Auftragsverarbeitungvereinbarung (AVV)

Letzte Änderung: 1. März 2026

Präambel

(1) Der Auftraggeber nutzt die SaaS-Lösung prop.ID. Im Rahmen dieser Nutzung verarbeitet prop.ID personenbezogene Daten im Auftrag des Auftraggebers. Diese Vereinbarung konkretisiert die Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO und ergänzt die Allgemeinen Geschäftsbedingungen von prop.ID sowie die Datenschutzerklärung.

1. Gegenstand der Vereinbarung

1.1. Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung und Nutzung der SaaS-Lösung prop.ID.

1.2. Die Verarbeitung umfasst die in Anlage 1 näher beschriebenen Tätigkeiten, Datenkategorien und betroffenen Personen.

1.3. Diese Vereinbarung gilt für die Dauer des Vertragsverhältnisses zwischen den Parteien über die Nutzung von prop.ID.

2. Dauer der Vereinbarung

2.1. Die Vereinbarung beginnt mit Unterzeichnung dieses Dokuments oder wenn der Auftraggeber im Rahmen des Online-Registrierungsprozesses der Geltung dieser Vereinbarung zustimmt oder wenn der Auftraggeber einen Hauptvertrag (Auftragsbestätigung) abschließt bzw. sobald die SaaS-Lösung genutzt wird.

2.2. Die Vereinbarung endet automatisch mit Beendigung des Hauptvertrags (Auftragsbestätigung) über die Nutzung von prop.ID. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

3. Pflichten des Auftragsverarbeiters

3.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers und der in Anlage 1 beschriebenen Zwecke. Weisungen erfolgen in der Regel schriftlich oder in nachweisbarer Form (z.B. per eMail).

3.2. Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit.

3.3. Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO um (siehe Anlage 2).

3.4. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten, bei Datenschutz-Folgenabschätzungen und bei der Beantwortung von Anfragen der Aufsichtsbehörden.

3.5. Der Auftragsverarbeiter meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden.

3.6. Nach Beendigung der Verarbeitung löscht oder gibt – sofern physisch möglich - der Auftragsverarbeiter alle personenbezogenen Daten zurück (einschließlich Kopien), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4. Sub-Auftragsverarbeiter (Subprozessoren)

4.1. Der Auftragsverarbeiter ist berechtigt, Sub-Auftragsverarbeiter für folgende Kategorien von Tätigkeiten einzusetzen:

  • Hosting (Cloud-Infrastruktur und Speicherung in der EU),
  • Postversand von Firmenkommunikation (eMail-/Post-Versanddienste),
  • Zusatzservices im Bereich Künstliche Intelligenz (z. B. Analyse-, Zusammenfassungs-, Textverbesserungs- oder Automatisierungsfunktionen).

4.2. Der Auftragsverarbeiter stellt sicher, dass jeder Sub-Auftragsverarbeiter vertraglich die gleichen datenschutzrechtlichen Verpflichtungen eingeht wie der Auftragsverarbeiter selbst (Art. 28 Abs. 4 DSGVO).

4.3. Der Auftragsverarbeiter führt eine aktuelle Liste aller eingesetzten Sub-Auftragsverarbeiter. Auf begründete schriftliche Anfrage des Auftraggebers legt er diese Liste (mit Namen, Sitz, Tätigkeit und Kontaktdaten) unverzüglich offen, soweit dies zur Erfüllung der datenschutzrechtlichen Pflichten des Auftraggebers erforderlich ist.

4.4. Der Auftragsverarbeiter informiert den Auftraggeber rechtzeitig (mindestens 30 Tage im Voraus) über jede beabsichtigte Änderung der Kategorien oder die Hinzuziehung eines Sub-Auftragsverarbeiters in einer neuen Kategorie. Der Auftraggeber kann der Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Falle eines Widerspruchs bemühen sich die Parteien um eine einvernehmliche Lösung.

5. Pflichten des Auftraggebers

5.1. Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung sowie für die Erteilung von Weisungen verantwortlich.

5.2. Der Auftraggeber stellt dem Auftragsverarbeiter alle für die Verarbeitung erforderlichen Informationen zur Verfügung.

6. Technisch-organisatorische Maßnahmen

6.1. Der Auftragsverarbeiter setzt die in Anlage 2 beschriebenen TOMs um. Änderungen, die das Schutzniveau nicht mindern, sind zulässig.

7. Audit- und Kontrollrechte

7.1. Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorgaben durch den Auftragsverarbeiter zu prüfen (auch durch Dritte). Prüfungen erfolgen in der Regel mit einer Ankündigungsfrist von 14 Tagen und während der üblichen Geschäftszeiten. Der Auftragsverarbeiter gewährt Einsicht in relevante Unterlagen und ermöglicht Vor-Ort-Prüfungen.

8. Haftung

8.1. Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO und des österreichischen Rechts. Der Auftragsverarbeiter haftet gegenüber dem Auftraggeber für Schäden, die durch ihn oder seine Sub-Auftragsverarbeiter verursacht werden, soweit er nicht nachweisen kann, dass er die ihm obliegenden Pflichten erfüllt hat.

9. Schlussbestimmungen

9.1. Änderungen und Ergänzungen bedürfen der Schriftform.

9.2. Sollte eine Bestimmung unwirksam sein, bleibt der Rest des Vertrags wirksam.

9.3. Gerichtsstand ist Wien. Es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts.

9.4. Diese Vereinbarung ersetzt alle früheren Vereinbarungen zum Thema Auftragsverarbeitung zwischen den Parteien.

 

Anlage 1

  • Zweck der Verarbeitung: Bereitstellung und Betrieb der SaaS-Lösung prop.ID;
  • Art der Verarbeitung: Erhebung, Speicherung, Organisation, Nutzung, Übermittlung, Löschung;
  • Datenkategorien: Stammdaten von Liegenschaften sowie Eigentümern oder Mietern: Adressdaten, Miteigentumsanteile, Namensdaten, Kontaktdaten, Nutzungsdaten, Kommunikationsdaten;
  • Betroffene Personen: Kunden wie Eigentümer, Mieter oder Mietinteressenten des Auftraggebers sowie Mitarbeiter des Auftraggebers; Partnerunternehmen des Auftraggebers;
  • Dauer: Für die Dauer des Nutzungsvertrags;

 

Anlage 2 – Technisch-organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO

Der Auftragsverarbeiter (prop.ID) gewährleistet ein dem Risiko angemessenes Schutzniveau unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie Art, Umfang, Umstände und Zweck der Verarbeitung. Die nachfolgenden Maßnahmen werden laufend überprüft, bewertet und bei Bedarf angepasst.

1. Vertraulichkeit

1.1 Zutrittskontrolle

  • Die Datenspeicherung erfolgt im Rechenzentrum des Sub-Auftragsverarbeiters Hetzner Online GmbH in Nürnberg, Deutschland mit 24/7-Security, Videoüberwachung und Zutrittsprotokollierung.
  • Physischer Zutritt zu den Rechenzentren (Hetzner) sowie zu den Geschäftsräumen der prop.ID GmbH ist nur autorisierten Personen gestattet.

1.2 Zugangskontrolle

  • Passwort-Policy (Mindestlänge, Komplexität).

1.3 Zugriffskontrolle

  • 2-Faktor-Authentifizierung für Mitarbeiter.

1.4 Weitergabekontrolle

  • Verschlüsselung aller Datenübertragungen (TLS 1.3)
  • Verträge mit Subprozessoren (siehe Ziffer 4 der Vereinbarung).

2. Integrität

  • Die Speicherung der Daten erfolgt auf verschlüsselten Datenträgern (Encryption at rest). Hierbei kommt der Industriestandard AES-256 zum Einsatz. Die Verschlüsselung erfolgt auf Host-Ebene durch den Infrastruktur-Anbieter (Hetzner Online GmbH in Nürnberg, Deutschland), wodurch die Daten gegen physische Entwendung der Datenträger geschützt sind.
  • Patch-Management: Regelmäßige automatisierte Sicherheitsupdates der Betriebssysteme und Anwendungskomponenten zur Schließung von Sicherheitslücken.

3. Verfügbarkeit und Belastbarkeit

  • Infrastruktur: Nutzung einer hochverfügbaren Cloud-Infrastruktur mit Redundanz in ISO 27001-zertifizierten EU-Rechenzentren (Hetzner Online GmbH, Standort: Nürnberg, Deutschland).
  • Netzwerkschutz (DDoS): Schutz vor Angriffen auf Netzwerkebene (Layer 3 & 4) durch die automatisierte DDoS-Mitigation des Infrastruktur-Anbieters.
  • Systemseitige Zugriffsbeschränkung: Einsatz einer Cloud-Firewall zur strikten Filterung ein- und ausgehender Datenströme auf Port-Ebene (Beschränkung auf notwendige Dienste wie HTTPS).
  • Zugriffssicherung: Administrativer Zugriff auf die Cloud-Infrastruktur erfolgt über verschlüsselte Verbindungen (SSH) und ist mittels 2-Faktor-Authentifizierung (2FA) abgesichert.

4. Wiederherstellbarkeit

  • Tägliche verschlüsselte Backups (georedundant innerhalb der EU).
  • Jährliche Test-Wiederherstellungen der Backups.