Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen

und

§ 1 Gegenstand und Dauer

(1) Gegenstand: Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Nutzung der Projektmanagement-Plattform "Victor PM" (nachfolgend: "die Plattform").

(2) Zweck der Verarbeitung: Bereitstellung, Betrieb und Wartung der Projektmanagement-Software einschließlich:

• Speicherung und Verwaltung von Projektdaten
• Nutzerverwaltung und Authentifizierung
• Bereitstellung von Reporting- und Analysefunktionen
• Technischer Support und Fehlerbehebung

(3) Dauer: Dieser Vertrag gilt für die Dauer der Nutzung der Plattform durch den Auftraggeber und endet automatisch mit Beendigung des Hauptvertrags.

§ 2 Art der Daten und Kategorien der Betroffenen

(1) Kategorien betroffener Personen:

• Mitarbeiter des Auftraggebers
• Projektbeteiligte und Teammitglieder
• Kunden und Auftraggeber des Auftraggebers

(2) Art der verarbeiteten Daten:

• Bestandsdaten: Name, E-Mail-Adresse, Rolle, Organisation
• Nutzungsdaten: Projektinformationen, Aufgaben, Meilensteine, Kommentare, Zeiterfassung
• Technische Daten: IP-Adresse, Zugriffszeitpunkte, Browser-Informationen (Logs)

§ 3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft folgende Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO:

(1) Zutrittskontrolle: Serverstandorte befinden sich in zertifizierten Rechenzentren (Vercel, Supabase) mit physischer Zutrittskontrolle.

(2) Zugangskontrolle:

• Verschlüsselte Passwort-Speicherung (bcrypt)
• Multi-Faktor-Authentifizierung verfügbar
• Rollenbasierte Zugriffskontrolle (RBAC)
• Session-Management mit automatischem Timeout

(3) Zugriffskontrolle:

• Multi-Tenant-Architektur mit strikter Datentrennung
• Row-Level Security in der Datenbank
• Audit-Logs für alle Datenzugriffe

(4) Trennungskontrolle: Logische Trennung der Mandantendaten durch dedizierte Organisations-IDs und datenbankbasierte Isolation.

(5) Pseudonymisierung: Verwendung technischer IDs (UUIDs) statt personenbezogener Identifikatoren.

(6) Verschlüsselung:

• TLS 1.3 für alle Datenübertragungen
• Verschlüsselung der Datenbank im Ruhezustand (at-rest encryption)

(7) Verfügbarkeit und Belastbarkeit:

• Automatisierte tägliche Backups
• Hochverfügbare Infrastruktur mit Failover
• Monitoring und Alerting

(8) Verfahren zur Wiederherstellung: Backups werden für mindestens 30 Tage aufbewahrt. Wiederherstellung innerhalb von 24 Stunden möglich.

(9) Überprüfung und Bewertung: Regelmäßige Sicherheitsaudits und Penetrationstests.

§ 4 Unterauftragnehmer (Subunternehmer)

(1) Genehmigung: Der Auftraggeber stimmt hiermit der Beauftragung folgender Unterauftragnehmer zu:

(2) AVV-Kette: Mit allen Unterauftragnehmern wurden Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Der Auftragnehmer stellt sicher, dass die Unterauftragnehmer dieselben Datenschutzpflichten erfüllen wie in diesem Vertrag festgelegt.

(3) Änderungen: Änderungen der Unterauftragnehmer werden dem Auftraggeber mindestens 30 Tage im Voraus per E-Mail mitgeteilt. Der Auftraggeber hat das Recht, binnen 14 Tagen Widerspruch einzulegen.

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

• Daten nur im Rahmen der dokumentierten Weisungen des Auftraggebers zu verarbeiten
• Personen, die zur Verarbeitung befugt sind, zur Vertraulichkeit zu verpflichten
• Alle nach Art. 32 DSGVO erforderlichen Maßnahmen zu treffen
• Unter Berücksichtigung der Art der Verarbeitung den Auftraggeber bei der Wahrnehmung von Betroffenenrechten zu unterstützen
• Den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO zu unterstützen
• Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben
• Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung bereitzustellen und Überprüfungen zu ermöglichen

§ 6 Rechte und Pflichten des Auftraggebers

(1) Weisungsrecht: Der Auftraggeber hat das Recht, jederzeit Weisungen zur Art und Weise der Datenverarbeitung zu erteilen. Weisungen sind in Textform (E-Mail) zu erteilen.

(2) Kontrollrecht: Der Auftraggeber hat das Recht, sich durch angemessene Maßnahmen (z.B. Anfragen, Einsichtnahme in Dokumentationen) von der Einhaltung der Pflichten des Auftragnehmers zu überzeugen.

(3) Rechtmäßigkeit: Der Auftraggeber ist verantwortlich für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen.

§ 7 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber unverzüglich jede Verletzung des Schutzes personenbezogener Daten (Data Breach), die ihm bekannt wird. Die Meldung erfolgt per E-Mail und enthält mindestens folgende Informationen:

• Art der Verletzung
• Betroffene Kategorien und ungefähre Anzahl der Personen
• Betroffene Kategorien und ungefähre Anzahl der Datensätze
• Wahrscheinliche Folgen der Verletzung
• Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

§ 8 Löschung und Rückgabe der Daten

(1) Bei Vertragsende: Nach Beendigung des Vertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Export: Der Auftraggeber kann vor Vertragsende einen Export seiner Daten in einem gängigen Format (JSON, CSV) anfordern.

(3) Backup-Löschung: Daten in Backup-Systemen werden im Rahmen des regulären Backup-Zyklus (maximal 30 Tage nach Vertragsende) gelöscht.

(4) Löschbestätigung: Auf Anfrage des Auftraggebers bestätigt der Auftragnehmer die vollständige Löschung schriftlich.

§ 9 Haftung und Schadensersatz

(1) Haftungsverteilung: Gemäß Art. 82 DSGVO haftet der Auftragnehmer gegenüber betroffenen Personen für Schäden, die durch eine nicht rechtmäßige Verarbeitung oder eine gegen die DSGVO verstoßende Handlung verursacht wurden, sofern er seinen speziell auferlegten Pflichten nicht nachgekommen ist oder unter Missachtung rechtmäßiger Weisungen des Auftraggebers gehandelt hat.

(2) Regress: Soweit der Auftragnehmer für einen Schaden aufkommen muss, für den eigentlich der Auftraggeber verantwortlich ist, hat der Auftragnehmer ein Rückgriffsrecht gegen den Auftraggeber.

§ 10 Kündigung

(1) Ordentliche Kündigung: Dieser Vertrag endet automatisch mit Beendigung des Hauptvertrags (Nutzungsvertrag für Victor PM).

(2) Außerordentliche Kündigung: Beide Parteien können diesen Vertrag aus wichtigem Grund außerordentlich kündigen, insbesondere bei:

• Schwerwiegenden Verstößen gegen die DSGVO
• Weigerung, eine Weisung des Auftraggebers zu befolgen (sofern rechtmäßig)
• Insolvenz einer Partei

§ 11 Schlussbestimmungen

(1) Änderungen: Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform.

(2) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Anwendbares Recht: Es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts.

(4) Gerichtsstand: Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragnehmers.