Auftragsverarbeitungsvertrag

Vertrag zur Auftragsverarbeitung personenbezogener Daten bei Nutzung der Mesh App.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

zwischen

X1 Mesh WEB GmbH
Zimmermangasse 8, 1090 Wien, Österreich
Tel.: +43 676 655 9798
E-Mail: [email protected]
UID: ATU77147856
FN: 555871h
(im Folgenden „Auftragsverarbeiter“)

und

dem jeweiligen Kunden der Mesh App (im Folgenden „Verantwortlicher“).

Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus der Nutzung der Mesh App ergeben, bei der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

1. Gegenstand und Dauer des Vertrags

Der Auftragsverarbeiter stellt dem Verantwortlichen die Mesh App als cloudbasierte Softwarelösung zur Verfügung. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.

Dieser Vertrag beginnt mit Abschluss des Nutzungsvertrags für die Mesh App und endet automatisch mit dessen Beendigung.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst alle Funktionen der Mesh App, insbesondere:

  • CRM- und Kontaktdatenverwaltung
  • Projekt- und Aktivitätenmanagement
  • Dokumentenverwaltung
  • Zeiterfassung, Rechnungswesen und interne Abläufe
  • Speicherung, Strukturierung, Übermittlung und Löschung von Daten

Zweck ist die Bereitstellung des SaaS-Dienstes zur Unternehmensverwaltung.

3. Art der personenbezogenen Daten

Es können folgende Kategorien verarbeitet werden:

  • Kontakt- und Stammdaten (Kunden, Mitarbeiter, Lieferanten)
  • Kommunikationsinhalte
  • Vertrags‑, Rechnungs‑ und Zahlungsdaten
  • Zeit- und Aktivitätsdaten
  • Dateien, Dokumente und Notizen
4. Kategorien betroffener Personen

Betroffene Personen können sein:

  • Mitarbeiter des Verantwortlichen
  • Kunden und Geschäftspartner
  • Lieferanten
  • sonstige Personen, deren Daten der Verantwortliche in der App speichert
5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.
  • Vertraulichkeit sicherzustellen und Mitarbeiter entsprechend zu verpflichten.
  • Geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen.
  • Die Daten ausschließlich in der vereinbarten Infrastruktur zu verarbeiten.
  • Den Verantwortlichen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen und Sicherheitsvorfällen zu unterstützen.
  • Daten nach Abschluss der Verarbeitung gemäß Vertrag zu löschen oder zurückzugeben.
  • Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung gegen Datenschutzrecht verstößt.
6. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen um:

  • Verschlüsselung von Datenübertragungen (HTTPS)
  • Schutz der Server-Infrastruktur
  • Zugriffsbeschränkungen und Rollenverwaltung
  • Protokollierung von Zugriffen
  • Backup- und Wiederherstellungskonzepte
  • Monitoring und Sicherheitsprüfungen

Eine detaillierte TOM-Liste wird auf Anfrage bereitgestellt und regelmäßig aktualisiert.

7. Einsatz von Unterauftragsverarbeitern

Der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen, sofern:

  • diese vertraglich gemäß Art. 28 DSGVO verpflichtet sind und
  • der Verantwortliche informiert wurde.

Typische Unterauftragsverarbeiter:

  • Hosting- und Cloudanbieter
  • E-Mail-Dienste
  • Zahlungsprovider

Eine jeweils aktuelle Liste steht auf Anfrage zur Verfügung.

8. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

  • sicherzustellen, dass alle personenbezogenen Daten rechtmäßig verarbeitet werden,
  • seine Nutzer zu schulen und Zugänge zu schützen,
  • nur notwendige Daten einzugeben,
  • seine vertraglichen und gesetzlichen Pflichten selbst zu erfüllen.
9. Rechte der Betroffenen

Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei, Betroffenenrechte zu erfüllen, z. B.:

  • Auskunft,
  • Berichtigung,
  • Löschung,
  • Datenübertragung.

Der Auftragsverarbeiter übernimmt diese Aufgaben nicht eigenständig, sondern ausschließlich auf Weisung.

10. Meldung von Datenschutzvorfällen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten, spätestens jedoch innerhalb von 48 Stunden, nachdem der Vorfall bekannt wurde.

Die Meldung enthält mindestens:

  • Art der Verletzung,
  • wahrscheinliche Auswirkungen,
  • ergriffene Maßnahmen.
11. Löschung und Rückgabe von Daten

Nach Vertragsende:

  • erhält der Verantwortliche 30 Tage Zugang zur Datenexport-Funktion,
  • werden danach die Daten sicher gelöscht, sofern keine gesetzlichen Fristen entgegenstehen.
12. Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht:

  • Audits anzufordern,
  • Prüfberichte zu erhalten,
  • sich von der Einhaltung der TOMs zu überzeugen.

Audits müssen angemessen angekündigt werden und dürfen den Geschäftsbetrieb nicht beeinträchtigen.

13. Haftung

Die Haftung richtet sich nach dem Hauptvertrag (AGB und Nutzungsvertrag). Der Auftragsverarbeiter haftet nicht für datenschutzwidrige Eingaben oder Handlungen des Verantwortlichen.

14. Schlussbestimmungen

Änderungen dieses Vertrags bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Gerichtsstand ist, soweit rechtlich zulässig, der Sitz des Auftragsverarbeiters.