Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Abs. 3 DSGVO

Dieser Auftragsverarbeitungsvertrag (AVV) gilt zwischen dem Kunden, der die Rechnungssoftware Facturo nutzt (nachfolgend „Auftraggeber" genannt), und

Facturo

Alexander Posztos BSc (Einzelunternehmen)

Triesterstraße 488

8055 Seiersberg-Pirka

Österreich

– Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO –
(nachfolgend „Auftragnehmer" genannt)

Hinweis: Dieser AVV ist gemäß den Allgemeinen Geschäftsbedingungen (AGB) Vertragsbestandteil und tritt mit Annahme der AGB durch den Auftraggeber in Kraft. Eine gesonderte Unterzeichnung ist nicht erforderlich.

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

Der Auftrag umfasst die Bereitstellung der Rechnungssoftware „Facturo" (Software as a Service) durch den Auftragnehmer und ergibt sich aus der Leistungsvereinbarung. Die Dauer des Vertrags entspricht ebenfalls der Laufzeit der jeweiligen zugrundeliegenden Leistungsvereinbarung.

§ 2 Konkretisierung des Auftragsinhalts

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret in der Leistungsvereinbarung beschrieben. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich innerhalb der Europäischen Union bzw. des EWR.

Art der Verarbeitung:

Erhebung, Speicherung, Anpassung, Auslesen, Verwendung, Übermittlung, Löschung und Vernichtung.

Zweck der Verarbeitung:

Vereinfachung der Rechnungs- und Angebotserstellung der Kunden mittels spezieller Rechnungssoftware.

Ort der Verarbeitung:

EU/EWR, außerhalb nur nach vorheriger Information und DSGVO-Konformität.

Art der Daten:

Name, Adresse, Kontaktdaten, Vertrags- und Zahlungsdaten, Bestelldaten, Endkundendaten, Rechnungsdaten.

Betroffene:

Kunden, Endkunden, Interessenten, Beschäftigte, Lieferanten, sonstige Ansprechpartner.

§ 3 Pflichten des Auftragnehmers

  • Verarbeitung nur auf dokumentierte Weisung des Auftraggebers.
  • Sicherstellung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO).
  • Verpflichtung zur Vertraulichkeit für alle Mitarbeitenden.
  • Unterstützung des Auftraggebers bei der Wahrnehmung von Betroffenenrechten.
  • Meldung von Datenschutzverletzungen gemäß Art. 33 DSGVO.
  • Löschung oder Rückgabe der Daten nach Vertragsende.

§ 4 Technische und organisatorische Maßnahmen

Der Auftragnehmer verpflichtet sich, angemessene Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu implementieren, einschließlich Zugriffskontrolle, Verschlüsselung, Backup und regelmäßiger Sicherheitsüberprüfungen.

Der Auftragnehmer informiert über die TOMs durch den Anhang dieses Vertrags sowie unter https://facturo.at/datenschutz/.

§ 5 Unterauftragsverhältnisse

Der Einsatz von Unterauftragnehmern bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. Unterauftragnehmer müssen ebenfalls die Anforderungen nach Art. 28 DSGVO erfüllen.

§ 6 Kontrollrechte des Auftraggebers

Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorgaben nach Vorankündigung beim Auftragnehmer zu prüfen.

§ 7 Unterstützungs- und Mitteilungspflichten des Auftragnehmers

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.

§ 8 Weisungsbefugnis des Auftraggebers

Verarbeitung ausschließlich nach dokumentierter Weisung des Auftraggebers.

§ 9 Löschung und Rückgabe von Daten

Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Nach Vertragsende: Herausgabe oder Löschung der Daten. Dokumentationen werden dabei gesetzeskonform aufbewahrt.

§ 10 Haftung und Schlussbestimmungen

Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO sowie den AGB des Auftragnehmers.

§ 11 Sonstige Bestimmungen

Jede Änderung dieser Vereinbarung bedarf der Schriftform. Diese Vereinbarung untersteht österreichischem Recht. Für alle Streitigkeiten wird die ausschließliche Zuständigkeit des Gerichts am Sitz des Betreibers vereinbart.

Anlage: Technische und Organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO verpflichtet sich der Auftragnehmer zur Umsetzung folgender Technischer und Organisatorischer Maßnahmen:

Zutrittskontrolle

Maßnahmen zur Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen (z. B. Zugangskontrollsysteme, Sicherheitsschlösser).

Zugriffskontrolle

Sicherstellung, dass nur berechtigte Personen Zugriff auf Daten haben (z. B. Rollen- und Rechtekonzepte, Passwortschutz).

Weitergabekontrolle

Verhinderung der unbefugten Weitergabe von Daten (z. B. Verschlüsselung bei Übertragung, VPN).

Eingabekontrolle

Nachvollziehbarkeit, welche Daten wann und von wem eingegeben, verändert oder entfernt wurden (z. B. Protokollierung, Audit-Logs).

Auftragskontrolle

Sicherstellung, dass Daten nur gemäß den Weisungen des Auftraggebers verarbeitet werden (z. B. vertragliche Regelungen, Schulungen).

Verfügbarkeitskontrolle

Schutz vor zufälliger oder vorsätzlicher Zerstörung oder Verlust (z. B. Backup-Konzepte, USV-Systeme).

Trennungskontrolle

Getrennte Verarbeitung von Daten für unterschiedliche Zwecke (z. B. Mandantentrennung, Datenbanksegmentierung).

Verschlüsselung

Einsatz von Verschlüsselungstechnologien für gespeicherte und übertragene Daten (z. B. AES, TLS).

Backup und Wiederherstellung

Regelmäßige Datensicherungen und getestete Wiederherstellungsverfahren zur Sicherstellung der Datenintegrität.

Regelmäßige Sicherheitsüberprüfungen

Durchführung von Penetrationstests, Schwachstellenanalysen und Updates zur Sicherstellung der IT-Sicherheit.

Löschen bestätigen