Auftragsverarbeitungsvertrag (AVV)

nach Art. 28 DSGVO · Version 1.0 · gültig ab 1. Juni 2026

Vertragsparteien

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen

dem Verantwortlichen (Kunde):

und

dem Auftragsverarbeiter:
naKlaro e.U., Inhaber Stefan Mueller


Firmenbuchnummer: FN 676705f, Landesgericht Feldkirch
E-Mail: [email protected]

– nachfolgend gemeinsam „Parteien“ – in Ergänzung zum zwischen ihnen bestehenden Hauptvertrag (Nutzungsvertrag gemäß den AGB).

§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

1. Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und des Betriebs der über naKlaro erstellten Website und der damit verbundenen Funktionen.
2. Art, Umfang und Zweck der Verarbeitung sowie die Art der Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1.
3. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Sie endet mit dessen Beendigung, vorbehaltlich der Regelungen in § 9.
4. Die Verarbeitung findet ausschließlich innerhalb der EU/des EWR statt, soweit nicht in Anlage 3 für einzelne Sub-Auftragsverarbeiter eine Drittlandübermittlung mit geeigneten Garantien (Art. 44 ff. DSGVO) ausgewiesen ist.

§ 2 Art der Daten und Kategorien betroffener Personen

Die konkreten Datenarten und die Kategorien betroffener Personen sind in Anlage 1 festgelegt. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nur verarbeitet, wenn der Verantwortliche entsprechende Inhalte (z. B. über ein Formularfeld) selbst vorsieht; der Verantwortliche ist für die Zulässigkeit einer solchen Verarbeitung allein verantwortlich.

§ 3 Rechte und Pflichten des Verantwortlichen

1. Der Verantwortliche ist im Rahmen dieses Vertrags für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
2. Der Verantwortliche erteilt Weisungen grundsätzlich in Textform (z. B. per E-Mail oder WhatsApp). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
3. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

§ 4 Pflichten des Auftragsverarbeiters

1. Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). Er informiert den Verantwortlichen, wenn er eine Weisung für rechtswidrig hält.
2. Vertraulichkeit: Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
3. Datensicherheit: Der Auftragsverarbeiter trifft die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2.
4. Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen nach § 7 dieses Vertrags.
5. Datenschutzbeauftragter / Ansprechpartner: Anfragen sind an [email protected] zu richten.
6. Der Auftragsverarbeiter berichtigt, löscht oder sperrt die im Auftrag verarbeiteten Daten nach Weisung des Verantwortlichen.

§ 5 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter gewährleistet die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO). Die Maßnahmen unterliegen dem technischen Fortschritt; der Auftragsverarbeiter darf sie anpassen, sofern das Schutzniveau nicht unterschritten wird.

§ 6 Sub-Auftragsverarbeiter

1. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) einzusetzen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 3 aufgeführt und gelten als genehmigt.
2. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen; in diesem Fall steht beiden Parteien ein Sonderkündigungsrecht zu.
3. Der Auftragsverarbeiter verpflichtet jeden Sub-Auftragsverarbeiter auf Datenschutzpflichten, die den Pflichten dieses Vertrags entsprechen (Art. 28 Abs. 4 DSGVO).
4. Erfolgt eine Übermittlung in ein Drittland, stellt der Auftragsverarbeiter geeignete Garantien sicher (insbesondere EU-Standardvertragsklauseln bzw. ein Angemessenheitsbeschluss), siehe Anlage 3.

§ 7 Unterstützung des Verantwortlichen

1. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung der Anfragen und Rechte betroffener Personen (Art. 12–23 DSGVO). Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
2. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

§ 8 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Daten betrifft, unverzüglich – in der Regel innerhalb von 48 Stunden ab Kenntnis – in Textform. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO verfügbaren Informationen, damit der Verantwortliche seinen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO) nachkommen kann.

§ 9 Löschung und Rückgabe nach Vertragsende

1. Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter die im Auftrag verarbeiteten Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).
2. Die Löschung erfolgt spätestens 30 Tage nach Beendigung des Hauptvertrags, soweit der Verantwortliche keine Rückgabe verlangt. Auf Wunsch stellt der Auftragsverarbeiter vor der Löschung einen Export der Daten zur Verfügung.
3. Die Löschung wird auf Anfrage in Textform bestätigt.

§ 10 Nachweis und Kontrolle

1. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
2. Der Verantwortliche ist berechtigt, sich von der Einhaltung der vereinbarten Maßnahmen zu überzeugen. Kontrollen erfolgen nach angemessener Vorankündigung, zu üblichen Geschäftszeiten und ohne Beeinträchtigung des Betriebsablaufs; der Nachweis kann auch durch aktuelle Testate, Zertifikate oder Berichte unabhängiger Stellen erbracht werden.

§ 11 Haftung

Für die Haftung gelten die Regelungen des Hauptvertrags (§ 8 der AGB) entsprechend. Im Außenverhältnis gegenüber betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis tragen die Parteien die Verantwortung nach ihrem jeweiligen Verursachungs- und Verantwortungsbeitrag.

§ 12 Schlussbestimmungen

1. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.
2. Änderungen und Ergänzungen bedürfen der Textform.
3. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
4. Es gilt österreichisches Recht; im Übrigen gelten die Regelungen des Hauptvertrags zu anwendbarem Recht und Gerichtsstand entsprechend. Zwingende Vorschriften der DSGVO und des nationalen Datenschutzrechts bleiben unberührt.

Anlage 1 – Gegenstand und Einzelheiten der Verarbeitung

• Gegenstand: Bereitstellung, Hosting und Betrieb der über naKlaro erstellten Website sowie verbundener Funktionen (z. B. Kontaktformular).
• Zweck: Ermöglichung der vom Verantwortlichen angebotenen Website-Funktionen gegenüber dessen Endkunden.
• Art der Verarbeitung: Erheben, Speichern, Anzeigen, Übermitteln (an Sub-Auftragsverarbeiter gemäß Anlage 3), Löschen.
• Art der Daten: insbesondere Bestandsdaten (Name, Anschrift), Kontaktdaten (E-Mail, Telefon), Inhaltsdaten (Nachrichten-/Formularinhalte), Nutzungs- und Metadaten (z. B. IP-Adresse, Zeitstempel) – je nach den vom Verantwortlichen eingerichteten Funktionen.
• Kategorien betroffener Personen: Endkunden, Interessenten, Besucher und sonstige Kontakte des Verantwortlichen.
• Dauer: Laufzeit des Hauptvertrags zzgl. der Regelungen in § 9.

Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

• Vertraulichkeit: Zutrittskontrolle über Rechenzentren der eingesetzten Hosting-Dienstleister (zertifizierte Infrastruktur); Zugangskontrolle über individuelle, starke Authentifizierung; Zugriffskontrolle nach dem Need-to-know-Prinzip mit minimalen Berechtigungen.
• Integrität: Verschlüsselte Übertragung (TLS/HTTPS); Schutz vor unbefugter Veränderung; Eingabekontrolle durch Protokollierung relevanter Vorgänge.
• Verfügbarkeit und Belastbarkeit: Hosting auf ausfallredundanter Cloud-Infrastruktur; Schutzmaßnahmen gegen Angriffe (u. a. über Cloudflare); regelmäßige Backups durch die eingesetzten Dienstleister.
• Pseudonymisierung/Verschlüsselung: Verschlüsselung im Transport; Trennung von Mandanten-/Kundendaten.
• Belastbarkeit und Wiederherstellbarkeit: Verfahren zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall.
• Auftragskontrolle: sorgfältige Auswahl und vertragliche Verpflichtung der Sub-Auftragsverarbeiter (Anlage 3).
• Überprüfung: regelmäßige Evaluierung der Wirksamkeit der Maßnahmen.

Anlage 3 – Genehmigte Sub-Auftragsverarbeiter

Die jeweils aktuelle Liste der Sub-Auftragsverarbeiter ist Bestandteil dieses AVV und kann sich gemäß § 6 ändern. Stand: 1. Juni 2026.

Download & Gegenzeichnung

Du kannst diesen AVV als PDF herunterladen, mit deinen Angaben (Verantwortlicher) ergänzen und für deine Unterlagen aufbewahren. Für eine beidseitig unterzeichnete Ausfertigung schreib uns an [email protected].

AVV als PDF herunterladen   Seite drucken

Weitere Informationen zur Datenverarbeitung findest du in unserer Datenschutzerklärung, die Vertragsbedingungen in den AGB.