Auftragsverarbeitungsvertrag

Stand: April 2026

zwischen dem jeweiligen Kunden als Verantwortlichem (nachfolgend „Verantwortlicher") und

Webagentur Hochmeir e.U.
Jonathan Hochmeir
Moorweg 7, 4845 Rutzenmoos, Österreich
E-Mail: hello@webhoch.com

(nachfolgend „Auftragsverarbeiter")

1. Gegenstand und Dauer der Verarbeitung

1.1 Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung von SaaS-Produkten, Hosting-nahen Leistungen, Support-, Wartungs-, Integrations- oder sonstigen digitalen Leistungen.

1.2 Dauer, Art und Umfang der Verarbeitung richten sich nach dem Hauptvertrag sowie den jeweiligen tatsächlich genutzten Diensten.

1.3 Dieser Vertrag gilt für die Dauer der auftragsbezogenen Verarbeitung personenbezogener Daten.

2. Art und Zweck der Verarbeitung

2.1 Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich geschuldeten Leistungen des Auftragsverarbeiters.

2.2 Dies kann insbesondere umfassen:

• Speicherung, Organisation und Bereitstellung von Nutzerdaten,
• Hosting und technische Bereitstellung,
• Authentifizierung und Benutzerverwaltung,
• Support und Fehleranalyse,
• Datensicherung und Wiederherstellung,
• Kommunikations- und Benachrichtigungsfunktionen,
• Logging, Monitoring und Sicherheitsmaßnahmen.

3. Art der personenbezogenen Daten

Je nach Nutzung können insbesondere folgende Datenkategorien verarbeitet werden: Stamm- und Kontaktdaten, Nutzer- und Registrierungsdaten, Login- und Accountdaten, Kommunikationsdaten, Inhaltsdaten, Nutzungs- und Metadaten, technische Verbindungsdaten, Abrechnungs- und Transaktionsdaten, projekt- oder mandatsbezogene Daten.

4. Kategorien betroffener Personen

Von der Verarbeitung betroffen sein können insbesondere: Kunden des Verantwortlichen, Mitarbeiter des Verantwortlichen, Nutzer, Endkunden oder Interessenten des Verantwortlichen, Kommunikationspartner, sonstige vom Verantwortlichen in den Dienst eingebrachte Personen.

5. Weisungsrecht des Verantwortlichen

5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht.

5.2 Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

5.3 Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich bedenklich, wird er den Verantwortlichen hierauf hinweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung offensichtlich rechtswidriger Weisungen auszusetzen.

6. Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass die mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7. Technische und organisatorische Maßnahmen

7.1 Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

7.2 Dazu können insbesondere gehören:

• Zutritts- und Zugangskontrollen,
• Berechtigungskonzepte,
• Verschlüsselung, wo angemessen,
• Pseudonymisierung, wo sinnvoll,
• Protokollierung und Monitoring,
• Datensicherungen,
• Verfahren zur Wiederherstellung von Verfügbarkeit,
• Patch- und Sicherheitsmanagement,
• organisatorische Prozesse zur Incident-Behandlung.

7.3 Die konkreten Maßnahmen können dem Stand der Technik angepasst und weiterentwickelt werden, sofern das vertraglich geschuldete Schutzniveau nicht unterschritten wird.

8. Unterauftragsverarbeiter

8.1 Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter / Unterauftragsverarbeiter einzusetzen.

8.2 Der Auftragsverarbeiter wird bei Auswahl und Beauftragung von Unterauftragsverarbeitern die datenschutzrechtlichen Anforderungen beachten und – soweit erforderlich – geeignete vertragliche Verpflichtungen abschließen.

8.3 Zu den typischen Kategorien von Unterauftragsverarbeitern können insbesondere Hosting-, Infrastruktur-, Authentifizierungs-, E-Mail-, Analyse-, Support-, Monitoring-, Zahlungs- oder KI-Dienstleister gehören.

8.4 Verlangt der Verantwortliche aus berechtigtem datenschutzrechtlichem Grund Informationen zu eingesetzten Unterauftragsverarbeitern, wird der Auftragsverarbeiter diese in angemessenem Umfang bereitstellen.

9. Unterstützungspflichten

9.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung seiner gesetzlichen Pflichten, insbesondere im Zusammenhang mit Betroffenenrechten, Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden.

9.2 Soweit solche Unterstützungsleistungen über den üblichen vertraglichen Leistungsumfang hinausgehen, kann der Auftragsverarbeiter hierfür eine angemessene Vergütung verlangen.

10. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten im auftragsbezogenen Bereich bekannt werden, soweit diese den Verantwortlichen betreffen.

11. Betroffenenrechte

11.1 Der Verantwortliche bleibt für die Bearbeitung von Betroffenenanfragen verantwortlich.

11.2 Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter wendet, wird dieser die Anfrage – soweit rechtlich zulässig – an den Verantwortlichen weiterleiten und ohne Weisung nicht selbst beantworten, sofern keine gesetzliche Verpflichtung besteht.

12. Nachweise und Audits

12.1 Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zur Erfüllung von Art. 28 DSGVO erforderlichen Informationen in angemessenem Umfang zur Verfügung.

12.2 Audits oder Vor-Ort-Prüfungen sind mit angemessener Vorankündigung, zu üblichen Geschäftszeiten und unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie Sicherheitsinteressen abzustimmen.

12.3 Der Auftragsverarbeiter kann verlangen, dass Audits durch unabhängige, zur Vertraulichkeit verpflichtete Prüfer erfolgen und nicht zu unangemessenen Belastungen des Betriebs führen.

13. Löschung und Rückgabe nach Vertragsende

13.1 Nach Ende der vertraglichen Leistungen wird der Auftragsverarbeiter personenbezogene Daten nach Wahl des Verantwortlichen löschen oder zurückgeben, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Sicherheitsinteressen entgegenstehen.

13.2 Produkt- oder dienstspezifisch kann eine angemessene Übergangs- oder Vorhaltefrist gelten; soweit nicht anders vereinbart, erfolgt die Löschung grundsätzlich innerhalb von 30 Tagen nach Vertragsende.

13.3 Dokumentationen, Nachweise und Sicherungskopien dürfen nur insoweit aufbewahrt werden, als dies gesetzlich erforderlich oder aus berechtigtem Sicherheitsinteresse technisch unvermeidbar ist.

14. Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften sowie den Vereinbarungen des Hauptvertrags, soweit datenschutzrechtlich zulässig.

15. Schlussbestimmungen

15.1 Im Übrigen gelten die Regelungen des Hauptvertrags.

15.2 Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

15.3 Es gilt österreichisches Recht, soweit dem nicht zwingendes Datenschutzrecht entgegensteht.