Kostenlos testen
Anmelden

Vereinbarung über die Auftragsverarbeitung nach Art. 28 DSGVO

Version vom 27.08.2025

Der Verantwortliche
Für die Verarbeitung Verantwortlicher Kunde
(im Folgenden Auftraggeber)

Der Auftragsverarbeiter
Metasoul GmbH
Urstein Süd 15
5412 Puch bei Hallein
Austria
(im Folgenden Auftragnehmer)

Diese Auftragsverarbeitungs-Vereinbarung ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen des Auftragnehmers oder anderer Verträge zwischen Auftraggeber und Auftragnehmer, die unter https://metasoul.com/saas-vertrag/ abrufbar sind. Sie gilt zwischen dem Auftraggeber und dem Auftragnehmer immer dann, wenn der Auftragnehmer im Rahmen der Nutzung seiner Dienste personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.

1. HINTERGRUND UND SPEZIFIKATION DER DATENVERARBEITUNG

1.1 Der Auftragnehmer ist ein Unternehmen welches folgenden Leistungen anbietet:

  • Betreiben einer SaaS-Plattform um Kunden bei der Erfüllung von Datenschutzanforderungen zu unterstützen.

1.2 Der Auftraggeber ist ein Unternehmen, welches plant, die Dienstleistungen des Auftragnehmers in den genannten Bereichen in Anspruch zu nehmen.

1.3 Diese Auftragsverarbeitungs-Vereinbarung legt die Bedingungen für die Verarbeitung personenbezogener Daten durch den Auftragnehmer unter Billigung des Auftraggebers in Übereinstimmung mit der Datenschutzgrundverordnung (DSGVO) fest. Der Auftragnehmer handelt als Auftragsverarbeiter im Sinne der DSGVO.

2. ART, ZWECK, GEGENSTAND UND RECHTSGRUNDLAGE DER DATENVERARBEITUNG

2.1 Die Leistungen des Auftragnehmers sind in den diesbezüglich abgeschlossenen Verträgen mit dem Auftraggeber beschrieben.

2.2 Im Zuge der Leistungserbringung stellt der Auftraggeber dem Auftragnehmer die für die Leistungserbringung erforderlichen personenbezogenen Daten auf dem jeweiligen Fall geeigneten Weg zur Verfügung. Beispielsweise auf elektronischem oder physischem Weg, über Gespräche und Analysen, der Ausübung anderer vertraglich geregelter Tätigkeiten, auf mündlichem Weg oder über Software-Tools.

2.3 Die Verarbeitung personenbezogener Daten kann insbesondere durch Organisation, Ordnen, Speicherung sowie gegebenenfalls Anpassung oder Veränderung, Abfragen, Verknüpfung, Einschränkung, Löschen, Kombination, Kopieren, Ausblenden, Verbindung, Analyse, Lesen, Empfangen, Senden, Aktualisierung erfolgen, soweit dies jeweils für die Erbringung der vereinbarten Leistungen erforderlich ist.

2.4 Der Zweck der Verarbeitung besteht in der vertraglich festgelegten Leistungserbringung gegenüber dem Auftraggeber.

2.5 Der Auftragnehmer ist nicht verpflichtet, die Rechtmäßigkeit der zugrundeliegenden Datenverarbeitungen des Auftraggebers zu prüfen.

3. BETROFFENE PERSONENBEZOGENE DATEN UND KATEGORIE BETROFFENER PERSONEN

3.1 Im Rahmen der vereinbarten Leistungen können die personenbezogenen Daten verarbeitet werden, die für die Leistungserbringung erforderlich sind. Insbesondere können die folgenden Daten sein:

  • Logindaten
  • Identifikationsdaten
  • Kontaktdaten
  • Zahlungsdaten
  • Rechnungsdaten
  • Daten zur Fehlererkennung und Fehleranalyse
  • Daten zur Analyse des Nutzerverhaltens
  • Daten, welche als Freitext zur Verfügung gestellt werden

3.2 Der Auftraggeber nimmt zur Kenntnis, dass der Auftragnehmer keinen Einfluss auf die im Rahmen der Leistungserbringung verarbeiteten Kategorien personenbezogener Daten hat. Dies betrifft im Besonderen die mögliche Übermittlung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO).

3.3 Von der Verarbeitung sind grundsätzlich alle für die Erbringung der vereinbarten Leistungen notwendigen Kategorien von Betroffenen erfasst. Insbesondere fallen darunter die folgenden Kategorien betroffener Personen:

  • Kunden des Auftraggebers
  • Dienstleister des Auftraggebers
  • Mitarbeiter des Auftraggebers

3.4 Angesichts der Art der vereinbarten Leistungen erkennt der Auftraggeber an, dass der Auftragnehmer die Liste der Kategorien betroffener Personen weitgehend weder überprüfen noch pflegen kann. Daher verpflichtet sich der Auftraggeber, den Auftragnehmer über alle erforderlichen Änderungen an der Liste der Kategorien betroffener Personen zu informieren.

3.5 Der Auftragnehmer wird die personenbezogenen Daten des Auftraggebers im Hinblick auf alle vorstehend aufgeführten betroffenen Personen in Übereinstimmung mit den vereinbarten Leistungen verarbeiten. Falls aufgrund von Änderungen an der Liste der Kategorien betroffener Personen Änderungen an den vereinbarten Verarbeitungen erforderlich werden, wird der Auftraggeber dem Auftragnehmer dementsprechende zusätzliche Weisungen erteilen.

4. BEDINGUNGEN DER DATENVERARBEITUNG

4.1 Der Auftragnehmer verpflichtet sich, während der gesamten Leistungserbringung sämtliche Vorgaben der DSGVO einzuhalten.

4.2 Der Auftragnehmer verpflichtet sich, personenbezogene Daten nur auf schriftliche Anweisung in Form eines Vertrags mit dem Auftraggeber zu verarbeiten. Abweichungen von diesen Weisungen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers.

4.3 Der Auftragnehmer verarbeitet die personenbezogenen Daten nach dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit c DSGVO und daher nur so weit, als dies zur Erbringung der vereinbarten Leistungen erforderlich ist.

4.4 Der Zugriff auf personenbezogene Daten des Auftraggebers wird ausschließlich jenen Personen erteilt, welche diesen Zugriff aufgrund vertraglicher oder gesetzlicher Bestimmungen benötigen.

4.5 Alle Personen aufseiten des Auftragnehmers, welche Zugriff auf personenbezogene Daten des Auftraggebers haben, sind zur Verschwiegenheit zu verpflichten. Insbesondere bleibt die Verschwiegenheitspflicht der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

4.6 Der Auftragnehmer ist verpflichtet, alle geeigneten, angemessenen und dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen zu ergreifen und aufrechtzuerhalten, um die Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten.

4.7 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung seiner Verpflichtungen aus der DSGVO, insbesondere in Bezug auf die Rechte der betroffenen Personen.

4.8 Sofern gesetzliche Bestimmungen nicht entgegenstehen, wird der Auftragnehmer den Auftraggeber unverzüglich informieren, wenn er eine Information oder Mitteilung einer betroffenen Person, der Datenschutzaufsichtsbehörde oder einer sonstigen Behörde oder eines Dritten erhält und diese Information oder Mitteilung in unmittelbarem oder mittelbarem Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieser Auftragsverarbeitungs-Vereinbarung steht.

4.9 Im Zusammenhang mit der beauftragten Datenverarbeitung wird der Auftragnehmer den Auftraggeber – soweit gesetzlich erforderlich – bei der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten, bei der Durchführung der Datenschutz-Folgeabschätzung sowie gegebenenfalls bei vorherigen Konsultationen mit der Datenschutzaufsichtsbehörde iSv Art. 36 DSGVO unterstützen und alle dafür notwendigen Angaben machen und Informationen erteilen. Darüber hinaus wird der Auftragnehmer ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen und, sofern erforderlich, Datenschutz-Folgenabschätzungen vornehmen und einen Datenschutzbeauftragten bestellen.

4.10 Der Auftragnehmer hat den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, zu informieren, wenn die an ihn überlassenen personenbezogenen Daten unrechtmäßig verwendet wurden und/oder den Betroffenen Schaden droht. Er stellt dem Auftraggeber alle notwendigen Informationen zur Verfügung, damit der Auftraggeber seinen Meldepflichten gegenüber den betroffenen Personen gemäß den Datenschutzgesetzen nachkommen kann.

4.11 Jede Übermittlung von personenbezogenen Daten durch den Auftragnehmer an ein Drittland oder eine internationale Organisation erfolgt im Einklang mit dem Unions- oder nationalem Recht und muss insbesondere mit den Bestimmungen der DSGVO im Einklang stehen.

5. SUB-AUFTRAGSVERARBEITER

5.1 Je nach vertraglich vereinbarter Leistungserbringung wird eine spezifische Liste zugelassener Sub-Verarbeiter in die Datenverarbeitung einbezogen.

5.2 Durch die Nutzung von Sub-Auftragsverarbeitern kann eine Datenübertragung in Drittländer erfolgen. Der Auftragnehmer stellt sicher, dass die Datenübertragung in Drittländer grundsätzlich DSGVO-konform möglich ist. Der Auftraggeber prüft, ob die Übermittlung personenbezogener Daten in Drittländer gemäß Artikel 44-49 DSGVO im Zuge der individuellen Inanspruchnahme der durch den Auftragnehmer angebotenen Dienstleistung DSGVO-konform durchführbar ist.

5.3 Die folgenden Sub-Auftragsverarbeiter sind vom Auftraggeber zugelassen und an der Erbringung der vertraglich vereinbarten Leistungen beteiligt:

  • Hetzner Online GmbH, Industriestr. 25; 91710 Gunzenhausen, Deutschland – Applikationshosting
  • hundertzehn GmbH, In der Weid 15, 8122 Binz, Schweiz – Rechnungslegung
  • Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande – Zahlungsabwicklung
  • seriouscode GmbH, Siedlungsgasse 16, 2111 Kleinrötz, Österreich – Analyse des Nutzerverhaltens
  • Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA – Fehlererkennung und Fehleranalyse
  • Raintank, Inc. dba Grafana Labs, 165 Broadway 23rd Floor, New York, NY 10006, USA – Logging und Monitoring

5.4 Zwischen dem Auftragnehmer und dem Sub-Auftragsverarbeiter muss ein Vertrag gemäß Art. 28 Abs. 4 DSGVO geschlossen werden. Der Subauftrag muss den datenschutzrechtlichen Bestimmungen im selben Umfang Rechnung tragen, wie diese zwischen dem Auftraggeber und dem Auftragnehmer in dieser Vereinbarung vereinbart wurden und die Datenverarbeitung darf nur zu dem in der jeweils gesondert beauftragten Leistung angegebenen Zweck erfolgen.

5.5 Der Auftragnehmer hat die Einhaltung der Sub-Auftragsverarbeiter nach dieser Auftragsverarbeitungs-Vereinbarung treffenden Datenschutz-Pflichten regelmäßig zu prüfen. Sollte dem Auftragnehmer im Rahmen dieser Prüfung zur Kenntnis gelangen, dass der Sub-Auftragsverarbeiter die ihn nach dieser Auftragsverarbeitungs-Vereinbarung treffenden Datenschutz-Pflichten nicht oder nicht ausreichend erfüllt, so hat er den Auftraggeber unaufgefordert und umgehend darüber zu informieren.

5.6 Die Weitervergabe an Sub-Auftragsverarbeiter oder die Änderung der bestehenden Sub-Auftragsverarbeiter sind zulässig, sofern:

  • der Auftragnehmer eine solche Weitervergabe an Sub-Auftragsverarbeiter mindestens zwei Wochen im Voraus schriftlich oder in Textform ankündigt und
  • der Auftraggeber bis zum Zeitpunkt der Übermittlung der Daten an den Auftragnehmer schriftlich oder in Textform keine Einwände gegen die geplante Auslagerung erhebt.

Im Fall eines Einspruches werden Auftraggeber und Auftragnehmer zur Lösung des Konflikts in Kontakt treten, wobei ein außerordentliches Kündigungsrecht der Hauptvereinbarung für beide Seiten für den Fall vereinbart wird, dass der Konflikt nicht gelöst werden kann.

6. PRÜFUNG UND EINHALTUNG

6.1 Der Auftragnehmer gestattet dem Auftraggeber oder den von ihm benannten Vertretern die Durchführung von Audits und Inspektionen, um die Einhaltung der Bestimmungen dieser Auftragsverarbeitungs-Vereinbarung zu überprüfen. Solche Audits sind mit angemessener Vorankündigung durchzuführen und dürfen den Betrieb des Auftragnehmers nicht unangemessen beeinträchtigen. Es ist dem Auftraggeber bekannt, dass allfällige Inspektionen bei Sub-Auftragsverarbeitern mit diesen Sub-Auftragsverarbeitern direkt abzustimmen sind und der Auftragnehmer keinen Einfluss auf die dabei angewendeten Bestimmungen hat.

6.2 Alle externen Prüfer unterliegen einer Vertraulichkeitsvereinbarung.

6.3 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung und arbeitet mit ihm zusammen, um die Einhaltung der DSGVO nachzuweisen.

7. LAUFZEIT UND VERTRAGSENDE

7.1 Diese Auftragsverarbeitungs-Vereinbarung bleibt für die Dauer der Datenverarbeitungstätigkeiten in Kraft und endet mit dem Abschluss der Leistungserbringung oder wie von den Parteien anderweitig vereinbart.

7.2 Bei Beendigung der Auftragsverarbeiters-Vereinbarung (oder auch jederzeit vorher über entsprechendes Verlangen des Auftraggebers) wird der Auftragnehmer die verarbeiteten personenbezogenen Daten (einschließlich allfälliger Kopien) nach freier Wahl des Auftraggebers entweder selbst vernichten oder zur Gänze an den Auftraggeber übergeben, sofern dem keine gesetzlichen oder vertraglichen Pflicht zur Aufbewahrung entgegensteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung aller Vorgaben. Sollte sich der Auftraggeber hinsichtlich der Vorgehensweise nicht äußern, wird der Auftragnehmer die Daten, vorbehaltlich von gesetzlichen oder vertraglichen Pflichten zur Aufbewahrung, sechs Monate nach Beendigung der Vereinbarung vernichten.

7.3 Der Auftragnehmer ist gleichermaßen verpflichtet, die Vernichtung oder Übergabe durch allfällige Sub-Auftragsverarbeiter herbeizuführen.

8. SCHLUSSBESTIMMUNGEN

8.1 Änderungen und Ergänzungen dieser Auftragsverarbeitungs-Vereinbarung und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form (Textform) erfolgen kann, sowie der ausdrücklichen Angabe, dass es sich um eine Änderung oder Ergänzung dieser Auftragsverarbeitungs-Vereinbarung handelt. Dies gilt auch für den Verzicht auf diese Formvorschrift.

8.2 Diese Auftragsverarbeitungs-Vereinbarung unterliegt dem geltenden Recht in Österreich und ist nach diesem auszulegen. Gerichtsstand ist Salzburg.

8.3 Sollten einzelne Bestimmungen dieser Auftragsverarbeiter-Vereinbarung ungültig oder undurchsetzbar sein oder werden, so bleibt der Rest der Auftragsverarbeitungs-Vereinbarung davon unberührt. Diese Bestimmungen gelten als durch gültige und durchsetzbare Regelungen ersetzt, die den von den Vertragsparteien beabsichtigten, wirtschaftlichen Zweck am ehesten erreichen.

Diese Auftragsverarbeitungs-Vereinbarung wurde durch den Metasoul AVV-Generator erzeugt und bereitgestellt.

SCHÜTZE DICH VOR TEUREN ABMAHNUNGEN!

Starte jetzt und teste mit Metasoul, wie du deine Datenschutzverpflichtungen einfach und übersichtlich erfüllen kannst.

Kostenlos testen

made in Austria 🇦🇹

DSGVO konform ✅

EU AI Act konform 🇪🇺

NIS2 konform 🌐

Secure by Design 🔒

Metasoul

Branchen

Hilfe & Support

Rechtliches