Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Version 1.0 · Stand 2026-06-01
Zwischen dem Kunden („Verantwortlicher“) und Andreas Hirzinger, Einzelunternehmen, 6134 Vomp, Tirol („Auftragsverarbeiter“).
⚠ Datenschutzanwaltliche Überprüfung erforderlich. §5 (Unterauftragsverarbeiter), §6 (TOM) und §10 (Standardvertragsklauseln) wurden noch nicht von einem auf Datenschutzrecht spezialisierten Anwalt geprüft. Freigabe vor Einsatz der GPS-Tracking-Funktion mit dem ersten Kunden einholen.
§1 Gegenstand und Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf dokumentierte Weisung des Verantwortlichen zur Erbringung der CleanScope-Leistungen (Angebotserstellung, Proof-of-Clean-Nachweis, Dienstplanung).
Die Verarbeitung dauert für die Laufzeit des Nutzungsverhältnisses zuzüglich der Lösch-/Rückgabefristen gemäß §8. GPS-/Proof-Daten werden unabhängig davon im rollierenden 90-Tage-Zyklus gelöscht.
§2 Art, Zweck und Kategorien der Verarbeitung
Art/Zweck: Erfassung und Bereitstellung von Leistungsnachweisen sowie Angebots- und Planungsfunktionen.
Kategorien personenbezogener Daten: GPS-Koordinaten und Erfassungszeitstempel, Nachweisfotos, Namen und Benutzerkennungen der Arbeiter sowie Konto-/Nutzerdaten der berechtigten Nutzer.
§3 Kategorien betroffener Personen
Arbeiter/Reinigungspersonal des Verantwortlichen sowie dessen berechtigte Nutzer.
§4 Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)
Der Auftragsverarbeiter wird:
- ·(a) personenbezogene Daten nur auf dokumentierte Weisung verarbeiten, auch bei Drittlandübermittlungen;
- ·(b) die Vertraulichkeit der zur Verarbeitung befugten Personen sicherstellen;
- ·(c) die Sicherheitsmaßnahmen nach §6 umsetzen;
- ·(d) die Bedingungen für Unterauftragsverarbeiter nach §5 einhalten;
- ·(e) den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 15–22) unterstützen;
- ·(f) den Verantwortlichen bei den Pflichten der Art. 32–36 (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung) unterstützen;
- ·(g) nach Wahl des Verantwortlichen alle personenbezogenen Daten der Arbeiter nach Ende der Erbringung löschen oder zurückgeben (§8);
- ·(h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung bereitstellen und Überprüfungen ermöglichen (§9).
§5 Unterauftragsverarbeiter
⚠ Anwalt erforderlichDer Verantwortliche erteilt eine allgemeine Genehmigung für folgende Unterauftragsverarbeiter: Supabase Inc., Vercel Inc., Resend Inc., Loops Technologies Inc., Stripe Inc./Stripe Payments Europe sowie Google Cloud (Vertex AI, EU-Region).
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen/Ergänzungen mit einer Vorlauffrist von 30 Tagen; der Verantwortliche kann aus berechtigten datenschutzrechtlichen Gründen widersprechen. Der Auftragsverarbeiter bleibt für seine Unterauftragsverarbeiter verantwortlich.
§6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
⚠ Anwalt erforderlichVerschlüsselung personenbezogener Daten im Ruhezustand (Supabase-verwaltete Verschlüsselung von Datenbank und Speicher) und bei der Übertragung (TLS);
Rollenbasierte Zugriffskontrolle und Row-Level-Security (RLS) auf Datenbankebene;
Beschränkung von Service-Role-Schlüsseln auf serverseitige Webhook-Verarbeitung; Prinzip der minimalen Rechte;
Protokollierung sicherheitsrelevanter Ereignisse;
Automatische 90-Tage-Löschung der GPS-Standortdaten zur Datenminimierung;
Private Speicher-Buckets mit signierten, zeitlich begrenzten Zugriffs-URLs für Nachweisfotos.
§7 Datenpannenmeldung
Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens binnen 24 Stunden ab Kenntnis, und stellt die Informationen bereit, die der Verantwortliche für seine 72-Stunden-Meldung an die DSB (Wien) nach Art. 33 DSGVO benötigt.
§8 Löschung und Rückgabe
Nach Beendigung wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten der Arbeiter binnen 30 Tagen zurückgeben oder löschen, soweit keine gesetzliche Aufbewahrungspflicht besteht. Backups werden im regulären Zyklus überschrieben.
§9 Nachweis- und Überprüfungsrechte
Der Verantwortliche kann mit angemessener Vorankündigung höchstens einmal jährlich (oder nach einer Verletzung) Nachweise der Einhaltung anfordern oder eine Überprüfung durchführen, unter Wahrung der Vertraulichkeit und ohne unangemessene Betriebsstörung.
§10 Drittlandübermittlung
⚠ Anwalt erforderlichFür Übermittlungen außerhalb des EWR an Unterauftragsverarbeiter gelten die EU-Standardvertragsklauseln, Modul 2 (Verantwortlicher-an-Auftragsverarbeiter), Durchführungsbeschluss (EU) 2021/914; gleichwertige Klauseln werden an weitere Unterauftragsverarbeiter weitergereicht.
§11 Anwendbares Recht
Es gilt österreichisches Recht. Bei Widerspruch zu den AGB in Datenschutzfragen geht dieser AVV vor.