Zurück

Auftragsverarbeitungs­vertrag (AVV)

Die Parteien schließen diese Vereinbarung über die Auftragsverarbeitung gemäß Art. 28 DSGVO ab. Diese Vereinbarung ist Bestandteil des zwischen den Parteien abgeschlossenen Nutzungsvertrags für quellstube.

1. Gegenstand und Dauer der Verarbeitung

Die Verarbeiterin betreibt die SaaS-Anwendung quellstube und verarbeitet in diesem Rahmen personenbezogene Daten ausschließlich im Auftrag und nach Weisung des/der Verantwortlichen.

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach Vertragsende gelten die Regelungen in Punkt 10 dieser Vereinbarung.

2. Art, Zweck und Gegenstand der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Bereitstellung und des Betriebs der quellstube-Anwendung für die Verwaltung von Wassergenossenschaften, insbesondere:

• Verwaltung von Mitgliederdaten der Genossenschaft
• Erfassung und Verwaltung von Wasserverbrauchsdaten
• Abrechnung und Rechnungswesen gegenüber Mitgliedern
• Kommunikation mit Mitgliedern über die Plattform
• Verwaltung von Grundstücks- und Anschlussdaten

3. Kategorien personenbezogener Daten

Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:

Kategorie	Beispiele
Stammdaten	Name, Adresse, Geburtsdatum, Kontaktdaten
Verbrauchsdaten	Wasserverbrauch, Zählerstände, Anschlussdaten
Finanzdaten	Rechnungsbeträge, Zahlungsstatus (keine Bankdaten)
Grundstücksdaten	Grundstücksadresse, Eigentumsangaben
Kommunikationsdaten	E-Mail-Adressen, Telefonnummern für Benachrichtigungen

4. Kategorien betroffener Personen

Von der Verarbeitung betroffene Personengruppen sind:

• Mitglieder der Wassergenossenschaft
• Grundstückseigentümer und Anschlussinhaber
• Mitarbeiter und Funktionäre der Genossenschaft (Nutzer der Anwendung)

5. Pflichten der Verarbeiterin

5.1 Weisungsgebundenheit

Die Verarbeiterin verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des/der Verantwortlichen, es sei denn, sie ist rechtlich dazu verpflichtet. In diesem Fall informiert die Verarbeiterin den/die Verantwortliche(n) vorab, sofern dies rechtlich zulässig ist.

Erteilt der/die Verantwortliche eine Weisung, die nach Auffassung der Verarbeiterin gegen datenschutzrechtliche Vorschriften verstößt, hat die Verarbeiterin den/die Verantwortliche(n) unverzüglich darauf hinzuweisen.

5.2 Vertraulichkeit

Die Verarbeiterin stellt sicher, dass alle Personen, die mit der Verarbeitung der Daten befasst sind, zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Vertraulichkeitspflicht unterliegen.

5.3 Technische und organisatorische Maßnahmen (TOMs)

Die Verarbeiterin trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die derzeit geltenden TOMs sind in Anhang A dieser Vereinbarung beschrieben.

Die Verarbeiterin ist berechtigt, die TOMs weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

5.4 Unterstützung des/der Verantwortlichen

Die Verarbeiterin unterstützt den/die Verantwortliche(n) soweit möglich bei der Erfüllung seiner/ihrer Pflichten, insbesondere bei:

• der Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Datenportabilität);
• der Einhaltung der Meldepflichten bei Datenschutzverletzungen gemäß Art. 33 und 34 DSGVO;
• der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO.

5.5 Meldung von Datenschutzverletzungen

Die Verarbeiterin meldet dem/der Verantwortlichen Datenschutzverletzungen (Security Incidents) unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, per E-Mail. Die Meldung enthält alle verfügbaren Informationen gemäß Art. 33 Abs. 3 DSGVO.

5.6 Verarbeitungsverzeichnis

Die Verarbeiterin führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt dieses auf Anfrage zur Verfügung.

6. Pflichten des/der Verantwortlichen

Der/die Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt insbesondere sicher, dass:

• eine rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten besteht;
• betroffene Personen über die Verarbeitung ihrer Daten informiert wurden;
• Weisungen an die Verarbeiterin dokumentiert werden.

7. Sub-Auftragsverarbeiter

Der/die Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung der folgenden Sub-Auftragsverarbeiter:

Anbieter	Zweck	Standort
Hetzner Online GmbH	Hosting, Server-Infrastruktur	Deutschland / EU
Postmark (Wildbit LLC)	Transaktions-E-Mails: Registrierungsbestätigung, Passwort-Reset, Rechnungsversand, Mahnwesen, Self-Service-Codes, System-Benachrichtigungen	USA (SCCs abgeschlossen)
Brevo (Brevo SAS)	Transaktions-E-Mails: Registrierungsbestätigung, Passwort-Reset, Rechnungsversand, Mahnwesen, Self-Service-Codes, System-Benachrichtigungen	Frankreich / EU

Die Verarbeiterin informiert den/die Verantwortliche(n) über geplante Änderungen bei Sub-Auftragsverarbeitern mit einer Frist von 30 Tagen. Der/die Verantwortliche kann Änderungen innerhalb dieser Frist schriftlich widersprechen.

Die Verarbeiterin schließt mit jedem Sub-Auftragsverarbeiter einen Vertrag gemäß Art. 28 Abs. 4 DSGVO ab, der diesem AVV inhaltlich entspricht.

8. Internationale Datenübermittlung

Die Verarbeitung erfolgt grundsätzlich innerhalb der EU/des EWR. Ausnahmen bestehen für Postmark (USA). Die Übermittlung erfolgt auf Basis von Standarddatenschutzklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

9. Kontrollrechte des/der Verantwortlichen

Der/die Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung und der datenschutzrechtlichen Pflichten durch die Verarbeiterin zu überprüfen. Kontrollen sind mindestens 14 Tage im Voraus schriftlich anzukündigen und auf das notwendige Maß zu beschränken.

Die Verarbeiterin stellt alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung und ermöglicht Audits durch den/die Verantwortliche(n) oder einen beauftragten Dritten.

10. Rückgabe und Löschung von Daten

Nach Beendigung des Nutzungsvertrags stellt die Verarbeiterin dem/der Verantwortlichen für 30 Tage einen vollständigen Datenexport in einem gängigen maschinenlesbaren Format (CSV oder JSON) zur Verfügung.

Nach Ablauf dieser Frist werden alle personenbezogenen Daten des/der Verantwortlichen unwiederbringlich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung wird auf Anfrage schriftlich bestätigt.

11. Haftung

Jede Partei haftet für Schäden, die durch einen Verstoß gegen ihre datenschutzrechtlichen Pflichten entstehen, gemäß Art. 82 DSGVO. Im Innenverhältnis der Parteien gilt: Die Verarbeiterin haftet nur für Schäden, die durch einen ihr zurechenbaren Verstoß gegen diese Vereinbarung oder die DSGVO entstanden sind.

12. Schlussbestimmungen

Diese Vereinbarung unterliegt österreichischem Recht. Gerichtsstand ist Spittal an der Drau. Änderungen bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, gilt die salvatorische Klausel gemäß den AGB der Verarbeiterin.

Diese Vereinbarung tritt mit Abschluss des Nutzungsvertrags in Kraft und endet mit dessen Beendigung, wobei Punkt 10 nachwirkt.

Hinweis zum Vertragsschluss: Diese Vereinbarung wird durch den Abschluss des Nutzungsvertrags und die Akzeptanz dieser Bedingungen im Rahmen der Online-Registrierung wirksam abgeschlossen. Eine gesonderte Unterschrift ist für den digitalen Vertragsschluss nicht erforderlich. Auf Wunsch kann diese Vereinbarung auch in schriftlicher Form unterzeichnet werden — Anfragen bitte an kontakt@quellstube.at.

Anhang A – Technische und organisatorische Maßnahmen (TOMs)

A. Vertraulichkeit

• Zutrittskontrolle: Server bei Hetzner in gesicherten Rechenzentren mit Zutrittsschutz
• Zugangskontrolle: Passwortschutz, gehashte Passwörter (bcrypt), keine Weitergabe von Zugangsdaten
• Zugriffskontrolle: Rollenbasierte Zugriffsrechte innerhalb der Anwendung, Prinzip der minimalen Berechtigung
• Trennungsgebot: Kundendaten werden mandantentrennt verarbeitet

B. Integrität

• Weitergabekontrolle: Alle Datenübertragungen erfolgen verschlüsselt via HTTPS/TLS 1.2+
• Eingabekontrolle: Logging von Datenänderungen in der Anwendung

C. Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: Regelmäßige automatische Backups der Datenbank (täglich, Aufbewahrung 7 Tage)
• Wiederherstellbarkeit: Backup-Restore wird regelmäßig getestet
• Ausfallsicherheit: Hosting auf dedizierten Servern bei Hetzner mit Monitoring

D. Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Überprüfung der Zugriffsrechte
• Dependency-Updates und Sicherheitspatches werden zeitnah eingespielt
• Meldeverfahren für Sicherheitsvorfälle ist definiert (Meldung an AG binnen 24h)