Showcases

AVV

Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO

Verantwortlicher (Auftraggeber iSd DSGVO):

[Firma des Verantwortlichen]
[Vor- und Nachname / Vertretungsberechtigter]
[Anschrift]
[PLZ Ort, Land]
UID: [UID-Nummer, falls vorhanden]
(im Folgenden „Verantwortlicher“)

Auftragsverarbeiter:

Acinon
Inhaber: Daniel Matejcek
Panoramaweg 6
2403 Scharndorf, Österreich
UID: ATU80409327
Ansprechpartner für Datenschutz: daniel@acinon.ai
(im Folgenden „Auftragsverarbeiter“)

gemeinsam „Parteien“.

Präambel:

Der Auftragsverarbeiter erbringt für den Verantwortlichen IT-Dienstleistungen (u. a. Organisations-, Programmier- und/oder Wartungsleistungen) im Rahmen eines Hauptvertrags/Angebots. Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Diese Vereinbarung konkretisiert die Anforderungen des Art. 28 DSGVO.

1. Gegenstand, Dauer und Dokumente

1.1. Gegenstand dieser AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen gemäß den Bestimmungen dieser AVV und den Anlagen.

1.2. Dauer: Diese AVV gilt ab dem Datum der schriftlichen Annahme bzw. ab Beginn der Leistungserbringung gemäß Hauptvertrag und läuft für die Dauer des Hauptvertrags sowie bis zur vollständigen Erfüllung aller Pflichten aus dieser AVV (z. B. Rückgabe/Löschung).

1.3. Vorrang: Im Zweifel gehen Regelungen dieser AVV den datenschutzbezogenen Regelungen des Hauptvertrags vor; sonstige Leistungs-/Vergütungsregelungen bleiben unberührt.

2. Art, Zweck und Umfang der Verarbeitung

2.1. Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Anpassen/Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen/Verknüpfen, Einschränken, Löschen/Vernichten – soweit zur Leistungserbringung erforderlich.

2.2. Zwecke: Durchführung des Projekts/der Leistungen (Planung, Umsetzung, Support, Wartung), Projektkommunikation und Dokumentation (z. B. Tickets/Timesheets), Fehleranalyse, Abnahmeunterstützung.

2.3. Kategorien betroffener Personen und Datenkategorien ergeben sich aus Anlage 1.

2.4. Endkunde: Soweit im Projektkontext Daten Dritter (z. B. Endkunden des Verantwortlichen) verarbeitet werden, erfolgt dies stets im Auftrag des Verantwortlichen und nur nach dessen dokumentierten Weisungen.

3. Weisungsrecht des Verantwortlichen

Weisungen im Sinn dieser Vereinbarung beziehen sich ausschließlich auf die datenschutzrechtliche Verarbeitung personenbezogener Daten (Art und Zweck der Verarbeitung, Sicherheitsanforderungen, Löschung/Rückgabe, Subprozessoren) und begründen keine arbeitsrechtliche Weisungsgebundenheit hinsichtlich Zeit, Ort oder Art der Leistungserbringung.

3.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch hinsichtlich Übermittlungen an Drittländer oder internationale Organisationen.

3.2. Weisungen können in Textform erfolgen (z. B. E-Mail, Ticket/Protokoll).

3.3. Hält der Auftragsverarbeiter eine Weisung für datenschutzwidrig, informiert er den Verantwortlichen unverzüglich. Die Ausführung kann bis zur Klärung ausgesetzt werden.

4. Vertraulichkeit

4.1. Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

4.2. Zugriff auf personenbezogene Daten erhalten nur solche Personen, die diesen zur Aufgabenerfüllung benötigen (Need-to-know).

5. Sicherheit der Verarbeitung (Art. 32 DSGVO)

5.1. Der Auftragsverarbeiter trifft die technischen und organisatorischen Maßnahmen (TOM) gemäß Anlage 2, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

5.2. Änderungen der TOM sind zulässig, sofern das Schutzniveau nicht unterschritten wird; wesentliche Änderungen werden dem Verantwortlichen auf Anfrage mitgeteilt.

6. Unterauftragsverarbeiter

6.1. Der Einsatz von Unterauftragsverarbeitern (Subprozessoren) ist nur nach Maßgabe dieser AVV zulässig.

6.2. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt Gelegenheit zum Widerspruch innerhalb einer angemessenen Frist von 30 Tagen.

6.3. Unterauftragsverarbeiter sind durch Vertrag mindestens zu denselben Datenschutzpflichten zu verpflichten, wie sie in dieser AVV vereinbart sind (insb. Art. 28 Abs. 4 DSGVO).

6.4. Aktuelle Unterauftragsverarbeiter (falls bereits feststehend) werden in Anlage 3 angeführt; andernfalls bleibt Anlage 3 zunächst leer und wird bei Bedarf ergänzt.

7. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen – unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen – bei:

7.1. der Beantwortung von Anträgen betroffener Personen (Auskunft, Löschung etc.), soweit diese die Auftragsverarbeitung betreffen;

7.2. der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit, Meldungen, ggf. Datenschutz-Folgenabschätzung, Konsultation).

7.3. Soweit zulässig, erfolgt Unterstützung gegen angemessenes Entgelt, sofern dies nicht bereits im Hauptvertrag abgedeckt ist.

8. Meldung von Verletzungen des Schutzes personenbezogener Daten

8.1. Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jede Verletzung des Schutzes personenbezogener Daten, die im Rahmen dieser Auftragsverarbeitung bekannt wird, und stellt die zur Erfüllung der Melde-/Benachrichtigungspflichten erforderlichen Informationen bereit.

8.2. Der Auftragsverarbeiter dokumentiert Datenschutzvorfälle.

9. Nachweise, Kontrollen und Audits

9.1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung dieser AVV nachzuweisen, und ermöglicht Audits/Inspektionen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer, unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie angemessener Vorankündigung von mindestens 14 Werktagen.

9.2. Audits sollen in der Regel während üblicher Geschäftszeiten stattfinden; Details (Scope, Vertraulichkeit, Kosten) werden vorab abgestimmt.

10. Rückgabe/Löschung nach Beendigung

10.1. Nach Abschluss der Verarbeitung (insb. Beendigung des Hauptvertrags) löscht oder gibt der Auftragsverarbeiter – nach Wahl des Verantwortlichen – alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

10.2. Gesetzlich aufzubewahrende Daten werden gesperrt und nur zu diesen Zwecken verarbeitet; Löschung erfolgt nach Ablauf der Pflicht.

11. Verarbeitung in Drittländern / Internationale Übermittlungen

11.1. Eine Verarbeitung außerhalb EU/EWR oder die Einschaltung von Dienstleistern mit Drittlandbezug erfolgt nur auf Weisung des Verantwortlichen und unter Einhaltung der DSGVO-Vorgaben.

11.2. Das WKO-Muster weist darauf hin, dass bei Drittstaatenverarbeitungen die Standarddatenschutzklauseln (Durchführungsbeschluss (EU) 2021/914) erforderlich sind; andernfalls können Genehmigungspflichten entstehen.

11.3. Soweit Drittlandübermittlungen erforderlich sind, schließen die Parteien die notwendigen Zusatzvereinbarungen (z. B. SCC) oder dokumentieren eine geeignete Rechtsgrundlage.

12. Haftung

12.1. Für Haftung und Verantwortlichkeiten der Parteien gelten die Bestimmungen des Hauptvertrags sowie zwingende gesetzliche Regelungen.

12.2. Diese AVV begründet keine verschuldensunabhängige Haftung über die gesetzlichen Anforderungen hinaus.

13. Schlussbestimmungen

13.1. Änderungen/Ergänzungen dieser AVV bedürfen der Schriftform (E-Mail ausreichend, sofern eindeutig zuordenbar).

13.2. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt (salvatorische Klausel).

13.3. Es gilt österreichisches Recht. Gerichtsstand ist – soweit zulässig – der Geschäftssitz des Auftragsverarbeiters, sofern nicht zwingend anderes gilt.

Anlagen

Anlage 1 – Beschreibung der Verarbeitung

1. Gegenstand der Verarbeitung
IT-Dienstleistungen (Organisations-, Programmier-, Implementierungs-, Wartungs- und Supportleistungen) im Rahmen des Hauptvertrags/Angebots zwischen Verantwortlichem und Auftragsverarbeiter, inkl. Projektkommunikation und Dokumentation (z. B. Tickets/Tasks, Timesheets, Abnahmeunterstützung).

2. Kategorien betroffener Personen

  • Ansprechpartner/Mitarbeitende des Verantwortlichen
  • Ansprechpartner/Mitarbeitende des Endkunden des Verantwortlichen (soweit in Projektkommunikation, Tickets, Dokumentation enthalten)
  • sonstige vom Verantwortlichen benannte Personen, deren Daten im Rahmen des Projekts verarbeitet werden

3. Kategorien personenbezogener Daten

  • Identifikations- und Kontaktdaten (Name, E-Mail, Telefon, Funktion)
  • Kommunikations- und Projektdaten (E-Mails, Meeting-Notizen, Tickets/Tasks, Protokolle)
  • Leistungs- und Abnahmedaten (Timesheets/Leistungsnachweise, Abnahmeprotokolle, Änderungs-/Fehlerbeschreibungen)
  • ggf. Inhalte/Anhänge, die personenbezogene Daten enthalten können (z. B. Fotos/Protokolle/Dokumente), abhängig vom Projektinhalt und Weisungen des Verantwortlichen

4. Verarbeitungsvorgänge
Erheben, Erfassen, Speichern, Bearbeiten, Auslesen/Abfragen, Übermitteln (z. B. an Systeme des Verantwortlichen/Endkunden nach Weisung), Einschränken, Löschen/Vernichten – jeweils soweit zur Leistungserbringung erforderlich.

5. Ort der Verarbeitung
Primär Österreich/EU/EWR. Ggf. Einsatz von Cloud-/Tooling-Dienstleistern gemäß Anlage 3 bzw. nach dokumentierter Weisung des Verantwortlichen.

6. Dauer der Verarbeitung
Für die Dauer des Hauptvertrags/Angebots und der darin vorgesehenen Leistungen sowie bis zur Erfüllung der Pflichten nach Abschnitt 10 (Rückgabe/Löschung), vorbehaltlich gesetzlicher Aufbewahrungspflichten.

Anlage 2 – Technische und organisatorische Maßnahmen (TOM)

A) Zutrittskontrolle

• Mitarbeitende arbeiten überwiegend im Home Office mit abschließbarem Arbeitsbereich

• Arbeitsgeräte (Laptops, Mobiltelefone) sind nicht öffentlich zugänglich und stehen unter persönlicher Aufsicht der jeweiligen Mitarbeitenden

• Kein gemeinsam genutzter, öffentlich zugänglicher Office-Standort

B) Zugangskontrolle

• Persönliche Benutzerkonten mit Passwort-Authentifizierung am Betriebssystem (Windows / macOS / Linux); Bildschirmsperre bei Verlassen des Arbeitsplatzes

• Multi-Faktor-Authentifizierung (MFA) ist für Microsoft 365 (zentrales Tool für E-Mail, Dateien und Kommunikation) aktiviert; eine Ausweitung auf alle weiteren zentralen Tools (Supabase, Railway, GitHub, ClickUp, OpenAI, Anthropic) ist in Umsetzung

• Mobiltelefone der Mitarbeitenden mit Code-/Biometrie-Sperre, eingesetzt für E-Mail-Zugriff (Microsoft 365) und projektbezogene Kommunikation

C) Zugriffskontrolle

• Rollen- und Rechtevergabe in allen genutzten Tools nach dem Need-to-know-Prinzip

• Ausschließlich persönliche, nicht geteilte Benutzerkonten je Mitarbeitendem und Tool

• Onboarding/Offboarding (Anlegen, Anpassen und Löschen von Tool-Zugängen) erfolgt anlassbezogen durch den Inhaber bzw. den Datenschutz-Ansprechpartner

D) Weitergabekontrolle (Übertragung/Transport)

• Verschlüsselte Übertragung (TLS/HTTPS) bei allen eingesetzten Diensten (Microsoft 365, ClickUp, Supabase, Railway, GitHub, Resend, OpenAI- und Anthropic-API u. a.)

• Datenfreigaben primär über Microsoft OneDrive/SharePoint sowie projektspezifische Tools mit Berechtigungssteuerung; Vermeidung unverschlüsselter E-Mail-Anhänge mit sensiblen Inhalten

• Der Zugriff auf Cloud-Tools erfolgt über die jeweiligen authentifizierten Endpunkte; kein zusätzliches VPN im Einsatz

E) Eingabekontrolle / Nachvollziehbarkeit

• Aufgaben, Projektänderungen und Kommunikation werden in ClickUp (Tickets/Tasks) sowie GitHub (Commit- und Pull-Request-Historie) dokumentiert

• Tool-eigene Audit-Logs (Microsoft 365, Supabase, Railway, GitHub) sind aktiv und im Anlassfall auswertbar

F) Auftragskontrolle

• Weisungen des Verantwortlichen werden in Textform (E-Mail, ClickUp-Ticket oder Projektprotokoll) dokumentiert und sind dadurch nachvollziehbar

• Bei Einsatz von Subprozessoren werden die Vorgaben aus Abschnitt 6 dieser AVV eingehalten (vertragliche Verpflichtung, Informationspflicht, Widerspruchsrecht)

G) Verfügbarkeitskontrolle

• Code, Konfigurationen und Projektdokumentation werden in GitHub (versioniert) und Microsoft OneDrive (Cloud-Backup) gesichert

• Schutz vor Malware durch Standard-Betriebssystemschutz (z. B. Microsoft Defender) sowie regelmäßige Sicherheitsupdates der eingesetzten Systeme

• Bei produktiven Kundensystemen wird die Verfügbarkeit durch die Backup- und Recovery-Funktionen der jeweiligen Plattform (z. B. Supabase Point-in-Time-Recovery, Railway-Snapshots) gewährleistet

H) Trennungsgebot

• Logische Trennung von Kundenprojekten in allen Tools: getrennte Workspaces in ClickUp, getrennte Repositories in GitHub, getrennte Projekte/Datenbanken in Supabase, getrennte Services in Railway

• Persönliche LLM-Abonnements (ChatGPT Plus, Claude Pro) werden ausschließlich für interne Entwicklungsarbeit ohne personenbezogene Kundendaten verwendet; die Verarbeitung personenbezogener Daten des Verantwortlichen erfolgt ausschließlich über die jeweiligen API-Varianten mit DPA (siehe Anlage 3)

I) Ergänzende organisatorische Maßnahmen

• Mitarbeitende unterliegen einer Verschwiegenheitspflicht (vertraglich und/oder gesetzlich)

• Datenschutzvorfälle werden gemäß Abschnitt 8 dieser AVV gemeldet und dokumentiert

• Der Auftragsverarbeiter verfügt über eine Berufshaftpflichtversicherung

• Eine Festplattenverschlüsselung der Arbeitsgeräte (BitLocker / FileVault / LUKS) ist nicht durchgängig aktiviert; die Aktivierung ist als interne Maßnahme geplant

Anlage 3 – Unterauftragsverarbeiter

Unterauftragsverarbeiter Zweck Datenkategorien Verarbeitungsort / Region
Microsoft 365 (Outlook, OneDrive, SharePoint, Teams, ggf. Power Automate) E-Mail-Kommunikation, Dokumentenablage, Projektzusammenarbeit, ggf. Workflow-Automatisierung Kommunikations- und Kontaktdaten, projektbezogene Dokumente und Inhalte EU/EWR (Tenant auf EU-Datenresidenz konfiguriert); Microsoft als AVV-Partner; SCCs für etwaige Drittlandzugriffe gemäß Microsoft DPA
ClickUp Projektmanagement, Aufgaben- und Ticketverwaltung, interne Dokumentation Projekt- und Aufgabendaten, Kontakt- und Kommunikationsdaten der Ansprechpartner ClickUp Inc. (US-Anbieter); Verarbeitung gemäß ClickUp DPA; SCCs
Supabase Datenbank-Hosting (PostgreSQL), Authentifizierung, File Storage und Vektor-Suche für Kunden-Web-Applikationen je nach Projekt: Identifikations- und Kontaktdaten, projektbezogene Inhalte, ggf. Dokumente EU-Region (Frankfurt); Supabase Inc. (US-Mutter) mit SCCs gemäß Supabase DPA
Railway Hosting der Acinon-Web-Applikationen (Next.js); künftig auch Hosting der Marketing-Website je nach Anwendung: Kommunikations- und Projektdaten, Authentifizierungs-Logs EU-Region; Railway Corp. (US-Anbieter) mit SCCs gemäß Railway DPA
GitHub Versionskontrolle und Quellcode-Hosting; Issue-Tracking Quellcode (kann projektbezogene Inhalte und Konfigurationen enthalten); Kommunikationsdaten in Issues/Pull Requests GitHub Inc. / Microsoft (USA); SCCs / EU-US Data Privacy Framework gemäß GitHub DPA
Resend Transaktionaler E-Mail-Versand aus Kundenanwendungen (z. B. Einladungen, Benachrichtigungen) E-Mail-Adressen der Empfänger und Inhalte der versendeten Nachrichten Resend Inc. (USA); SCCs gemäß Resend DPA
OpenAI (API) KI-gestützte Textverarbeitung und -generierung in Kunden-Anwendungen über die OpenAI-API an die API übermittelte Inhalte, die personenbezogene Daten enthalten können OpenAI L.L.C. (USA); SCCs gemäß OpenAI DPA; keine Verwendung zum Modelltraining (API-Standard)
Anthropic (API) KI-gestützte Textverarbeitung in Kunden-Anwendungen über die Claude-API an die API übermittelte Inhalte, die personenbezogene Daten enthalten können Anthropic PBC (USA); SCCs gemäß Anthropic DPA; keine Verwendung zum Modelltraining (API-Standard)
IONOS (Legacy) Hosting der bisherigen Marketing-Website acinon.ai (WordPress); Ablösung durch eigene Lösung auf Railway in Vorbereitung Kontaktdaten aus Formularen, Server-Logfiles IONOS SE (Deutschland), EU
n8n Cloud (Legacy) Workflow-Automatisierung in Altprojekten; bei Neuprojekten nicht mehr im Einsatz, Migration bestehender Workflows in Umsetzung je nach Workflow: Kontakt- und Kommunikationsdaten, projektbezogene Inhalte n8n GmbH (Deutschland); ggf. Drittlandbezug durch externe Integrationen je Workflow

Hinweis: Persönliche LLM-Abonnements (ChatGPT Plus, Claude Pro) der Mitarbeitenden werden ausschließlich für interne Entwicklungsarbeit ohne Übermittlung personenbezogener Daten des Verantwortlichen verwendet und gelten daher nicht als Unterauftragsverarbeiter im Sinne dieser AVV. Eine etwaige Ausweitung auf Azure OpenAI Service (EU-Region) bzw. AWS Bedrock (EU-Region) ist in Vorbereitung und würde – sofern produktiv eingesetzt – als zusätzlicher Subprozessor gemäß Abschnitt 6 angekündigt.