Kontakt
Rechtliches/avv
>

AVV / DPA (Muster)

// Muster für einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO für die B2B-SaaS-Leistungen der ROARK GmbH.

Dieses Dokument ist ein Muster für einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO im Rahmen unserer B2B-SaaS-Leistungen.

Verbindlich wird die Auftragsverarbeitung erst durch Abschluss eines individuellen Vertragsdokuments zwischen der Kundin oder dem Kunden (Verantwortliche oder Verantwortlicher) und der ROARK GmbH (Auftragsverarbeiter).

1. Gegenstand und Dauer der Verarbeitung

  1. ROARK verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung der Kundin oder des Kunden.
  2. Gegenstand, Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag und den dort beschriebenen SaaS-Leistungen.
  3. Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags, soweit nicht gesondert geregelt.

2. Art der Daten und Kategorien betroffener Personen

Je nach Nutzung der SaaS-Leistungen können insbesondere folgende Kategorien betroffen sein:

  • Kategorien personenbezogener Daten: Stamm-, Kontakt-, Nutzungs-, Kommunikations- und Inhaltsdaten
  • Kategorien betroffener Personen: Beschäftigte, Kundinnen und Kunden, Nutzerinnen und Nutzer, sonstige Kontaktpersonen der Auftraggeberin bzw. des Auftraggebers

Die konkrete Befüllung und Verantwortung für die Inhalte liegt bei der Auftraggeberin bzw. beim Auftraggeber.

3. Weisungsrecht

  1. ROARK verarbeitet personenbezogene Daten nur auf dokumentierte Weisung.
  2. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
  3. Hält ROARK eine Weisung für datenschutzrechtlich unzulässig, informiert ROARK die Auftraggeberin bzw. den Auftraggeber unverzüglich.

4. Vertraulichkeit und Zugriffsbeschränkung

  1. ROARK verpflichtet alle mit der Verarbeitung befassten Personen auf Vertraulichkeit.
  2. Zugriffe auf personenbezogene Daten erfolgen nach dem Need-to-know-Prinzip und rollenbasiert.

5. Technische und organisatorische Maßnahmen (TOM)

ROARK setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, insbesondere:

  • Zutritts-, Zugangs- und Zugriffskontrollen
  • Mandantentrennung und Berechtigungskonzepte
  • Verschlüsselung bei Übertragung (TLS) und, soweit technisch vorgesehen, bei Speicherung
  • Protokollierung sicherheitsrelevanter Vorgänge
  • Verfahren zur Sicherung der Verfügbarkeit (Backups, Wiederherstellungsprozesse)
  • Prozesse für regelmäßige Überprüfung und Verbesserung der Sicherheitsmaßnahmen

6. Unterauftragsverarbeiter

ROARK setzt folgende Unterauftragsverarbeiter ein:

AnbieterFunktionStandort/RegionRolle
HetznerHosting, Serverbetrieb, Datenbanken, BackupsEU (insb. Deutschland/Finnland)Unterauftragsverarbeiter
VercelWeb-Hosting, Deployment, Delivery-KomponentenEU und weitere RegionenUnterauftragsverarbeiter
bunny.netDNS-Resolver, CDN/Edge-AuslieferungEU und globale Edge-StandorteUnterauftragsverarbeiter
MigaduE-Mail-InfrastrukturSchweiz und ggf. weitere Standorte über UnterauftragsverarbeiterUnterauftragsverarbeiter
netcupDomainverwaltung/RegistrarEU (insb. Deutschland)Unterauftragsverarbeiter, soweit auftragsbezogen

ROARK informiert die Auftraggeberin bzw. den Auftraggeber über wesentliche geplante Änderungen bei den Unterauftragsverarbeitern gemäß vertraglicher Regelung.

7. Drittlandübermittlungen

  1. Eine Verarbeitung in Drittländern erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO eingehalten sind.
  2. Als geeignete Garantien kommen insbesondere Standardvertragsklauseln (SCC) und sonstige zulässige Transfermechanismen in Betracht.
  3. Für die Schweiz gilt der Angemessenheitsbeschluss der EU-Kommission.

8. Unterstützungspflichten

ROARK unterstützt die Auftraggeberin bzw. den Auftraggeber im angemessenen Umfang bei

  • der Erfüllung von Betroffenenrechten,
  • Datenschutz-Folgenabschätzungen,
  • der Konsultation von Aufsichtsbehörden,
  • der Einhaltung der Meldepflichten bei Datenschutzverletzungen.

9. Meldung von Datenschutzverletzungen

  1. ROARK meldet Verletzungen des Schutzes personenbezogener Daten im Auftragsverhältnis unverzüglich nach Bekanntwerden.
  2. Die Meldung enthält alle verfügbaren Informationen, die für eine Bewertung und Erfüllung gesetzlicher Meldepflichten erforderlich sind.

10. Kontrollrechte

  1. ROARK stellt der Auftraggeberin bzw. dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
  2. Audits erfolgen nach angemessener Vorankündigung, unter Wahrung von Vertraulichkeit und Sicherheitsinteressen sowie ohne Störung des laufenden Betriebs.

11. Rückgabe und Löschung nach Vertragsende

  1. Nach Ende der Auftragsverarbeitung löscht oder gibt ROARK personenbezogene Daten nach Weisung der Auftraggeberin bzw. des Auftraggebers zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  2. Backups werden im Rahmen technischer Zyklen gelöscht.

12. Haftung und Rangfolge

  1. Für die Haftung gelten die Regelungen des Hauptvertrags, soweit gesetzlich zulässig.
  2. Bei Widersprüchen zwischen Hauptvertrag und AVV gehen die datenschutzrechtlichen Regelungen des AVV vor.

13. Kontakt

Für datenschutzbezogene Rückfragen zum AVV:

ROARK GmbH
E-Mail: datenschutz@roark.at
Telefon: +43 660 375 8455