Anmelden Registrieren

Cookies verwalten

Wir verwenden Cookies, um die Seitennavigation zu verbessern, die Nutzung zu analysieren und unsere Marketingaktivitäten zu unterstützen. Sie können diese Cookies akzeptieren oder ablehnen.

Datenschutz

Auftragsverarbeitungsvertrag (AVV) – Vorlage

Zuletzt aktualisiert: 2025-10-15 • Gültig für SaaS-Kunden von Zedl

Dieses Dokument ergänzt die Nutzungsbedingungen und die Datenschutzerklärung.

Auf einen Blick

  • Auftragsverarbeiter: ex-nihilo GmbH • Verantwortlicher: Kunde (Vertragspartner).
  • Gegenstand: Verarbeitung von Belegen, Metadaten und Nutzerdaten zur Erbringung von Zedl.
  • TOMs gem. Art. 32 DSGVO beschrieben unter Sicherheitsmaßnahmen.
  • Subprozessoren werden über das Subprozessorenregister angekündigt.
  • Audits, Weisungen, Löschung/Rückgabe sind geregelt; Daten bleiben in der EU, Transfers mit SCC.

1. Vertragsparteien und Begriffe

  • „Auftragsverarbeiter" (AV): ex-nihilo GmbH, Effingergasse 18/2-3, 1160 Wien, Österreich.
  • „Verantwortlicher" (V): Kunde, der Zedl gemäß Nutzungsbedingungen nutzt.
  • „Personenbezogene Daten": Alle in Zedl verarbeiteten Daten (Belege, Nutzerprofile, Kommentare etc.).
  • „Subprozessoren": Unterauftragsverarbeiter gemäß Anlage.

2. Gegenstand und Dauer

Der AV regelt die Verarbeitung personenbezogener Daten durch den AV im Auftrag des V zum Betrieb der SaaS-Lösung „Zedl". Der AV gilt für die Dauer des Hauptvertrags und endet mit vollständiger Löschung bzw. Rückgabe der Daten.

3. Art der Daten und Kategorien Betroffener

  • Datenarten: Stammdaten (Name, E-Mail), Beleginhalte (Belegdaten, enthaltene personenbezogene Angaben, ggf. von Einzelunternehmern), Zahlungsdaten (über Stripe), Logs zur Nachvollziehbarkeit.
  • Betroffene: Nutzer (Admins, Mitarbeitende), Lieferanten/Leistungserbringer auf Belegen, ggf. Dritte, deren Daten in Belegen enthalten sind.

4. Pflichten des Auftragsverarbeiters

  • Daten ausschließlich auf dokumentierte Weisungen des V verarbeiten (inkl. Datenübermittlung in Drittländer).
  • Sicherheitsmaßnahmen nach Art. 32 DSGVO (vgl. Sicherheitsmaßnahmen) implementieren.
  • Personal zur Vertraulichkeit verpflichten und auf Datenschutz sensibilisieren.
  • Technische und organisatorische Maßnahmen dokumentieren, regelmäßig überprüfen und verbessern.
  • Weisungen dokumentieren und bei Unklarheiten informieren.

5. Unterstützungspflichten

  • Unterstützung des V bei der Beantwortung von Betroffenenanfragen (Art. 15–22 DSGVO) durch Bereitstellung verfügbarer Informationen und Funktionen (z. B. Export).
  • Unterstützung bei Datenschutz-Folgenabschätzungen und Konsultationen (Art. 35, 36 DSGVO) in angemessenem Umfang.
  • Unterstützung bei der Meldung von Datenschutzverletzungen an Aufsichtsbehörden und Betroffene.

6. Subunternehmer

Der AV darf nur Subprozessoren einsetzen, die in der Anlage bzw. im Subprozessorenregister genannt sind. Änderungen werden mindestens 30 Tage vor Einsatz angekündigt. Der V kann bei berechtigter Ablehnung Einwände erheben. Der AV schließt mit Subprozessoren Verträge, die vergleichbare Datenschutzpflichten enthalten.

7. Datenschutzverletzungen

Der AV informiert den V unverzüglich, spätestens binnen 48 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten unter Angabe der verfügbaren Details (Art, Umfang, Folgen, eingeleitete Maßnahmen). Die weitere Kommunikation erfolgt in Abstimmung mit dem V.

8. Nachweis- und Auditrechte

Der AV stellt dem V auf Anfrage alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Verpflichtungen nachzuweisen. Der V darf Audits durch unabhängige Prüfer mit einer Ankündigungsfrist von 14 Tagen während üblicher Geschäftszeiten durchführen. Der AV kann Auditberichte zur Verfügung stellen, um den Aufwand zu reduzieren. Kosten trägt grundsätzlich der V.

9. Datenlöschung und Rückgabe

Nach Ende des Hauptvertrags oder auf Weisung des V löscht oder gibt der AV sämtliche personenbezogenen Daten zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Löschfristen: aktive Daten unverzüglich nach Vertragsende, Backups spätestens nach 30 Tagen, Logs spätestens nach 90 Tagen. Löschungen werden dokumentiert.

10. Internationale Datenübermittlungen

Daten werden innerhalb der EU/EWR verarbeitet. Sollte eine Drittlandverarbeitung notwendig sein, verwendet der AV geeignete Garantien (Standardvertragsklauseln, ggf. zusätzliche Maßnahmen). Der V wird vorab informiert und kann Einwände erheben.

11. Laufzeit, Kündigung, Sonstiges

  • Der AV tritt mit Abschluss des Hauptvertrags in Kraft und gilt für dessen Dauer.
  • Kündigung entspricht der Kündigung des Hauptvertrags; wesentliche Datenschutzverstöße berechtigen zur außerordentlichen Kündigung.
  • Ergänzungen/Änderungen bedürfen der Schriftform (Textform ausreichend).
  • Es gilt österreichisches Recht, Gerichtsstand Wien.

12. Anlage – Technische und organisatorische Maßnahmen (TOMs)

Die TOMs sind im Dokument Sicherheitsmaßnahmen detailliert beschrieben. Diese Anlage ist Teil des AV und wird bei Aktualisierungen versioniert.

13. Anlage – Liste der Subprozessoren

Die jeweils aktuelle Liste steht unter Subprozessoren zur Verfügung. Änderungen erfolgen gemäß Abschnitt 6.