Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter verarbeitet im Rahmen des SaaS-Dienstes MeinAgent.app personenbezogene Daten im Auftrag und nach dokumentierter Weisung des Verantwortlichen.

(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags (siehe AGB). Pflichten, die ihrer Natur nach über das Vertragsende hinaus wirken (Verschwiegenheit, Löschung, Beweissicherung), bleiben nach Vertragsende bestehen.

§ 2 Art und Zweck der Verarbeitung

Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung an genehmigte Subauftragsverarbeiter (insb. KI-Modelle, Hosting, E-Mail), Abgleichen, Einschränken, Löschen und Vernichten.

Zweck: Bereitstellung der vertraglich vereinbarten Funktionen des SaaS-Dienstes MeinAgent.app — insbesondere Erstellung und Verwaltung von Rechnungen, Belegen, Terminen, Kontakten, Wissensdateien, Kommunikation per Messenger und E-Mail, KI-gestützte Vorschläge und Transkriptionen, Drittsystem-Integrationen nach Wahl des Verantwortlichen.

§ 3 Art der Daten und Kategorien betroffener Personen

Datenarten: Stammdaten (Name, Anschrift, Telefon, E-Mail), Vertrags- und Rechnungsdaten, Kommunikationsinhalte (Telegram-Nachrichten, E-Mails), hochgeladene Dateien (PDFs, Bilder, Sprachnachrichten, Kontoauszüge), Termin- und Kalenderdaten, Produkt- und Bestelldaten (bei E-Commerce-Integration), optional: OAuth-Tokens und Metadaten verknüpfter Drittkonten (Google, Microsoft, Apple, Shopify).

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): grundsätzlich nicht Gegenstand der Verarbeitung. Der Verantwortliche verpflichtet sich, keine besonderen Kategorien personenbezogener Daten in den Dienst einzustellen, sofern hierfür nicht im Einzelfall eine gesonderte Vereinbarung getroffen wird.

Betroffene Personen: Kunden, Lieferanten, Geschäftspartner, Mitarbeiter und sonstige Kontakte des Verantwortlichen sowie der Verantwortliche selbst.

§ 4 Weisungsrecht des Verantwortlichen

(1) Der Verantwortliche ist allein zur Erteilung von Weisungen befugt. Weisungen erfolgen grundsätzlich in Textform oder über das Kundenportal. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Bis zur Bestätigung oder Änderung der Weisung kann die betroffene Verarbeitung ausgesetzt werden.

(3) Die Standard-Konfiguration des Dienstes inklusive der in Anlage 2 genannten Subauftragsverarbeiter gilt als initiale Weisung.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf Drittlandsübermittlungen;
• angemessene technische und organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO zu treffen und zu erhalten (Anlage 1);
• Personen, die zur Verarbeitung der Daten befugt sind, auf Vertraulichkeit zu verpflichten oder sicherzustellen, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
• Subauftragsverarbeiter nur unter den Bedingungen von § 7 hinzuzuziehen;
• den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO sowie bei Anfragen Betroffener (Art. 12 bis 22 DSGVO) im Rahmen des technisch Zumutbaren zu unterstützen;
• den Verantwortlichen unverzüglich, spätestens binnen 24 Stunden nach Kenntniserlangung, über eine Verletzung des Schutzes personenbezogener Daten zu informieren (Art. 33 DSGVO) und alle für die Meldung an die Aufsichtsbehörde erforderlichen Informationen bereitzustellen;
• nach Beendigung des Hauptvertrags die Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern nicht zwingende gesetzliche Aufbewahrungspflichten entgegenstehen (vgl. § 132 BAO);
• dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO bereitzustellen und — unter Wahrung des Verhältnismäßigkeitsgrundsatzes — Überprüfungen zu ermöglichen (vgl. § 8).

§ 6 Pflichten des Verantwortlichen

• sicherzustellen, dass die Datenerhebung und -übermittlung an den Auftragsverarbeiter auf einer wirksamen Rechtsgrundlage beruht;
• die Betroffenen über die Verarbeitung durch den Dienst zu informieren (Art. 13/14 DSGVO);
• den Zweck und Umfang der Verarbeitung festzulegen und ggf. Weisungen anzupassen;
• Betroffenenanfragen primär selbst zu beantworten und nur erforderliche Unterstützung beim Auftragsverarbeiter anzufordern;
• etwaige besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) nicht ohne vorherige gesonderte Vereinbarung in den Dienst einzustellen;
• seinerseits angemessene Schutzmaßnahmen zu treffen (Passwort-Hygiene, sichere E-Mail-Adressen, sichere Endgeräte).

§ 7 Subauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zum Einsatz der in Anlage 2 genannten Subauftragsverarbeiter (Art. 28 Abs. 2 Satz 2 DSGVO).

(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor jeder geplanten Änderung im Bestand der Subauftragsverarbeiter in Textform (E-Mail an die im Konto hinterlegte Adresse und Veröffentlichung in der jeweils aktuellen Fassung von Anlage 2). Der Verantwortliche kann der Änderung aus berechtigten datenschutzrechtlichen Gründen innerhalb von 14 Tagen widersprechen.

(3) Im Widerspruchsfall werden die Parteien einvernehmlich nach einer Lösung suchen. Kann eine solche nicht gefunden werden, steht beiden Parteien ein außerordentliches Kündigungsrecht zum Wirksamwerden der Änderung zu. Bereits gezahlte Entgelte werden anteilig erstattet.

(4) Mit allen Subauftragsverarbeitern bestehen Verträge, die ihnen gleichwertige Datenschutzpflichten auferlegen (Art. 28 Abs. 4 DSGVO). Bei Drittlandsübermittlungen werden die EU-Standardvertragsklauseln (SCC 2021/914) abgeschlossen und, soweit erforderlich, ergänzende Schutzmaßnahmen nach EDSA-Empfehlung 01/2020 getroffen.

§ 8 Kontroll- und Auditrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung der vereinbarten TOM beim Auftragsverarbeiter zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).

(2) Überprüfungen erfolgen vorrangig auf dem Schriftweg durch Vorlage aktueller Nachweise (z. B. TOM-Dokumentation, Zertifikate, Pen-Test-Berichte). Vor-Ort-Prüfungen oder Prüfungen durch beauftragte Dritte sind nach vorheriger schriftlicher Ankündigung von mindestens 20 Werktagen und nur während der üblichen Geschäftszeiten zulässig; sie dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen.

(3) Beauftragte Dritte dürfen keine Wettbewerber des Auftragsverarbeiters sein und sind vorab zur Verschwiegenheit zu verpflichten.

(4) Maximal eine Prüfung pro Kalenderjahr ist im Standardpreis enthalten; zusätzliche Prüfungen werden nach Aufwand zu marktangemessenen Sätzen abgerechnet. Bei begründetem Anlass (z. B. Datenpanne) bleibt das außerordentliche Prüfrecht hiervon unberührt und trägt der Auftragsverarbeiter die Kosten bei festgestellten Mangelhaftigkeiten.

§ 9 Datenpannen, Mitteilungspflichten

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich nach Kenntniserlangung über jede Verletzung des Schutzes personenbezogener Daten, in jedem Fall so rechtzeitig, dass der Verantwortliche seine Meldepflicht nach Art. 33 DSGVO (72 Stunden) einhalten kann. Im Regelfall erfolgt die Erstmeldung binnen 24 Stunden nach Kenntnis.

(2) Die Mitteilung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit bekannt: Art und Umfang der Verletzung, betroffene Datensätze, voraussichtliche Folgen, getroffene Gegenmaßnahmen.

(3) Die Meldung an die Aufsichtsbehörde sowie ggf. an die betroffenen Personen obliegt grundsätzlich dem Verantwortlichen; der Auftragsverarbeiter unterstützt nach Kräften.

§ 10 Beendigung und Datenexport

(1) Nach Beendigung des Hauptvertrags löscht oder übergibt der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen.

(2) Der Verantwortliche kann seine Daten während der 30-tägigen Karenzzeit (vgl. AGB § 6 Abs. 6) über das Portal exportieren oder ein Export-Paket in maschinenlesbarem Format (JSON für strukturierte Daten, ZIP-Archiv für Dateien) per E-Mail anfordern.

(3) Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (insb. Buchhaltungsbelege gem. § 132 BAO), werden für die Dauer der Aufbewahrungsfrist eingeschränkt verarbeitet (Art. 18 DSGVO) und anschließend gelöscht.

§ 11 Haftung, Vergütung und Gerichtsstand

(1) Es gelten ergänzend die Haftungsregelungen des Hauptvertrags (AGB § 10) sowie die zwingenden Bestimmungen der DSGVO. Im Innenverhältnis haftet jede Partei für Schäden, die durch ihren Verstoß gegen DSGVO/AVV verursacht wurden.

(2) Leistungen des Auftragsverarbeiters zur Unterstützung des Verantwortlichen (Auskunft, Audit-Vorbereitung, Sonderexporte) sind im Standardpreis enthalten, soweit der angemessene Aufwand pro Anlass nicht überschritten wird; darüber hinausgehende Leistungen werden zu marktangemessenen Sätzen abgerechnet.

(3) Gerichtsstand ist Wien; im Übrigen gilt österreichisches Recht.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Server befinden sich in Hetzner-Rechenzentren (Falkenstein/Nürnberg) mit ISO 27001-Zertifizierung; physischer Zutritt ausschließlich autorisiertes Hetzner-Personal mit Mehrstufen-Kontrolle.
• Zugangskontrolle: Server-Zugang ausschließlich per SSH-Schlüsselauthentifizierung (Ed25519/RSA-4096); Passwort-Login deaktiviert; Admin-Konto durch Zwei-Faktor-Authentifizierung geschützt; Hub-Portal mit gehashtem Passwort (bcrypt) + Session-Cookie (HttpOnly, Secure, SameSite).
• Zugriffskontrolle: Per-Kunden-VPS-Architektur: jeder zahlende Kunde erhält einen dedizierten Server mit isolierter Datenbank (SQLite-Datei je Bot); kein direkter Cross-Tenant-Zugriff auf Datenbank-Ebene möglich. Free-Tier auf gehärtetem Shared-VPS mit logischer Trennung pro Konto.
• Trennungskontrolle: Test-, Staging- und Produktionsumgebungen sind voneinander getrennt; Mandantentrennung physisch (VPS-Ebene) und logisch (Datenbank-Ebene).
• Pseudonymisierung: Sensible Tokens (OAuth-Refresh-Tokens, API-Keys) werden symmetrisch mit Fernet (AES-128-CBC + HMAC-SHA256) verschlüsselt; der Schlüssel ist aus einem auf dem Server gespeicherten Anwendungs-Secret abgeleitet und liegt nicht in der Datenbank.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: TLS-Verschlüsselung (mind. TLS 1.2) bei jeder Übertragung; HSTS aktiv für meinagent.app und alle Sub-Domains.
• Eingabekontrolle: Alle relevanten Vorgänge (Erstellen, Ändern, Löschen) werden in Log-Tabellen protokolliert (Akteur, Zeitstempel, Aktion); Logs sind für Aufsichtsbehörden auf Anforderung auswertbar.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b/c DSGVO)

• Hardware-Redundanz: Hetzner-Hardware mit RAID; automatische Reparatur bei Ausfall einer Festplatte.
• Backups: tägliche Snapshots der gesamten VPS-Daten; verschlüsselte Aufbewahrung 7 Tage rollierend; zusätzliche wöchentliche Sicherung 4 Wochen rollierend.
• Monitoring: automatisches Health-Monitoring aller kritischen Services (Hub, Bot, Datenbank); Auto-Restart bei Crash; Alerting per E-Mail/Telegram bei Anomalien.
• Sicherheits-Updates: Betriebssystem-Updates werden regelmäßig eingespielt, kritische Sicherheits-Patches innerhalb 7 Tagen nach Verfügbarkeit.

4. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

• Wiederherstellungszeit (RTO): Bot-Service binnen 4 Stunden, VPS-Vollwiederherstellung binnen 24 Stunden.
• Wiederherstellungspunkt (RPO): max. 24 Stunden Datenverlust (tägliches Backup).
• Testwiederherstellung: mind. einmal pro Quartal stichprobenhaft erprobt.

5. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Strukturierter Deployment-Prozess mit Pre-Flight-Checks (Konfiguration, Abhängigkeiten, Schema-Migrationen) vor jedem Rollout auf Kundensysteme;
• Automatisierte Sicherheitsprüfungen ausgewählter Abhängigkeiten;
• Sicherheitsbewertung der eigenen Infrastruktur und ggf. Penetrationstests bei wesentlichen Architekturänderungen oder bei begründetem Anlass; Dokumentation der durchgeführten Prüfungen;
• Notfall-, Wiederherstellungs- und Lösch-Konzept dokumentiert und mindestens jährlich auf Aktualität geprüft.

6. Auftragskontrolle (Art. 28 DSGVO)

• Subauftragsverarbeiter werden ausschließlich nach DSGVO-Prüfung eingesetzt;
• Vertragspflichten gemäß Art. 28 DSGVO werden weitergegeben;
• Drittlandsübermittlungen ausschließlich mit SCC 2021/914 bzw. unter EU-US DPF.

Anlage 2 — Subauftragsverarbeiter (Stand: Mai 2026)

Die jeweils aktuelle Fassung der Anlage 2 finden Sie online unter meinagent.app/avv.html#anlage2. Bei Änderungen werden aktive Kunden gem. § 7 (2) vorab informiert.