DSGVO Art. 28

Auftragsverarbeitung (AVV)

Mustervereinbarung zur Auftragsverarbeitung für Geschäftskunden von LExIT.

ImpressumDatenschutzerklärungAllgemeine GeschäftsbedingungenAuftragsverarbeitung (AVV)

Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

1. Vertragsparteien

  1. Auftragsverarbeiter
  • LExIT.cc
  • Mag. Matthias König, MA
  • Stiftingtalstraße 126, 8010 Graz
  • E-Mail: office@lexit.cc
  • nachfolgend "Auftragsverarbeiter" oder "LExIT.cc"
  1. Verantwortlicher
  • der jeweilige Kunde, der LExIT im Rahmen seiner unternehmerischen Tätigkeit nutzt und personenbezogene Daten in die Anwendung eingibt, hochlädt, importiert oder sonst verarbeiten lässt
  • nachfolgend "Verantwortlicher" oder "Kunde"

2. Gegenstand und Rangverhältnis

  1. Diese AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien, soweit LExIT.cc personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  2. Diese AVV ergänzt den zwischen den Parteien bestehenden Nutzungsvertrag über die Nutzung von LExIT.
  3. Im Fall von Widersprüchen zwischen dieser AVV und dem Nutzungsvertrag geht diese AVV vor, soweit es um datenschutzrechtliche Pflichten der Auftragsverarbeitung geht.

3. Gegenstand, Dauer, Art und Zweck der Verarbeitung

  1. Gegenstand der Verarbeitung
  • technische Bereitstellung der LExIT-SaaS-Anwendung,
  • Hosting und Speicherung von Daten innerhalb der Anwendung,
  • Authentifizierung und Nutzerverwaltung,
  • Datei-Uploads, Anzeige und Bereitstellung von Belegen und zugehörigen Dokumenten,
  • technische Verarbeitung für Auswertungen, Exporte, Such- und Filterfunktionen,
  • unterstützende Funktionen wie OCR, soweit im gebuchten Paket enthalten und technisch aktiviert,
  • Support, Fehleranalyse und Wiederherstellungsmaßnahmen, soweit hierfür ein Zugriff auf Auftragsdaten erforderlich ist.
  1. Dauer der Verarbeitung
  • Die Verarbeitung erfolgt für die Dauer des zugrunde liegenden Nutzungsvertrags sowie darüber hinaus nur, soweit gesetzliche Pflichten, technische Vorhaltefristen oder dokumentierte Weisungen des Verantwortlichen dies erfordern.
  1. Art der Verarbeitung
  • Erheben, Erfassen, Organisieren, Ordnen, Speichern,
  • Anpassen oder Verändern,
  • Auslesen, Abfragen, Verwenden,
  • Offenlegen durch Übermittlung nur nach Weisung oder soweit technisch erforderlich,
  • Einschränken,
  • Löschen oder Vernichten.
  1. Zwecke der Verarbeitung
  • Erbringung der vertraglich vereinbarten SaaS-Leistungen für den Verantwortlichen,
  • technische Betriebs-, Sicherheits- und Supportzwecke,
  • Umsetzung zulässiger Weisungen des Verantwortlichen.

4. Arten personenbezogener Daten und Kategorien betroffener Personen

  1. Je nach Nutzung können insbesondere folgende Datenarten verarbeitet werden:
  • Stamm- und Kontaktdaten,
  • Unternehmens- und Abrechnungsdaten,
  • Beleg-, Rechnungs-, Buchungs- und Steuerdaten,
  • Zahlungs- und Transaktionsdaten,
  • Dateiinhalte aus hochgeladenen Dokumenten,
  • Kommunikationsdaten,
  • Nutzungs- und Metadaten,
  • Protokoll- und Sicherheitsdaten.
  1. Betroffene Personen können je nach Nutzung insbesondere sein:
  • Mitarbeiter des Verantwortlichen,
  • Kunden, Interessenten und Lieferanten des Verantwortlichen,
  • Ansprechpartner des Verantwortlichen,
  • sonstige natürliche Personen, deren Daten der Verantwortliche in LExIT verarbeitet.
  1. Die konkrete Auswahl und inhaltliche Befüllung der Daten liegt in der Verantwortung des Verantwortlichen.

5. Verantwortlichkeit und Weisungsrecht

  1. Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.
  2. LExIT.cc verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine unionsrechtliche oder mitgliedstaatliche Rechtsvorschrift eine Verarbeitung verlangt.
  3. Die Nutzung der von LExIT.cc bereitgestellten Funktionen im Rahmen des Nutzungsvertrags gilt als dokumentierte Weisung des Verantwortlichen, soweit diese Funktionen vertragsgemäß eingesetzt werden.
  4. Einzelweisungen, die über den vereinbarten Leistungsumfang hinausgehen, werden nur umgesetzt, soweit dies technisch möglich, rechtlich zulässig und für LExIT.cc zumutbar ist. Ein hierdurch entstehender Mehraufwand kann gesondert vergütet werden.
  5. Hält LExIT.cc eine Weisung für datenschutzrechtlich rechtswidrig, wird LExIT.cc den Verantwortlichen unverzüglich darauf hinweisen. LExIT.cc ist berechtigt, die Umsetzung bis zur Bestätigung oder Änderung der Weisung auszusetzen, soweit dies rechtlich zulässig ist.

6. Vertraulichkeit und Zugriffsbeschränkung

  1. LExIT.cc stellt sicher, dass Personen, die Zugriff auf personenbezogene Daten haben, diese nur auf Weisung des Verantwortlichen verarbeiten, sofern sie nicht gesetzlich zur Verarbeitung verpflichtet sind.
  2. LExIT.cc gewährleistet, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Der Zugriff auf personenbezogene Daten wird auf diejenigen Personen beschränkt, die diesen zur Erfüllung ihrer Aufgaben benötigen.

7. Technische und organisatorische Maßnahmen (TOM)

  1. LExIT.cc trifft angemessene technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
  2. Diese Maßnahmen umfassen nach aktuellem Grundsatz insbesondere:
  • Zugriffsbeschränkungen und Berechtigungskonzepte,
  • Authentifizierungs- und Sitzungsmanagement,
  • Transportverschlüsselung,
  • Schutz der Systeme gegen unbefugte Zugriffe,
  • Protokollierung sicherheitsrelevanter Vorgänge, soweit angemessen,
  • Datensicherungs- und Wiederanlaufkonzepte in dem tatsächlich eingerichteten Umfang,
  • Verfahren zur Trennung von Kundendaten.
  1. Die zum Zeitpunkt des Vertragsschlusses geltenden wesentlichen TOM ergeben sich aus Anlage 1 zu dieser AVV.
  2. LExIT.cc darf die TOM weiterentwickeln und an technische oder gesetzliche Entwicklungen anpassen, sofern das Schutzniveau insgesamt nicht unterschritten wird.

8. Unterstützungsleistungen für Betroffenenrechte

  1. LExIT.cc unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen betroffener Personen zu erfüllen.
  2. Dies betrifft insbesondere Anträge auf:
  • Auskunft,
  • Berichtigung,
  • Löschung,
  • Einschränkung der Verarbeitung,
  • Datenübertragbarkeit,
  • Widerspruch, soweit einschlägig.
  1. Soweit eine betroffene Person sich unmittelbar an LExIT.cc wendet, wird LExIT.cc die Anfrage - sofern rechtlich zulässig - unverzüglich an den Verantwortlichen weiterleiten und ohne Weisung des Verantwortlichen nicht inhaltlich beantworten.

9. Unterstützung bei Sicherheit, Meldungen und Datenschutz-Folgenabschätzungen

  1. LExIT.cc unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der LExIT.cc zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO, soweit dies gesetzlich erforderlich und angemessen ist.
  2. Dies betrifft insbesondere die Unterstützung bei:
  • Sicherheitsmaßnahmen,
  • Meldungen von Verletzungen des Schutzes personenbezogener Daten,
  • Benachrichtigungen betroffener Personen,
  • Datenschutz-Folgenabschätzungen,
  • vorherigen Konsultationen mit Aufsichtsbehörden.
  1. Ein erheblicher zusätzlicher Aufwand kann gesondert vergütet werden, soweit dies rechtlich zulässig und vertraglich vereinbart ist.

10. Meldung von Datenschutzverletzungen

  1. LExIT.cc informiert den Verantwortlichen unverzüglich, sobald LExIT.cc eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten betrifft, die im Auftrag des Verantwortlichen verarbeitet werden.
  2. Die Mitteilung erfolgt mit den LExIT.cc zu diesem Zeitpunkt verfügbaren Informationen, insbesondere soweit möglich zu:
  • Art der Verletzung,
  • betroffenen Datenkategorien,
  • betroffenen Personengruppen,
  • bereits ergriffenen oder vorgeschlagenen Gegenmaßnahmen.
  1. LExIT.cc schuldet keine rechtliche Bewertung, ob eine Meldepflicht gegenüber einer Aufsichtsbehörde oder betroffenen Personen besteht; diese Entscheidung obliegt dem Verantwortlichen.

11. Unterauftragsverarbeiter

  1. Der Verantwortliche erteilt LExIT.cc die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen.
  2. LExIT.cc wird Unterauftragsverarbeiter nur insoweit einsetzen, als dies für die Erbringung der vertraglich geschuldeten Leistungen erforderlich ist.
  3. Zum Zeitpunkt dieser AVV sind wesentliche Unterauftragsverarbeiter in Anlage 2 aufgeführt.
  4. LExIT.cc wird den Verantwortlichen über beabsichtigte wesentliche Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in angemessener Form informieren. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund innerhalb angemessener Frist widersprechen.
  5. Widerspricht der Verantwortliche berechtigt und kann keine zumutbare alternative Leistungserbringung angeboten werden, steht beiden Parteien ein Recht zur außerordentlichen Kündigung des betroffenen Leistungsteils zu.
  6. LExIT.cc verpflichtet Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die den in dieser AVV geregelten Pflichten im Wesentlichen entsprechen, soweit dies gesetzlich erforderlich ist.
  7. Soweit ein eingesetzter Dienst datenschutzrechtlich nicht als klassischer Unterauftragsverarbeiter für sämtliche Auftragsdaten einzuordnen ist, sondern als eigenständiger Empfänger, eigener Verantwortlicher oder vom Verantwortlichen gesondert ausgewähltes Drittsystem agiert, wird dies in der Subprozessoren- oder Empfängerliste entsprechend kenntlich gemacht.

12. Drittlandübermittlungen

  1. Eine Verarbeitung in einem Drittland oder eine Übermittlung an Empfänger in einem Drittland erfolgt nur, soweit
  • dies zur Leistungserbringung erforderlich ist und
  • die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden.
  1. Soweit erforderlich, stellt LExIT.cc geeignete Garantien sicher, insbesondere durch:
  • Angemessenheitsbeschlüsse,
  • Standardvertragsklauseln,
  • sonstige gesetzlich anerkannte Mechanismen.
  1. Auf Anfrage informiert LExIT.cc den Verantwortlichen über die hierfür maßgeblichen Schutzmechanismen, soweit LExIT.cc hierzu berechtigt ist.

13. Nachweis- und Kontrollrechte

  1. LExIT.cc stellt dem Verantwortlichen auf Anfrage die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen.
  2. Der Verantwortliche ist berechtigt, die Einhaltung dieser AVV in angemessenem Umfang zu kontrollieren oder durch einen zur Vertraulichkeit verpflichteten Prüfer kontrollieren zu lassen.
  3. Kontrollen haben
  • mit angemessener Vorankündigung,
  • während üblicher Geschäftszeiten,
  • ohne Störung des laufenden Betriebs,
  • unter Wahrung von Geschäfts- und Betriebsgeheimnissen sowie der Rechte anderer Kunden zu erfolgen.
  1. LExIT.cc darf Kontrollen von angemessenen Sicherheits- und Vertraulichkeitsvorgaben abhängig machen.
  2. Soweit gleichwertige aktuelle Nachweise, Berichte oder Zertifizierungen vorliegen, kann LExIT.cc dem Verantwortlichen diese vorrangig zur Verfügung stellen und eine Vor-Ort-Kontrolle auf das erforderliche Maß beschränken.
  3. Ein erheblicher zusätzlicher Aufwand für individuelle Audits kann gesondert vergütet werden, soweit rechtlich zulässig.

14. Rückgabe und Löschung nach Beendigung der Verarbeitung

  1. Nach Beendigung des Nutzungsvertrags und auf Weisung des Verantwortlichen wird LExIT.cc die im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, soweit keine gesetzliche Pflicht zur weiteren Speicherung besteht.
  2. Soweit im Produkt ein Selbstexport möglich ist, kann LExIT.cc den Export durch Bereitstellung geeigneter Funktionen erfüllen.
  3. Gesetzliche Aufbewahrungspflichten von LExIT.cc bleiben unberührt.
  4. Daten in technischen Sicherungen können noch bis zum Ablauf interner Backup-Zyklen vorhanden sein und werden danach im Rahmen der üblichen Verfahren überschrieben oder gelöscht.
  5. LExIT.cc hält Datenbank-Backups derzeit höchstens für 7 Kalendertage vor. Es besteht keine Garantie, dass Daten aus Backups ganz oder teilweise wiederhergestellt werden können.

15. Abgrenzung eigener Verantwortlichkeit von LExIT.cc

  1. Diese AVV gilt nur für solche Verarbeitungen, bei denen LExIT.cc als Auftragsverarbeiter im Auftrag des Verantwortlichen tätig wird.
  2. Hiervon nicht umfasst sind Verarbeitungen, bei denen LExIT.cc selbst datenschutzrechtlich Verantwortlicher ist, insbesondere für:
  • Registrierung und Login-bezogene Kontodaten,
  • Vertrags- und Abrechnungsdaten,
  • Kommunikation mit dem Kunden,
  • Missbrauchs- und Sicherheitsprotokolle,
  • gesetzlich erforderliche Nachweise und Aufbewahrungen.
  1. Diese eigenverantwortlichen Verarbeitungen richten sich nach der Datenschutzerklärung und den sonstigen vertraglichen Regelungen von LExIT.cc.

16. Haftung

  1. Die datenschutzrechtliche Haftung der Parteien richtet sich im Innen- und Außenverhältnis nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.
  2. Soweit gesetzlich zulässig, gelten ergänzend die Haftungsregelungen des zugrunde liegenden Nutzungsvertrags.
  3. Eine in dieser AVV enthaltene Regelung soll nicht so ausgelegt werden, dass zwingende Haftungsregeln der DSGVO ausgeschlossen oder unzulässig beschränkt werden.

17. Schlussbestimmungen

  1. Änderungen und Ergänzungen dieser AVV bedürfen der Textform, soweit nicht zwingendes Recht eine strengere Form verlangt.
  2. Sollten einzelne Bestimmungen dieser AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  3. Es gilt österreichisches Recht, soweit dem keine zwingenden datenschutzrechtlichen Vorschriften entgegenstehen.

Anlage 1 - Musterhafte technische und organisatorische Maßnahmen

Die nachfolgende Übersicht beschreibt den derzeit vorgesehenen Rahmen.

  1. Vertraulichkeit
  • rollenbasierte Zugriffsbeschränkungen
  • Authentifizierung über Zugangsdaten und Sitzungsmanagement
  • Beschränkung administrativer Zugriffe auf berechtigte Personen
  • verschlüsselte Übertragung nach Stand der Technik
  1. Integrität
  • technische Maßnahmen zur Vermeidung unbefugter Veränderung
  • Protokollierung sicherheitsrelevanter Vorgänge, soweit angemessen
  • Trennung von Benutzerkontexten und Berechtigungen
  1. Verfügbarkeit und Belastbarkeit
  • laufender Systembetrieb über geeignete Hosting-Infrastruktur
  • technische Sicherungen und Wiederanlaufprozesse in angemessenem Umfang
  • Schutzmaßnahmen gegen missbräuchliche oder übermäßige Nutzung
  1. Wiederherstellbarkeit
  • interne Backups in tatsächlich eingerichtetem Umfang
  • derzeit maximale Backup-Vorhaltung von 7 Kalendertagen
  • keine Zusage einer vollständigen oder erfolgreichen Wiederherstellbarkeit
  1. Verfahren zur regelmäßigen Überprüfung
  • Überprüfung, Anpassung und Weiterentwicklung technischer Schutzmaßnahmen
  • Fehler- und Sicherheitsmonitoring in angemessenem Umfang

Anlage 2 - Wesentliche Unterauftragsverarbeiter / Subprozessoren

  1. Supabase
  • Zweck: Authentifizierung, Datenbank, Dateispeicher, technische Plattformfunktionen
  • Rolle: Unterauftragsverarbeiter, soweit Auftragsdaten des Verantwortlichen betroffen sind
  • Rechtsgrundlage der Einordnung: Nach der öffentlich verfügbaren Supabase-DPA bietet Supabase eine Auftragsverarbeitungsregelung für die Bereitstellung der Plattformdienste an
  • Standort und Transfermechanismus: gemäß jeweils aktueller Supabase-DPA, etwaigen SCCs und den tatsächlich gewählten Projektregionen zu dokumentieren
  1. Vercel
  • Zweck: Hosting, Deployment, Request-Verarbeitung, technische Auslieferung der Webanwendung
  • Rolle: Unterauftragsverarbeiter, soweit Vercel im Rahmen des Hostings Zugriff auf oder technische Verarbeitung von Auftragsdaten ermöglicht
  • Rechtsgrundlage der Einordnung: Vercel stellt öffentlich eine Data Processing Addendum (DPA) bereit
  • Standort und Transfermechanismus: gemäß jeweils aktuellem Vercel-DPA, etwaigen SCCs oder sonstigen Transfermechanismen zu dokumentieren
  1. Stripe
  • Zweck: Zahlungsabwicklung für LExIT-Abonnements, Billing, Abrechnungsprozesse; bei vom Verantwortlichen aktivierter Nutzung zusätzlich externe Quelldaten für den optionalen Stripe-Import
  • Rolle: regelmäßig nicht pauschal Unterauftragsverarbeiter für sämtliche in LExIT gespeicherten Kundendaten; je nach Anwendungsfall vielmehr eigenständiger Verantwortlicher, gesonderter Empfänger oder vom Verantwortlichen selbst angebundenes Drittsystem
  • Einordnung: Stripe stellt zwar eine eigene DPA bereit, ist in der hier typischen Konstellation aber vor allem für Zahlungs- und Vertragsdaten von LExIT relevant; für den optionalen Stripe-Import ist die konkrete datenschutzrechtliche Rollenverteilung je Nutzungsszenario gesondert zu bewerten
  1. Optionale Integrationen und weitere Dienste
  • Soweit auf ausdrückliche Aktivierung des Verantwortlichen weitere externe Dienste eingebunden werden, ist im Einzelfall zu prüfen, ob diese als eigenständige Empfänger, separate Verantwortliche oder Unterauftragsverarbeiter einzuordnen sind.