§ Art. 28 DSGVO · Auftragsverarbeitung
Auftragsverarbeitungsvertrag
Stand: [DATUM] · Verfügbar ab Pro-Tarif
Hinweis zur Nutzung
Der AVV ist für Kunden im Pro- und Agentur-Tarif verfügbar. Wenn Sie als Verantwortlicher im Sinne der DSGVO einen AVV benötigen, nehmen Sie bitte Kontakt mit uns auf: hilfe@kuerze.at
Vertragsparteien
Dieser Vertrag wird abgeschlossen zwischen
[KUNDEN-FIRMA] (im Folgenden „Verantwortlicher")
und
[FIRMENNAME KÜRZE]
[ADRESSE]
(im Folgenden „Auftragsverarbeiter")
— gemeinsam die „Parteien" —
Präambel
Der Verantwortliche nutzt die SaaS-Plattform des Auftragsverarbeiters zur Erstellung und Verwaltung von Kurzlinks und QR-Codes. Bei Aufruf eines so erstellten Kurzlinks oder QR-Codes durch Endnutzer werden personenbezogene Daten verarbeitet. Diese Verarbeitung erfolgt im Auftrag und nach Weisung des Verantwortlichen.
Dieser Vertrag regelt Rechte und Pflichten der Parteien im Sinne von Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
Gegenstand ist die Auftragsverarbeitung im Zusammenhang mit der Nutzung der kürze-SaaS-Plattform. Dieser Vertrag gilt für die Dauer des Hauptvertrags (Nutzungsvertrag) und endet mit dessen Ende.
§ 2 Art, Umfang und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen folgende Kategorien personenbezogener Daten:
- Anonymisierte IP-Adressen von Endnutzern (letztes Oktett auf 0)
- Technische Zugriffsdaten (Browser-Klasse, Gerät-Klasse, Zeitstempel)
- Herkunftsland (sofern Geo-Tracking aktiviert, nur als Country-Code)
Zweck: Bereitstellung anonymisierter Klick-Statistiken für den Verantwortlichen zur Erfolgsmessung eigener Kampagnen.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Daten nur auf Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
- Alle Personen, die mit den Daten in Berührung kommen, zur Vertraulichkeit zu verpflichten
- Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
- Den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
- Alle Daten nach Vertragsende zu löschen oder zurückzugeben
§ 4 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat folgende Maßnahmen getroffen:
Verschlüsselung
TLS 1.3 für alle Übertragungen, Datenverschlüsselung at rest
Zugriffskontrolle
Rollenbasierter Zugriff, Zwei-Faktor-Authentifizierung
Verfügbarkeit
Redundante Systeme, automatisierte Backups
Datenminimierung
IP-Anonymisierung, keine Personenkennungen
Löschkonzept
Automatische Löschung nach definierten Fristen
Auditierbarkeit
Vollständige Audit-Logs aller Admin-Aktionen
§ 5 Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:
| Anbieter | Zweck | Sitz |
|---|---|---|
| Hetzner Online GmbH | Server-Infrastruktur | Deutschland |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland |
Mit allen Unterauftragsverarbeitern bestehen eigene Auftragsverarbeitungsverträge. Der Verantwortliche stimmt der Nutzung dieser Unterauftragsverarbeiter zu.
§ 6 Rechte des Verantwortlichen
Der Verantwortliche hat das Recht auf Kontrolle der Verarbeitung, insbesondere durch Einsicht in Dokumentationen und, nach vorheriger Ankündigung, durch Kontrollen vor Ort. Der Auftragsverarbeiter ist zur Zusammenarbeit verpflichtet.
§ 7 Datenpannen
Bei einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, um die Meldefristen gemäß Art. 33 DSGVO einzuhalten.
§ 8 Anwendbares Recht
Für diesen Vertrag gilt österreichisches Recht. Gerichtsstand ist [ORT DES GESCHÄFTSSITZES DES AUFTRAGSVERARBEITERS].
AVV abschließen
Wenn Sie als Pro- oder Agentur-Kunde einen unterzeichneten AVV benötigen, schreiben Sie uns an hilfe@kuerze.at. Wir senden Ihnen eine ausgefüllte Fassung zur Gegenzeichnung zu.
Stand: [DATUM] · Vor Verwendung durch österreichischen Datenschutzanwalt prüfen lassen.