederherstellen der Website sowie damit verbundene Support-Tätigkeiten. Die Verarbeitung erfolgt für die Dauer des Wartungsvertrags.

Kategorien betroffener Personen

Insbesondere: Website-Besucher:innen und registrierte Nutzer:innen des Kunden, Kund:innen und Interessent:innen des Kunden, Mitarbeiter:innen des Kunden — je nach Inhalt der gewarteten Website.

Kategorien personenbezogener Daten

Insbesondere: Stamm-, Kontakt- und Anmeldedaten, Inhalts- und Kommunikationsdaten, Nutzungs- und Protokolldaten sowie sonstige in der Datenbank bzw. den Backups der Website enthaltene personenbezogene Daten. Eine Verarbeitung besonderer Datenkategorien (Art 9 DSGVO) ist nicht vorgesehen; enthält die Website solche Daten, informiert der Kunde den Auftragsverarbeiter vorab.

§ 3 Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden, einschließlich in Bezug auf Übermittlungen in Drittländer, sofern er nicht durch Unionsrecht oder nationales Recht zu einer anderen Verarbeitung verpflichtet ist. Der Wartungsvertrag samt diesem AVV gilt als Grundweisung. Der Auftragsverarbeiter informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 4 Vertraulichkeit

Der Auftragsverarbeiter verarbeitet die Daten vertraulich und stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Da der Auftragsverarbeiter als Einzelunternehmer ohne weitere Beschäftigte tätig ist, betrifft dies derzeit ihn selbst.

§ 5 Technische & organisatorische Maßnahmen (Art 32 DSGVO)

Der Auftragsverarbeiter trifft die nach dem Stand der Technik angemessenen technischen und organisatorischen Maßnahmen, insbesondere:

  • verschlüsselte Datenübertragung (TLS) und verschlüsselte Speicherung sensibler Zugangsdaten (AES-256-GCM);
  • Zugriffskontrolle nach dem Prinzip der geringsten Rechte, individuelle Zugänge und – wo verfügbar – Mehr-Faktor-Authentifizierung;
  • regelmäßige, extern ausgelagerte und verschlüsselt abgelegte Backups inkl. Möglichkeit der Wiederherstellung (Verfügbarkeit/Belastbarkeit);
  • Protokollierung wesentlicher Verarbeitungs- und Administrationsvorgänge (Aktivitätsprotokoll);
  • Trennung von Kunden- und Eigenumgebungen sowie Beschränkung der Datenverarbeitung auf den Wartungszweck;
  • ein Verfahren zur Löschung bzw. Rückgabe der Daten nach Auftragsende.

Die Maßnahmen werden bei Bedarf an die technische Entwicklung angepasst, ohne das vereinbarte Schutzniveau zu unterschreiten.

§ 6 Inanspruchnahme von Subunternehmern

Der Kunde erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die nachstehenden weiteren Auftragsverarbeiter (Subunternehmer) heranzuziehen. Der Auftragsverarbeiter informiert den Kunden über beabsichtigte Änderungen (Hinzuziehung/Ersetzung) vorab; der Kunde kann einer Änderung aus wichtigem datenschutzrechtlichem Grund binnen 14 Tagen widersprechen. Der Auftragsverarbeiter verpflichtet Subunternehmer vertraglich auf dieselben Datenschutzpflichten und bleibt dem Kunden gegenüber verantwortlich.

Eingesetzte Subunternehmer

  • Vercel Inc. (USA) — Hosting & Betrieb der Portal-/Wartungsanwendung. Drittland; Übermittlung gestützt auf EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln.
  • Supabase (EU, Irland) — Datenbank- und Datei-Speicherung. Verarbeitung innerhalb der EU.
  • Cloudflare, Inc. (USA/EU) — verschlüsselter Backup-Speicher (R2). Drittland; gestützt auf DPF bzw. Standardvertragsklauseln.
  • Neue Medien Münnich / All-Inkl.com (Deutschland) — E-Mail-Versand (SMTP). Verarbeitung innerhalb der EU.
  • Clerk, Inc. (USA) — Authentifizierung/Login der Kundenzone. Drittland; gestützt auf DPF bzw. Standardvertragsklauseln.

Der Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., Irland) verarbeitet Zahlungsdaten weitgehend als eigener Verantwortlicher; insoweit liegt keine Auftragsverarbeitung vor.

§ 7 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Kunden mit geeigneten Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Art 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung). Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, meldet er dies dem Kunden unverzüglich (in der Regel binnen 24 Stunden), damit dieser seine Meldepflichten (Art 33/34 DSGVO, 72 Stunden) erfüllen kann.

§ 8 Löschung & Rückgabe

Nach Abschluss der Wartung löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten Daten oder gibt sie nach Wahl des Kunden zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Backups werden im Rahmen der vereinbarten Aufbewahrungsfristen rollierend überschrieben.

§ 9 Nachweise & Kontrollen

Der Auftragsverarbeiter stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art 28 DSGVO zur Verfügung und ermöglicht angemessene Überprüfungen. Kontrollen werden mit angemessener Vorankündigung und ohne unverhältnismäßige Beeinträchtigung des Betriebs durchgeführt.

§ 10 Schlussbestimmungen

Es gilt österreichisches Recht; Aufsichtsbehörde ist die österreichische Datenschutzbehörde. Bei Widersprüchen zwischen diesem AVV und dem Wartungsvertrag gehen in Datenschutzfragen die Regelungen dieses AVV vor. Im Übrigen gelten die Bestimmungen der DSGVO unmittelbar.

Schreib mir auf WhatsApp