Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: 26.05.2026
zwischen
Auftraggeber (Verantwortlicher)
Der jeweilige Vertragspartner gemäß Buchung, Angebot, Rechnung oder sonstigem Vertragsabschluss mit Praxea.
nachfolgend „Auftraggeber“
und
Auftragnehmer (Auftragsverarbeiter)
Alexander Schierl-Martinu
Einzelunternehmer
Haupstraße 34, 5202 Neumarkt am Wallersee, Österreich
alex@werkstatt22.at
nachfolgend „Praxea“
gemeinsam „Parteien“.
1. Gegenstand des Vertrags
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch Praxea im Auftrag des Auftraggebers gemäß Art. 28 DSGVO.
Der AVV gilt ausschließlich, soweit Praxea personenbezogene Daten im Auftrag verarbeitet.
Der AVV wird Bestandteil des Vertragsverhältnisses zwischen den Parteien.
2. Vertragsgegenstand und Leistungen
Die Verarbeitung erfolgt ausschließlich zur Erbringung vereinbarter Leistungen.
Dies kann insbesondere umfassen:
- Erstellung und Betreuung von Websites
- Hosting
- Kundenportal
- Formulare
- Terminbuchung
- CRM- und Automationsprozesse
- Bewertungsmanagement
- Bewertungsanfragen
- Kommunikation
- Analysefunktionen
- Support
- technische Administration
3. Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des jeweiligen Vertragsverhältnisses.
Nach Vertragsende erfolgt die Verarbeitung nur soweit:
- gesetzlich erforderlich,
- technisch notwendig,
- oder vertraglich vereinbart.
4. Art der Verarbeitung
Die Verarbeitung kann insbesondere umfassen:
- Erhebung
- Speicherung
- Organisation
- Strukturierung
- Nutzung
- Bereitstellung
- Übermittlung
- Löschung
5. Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich:
- zur Leistungserbringung,
- zur Kundenbetreuung,
- zur technischen Bereitstellung,
- zur Vertragsdurchführung.
Eine Verarbeitung zu eigenen Zwecken erfolgt nicht.
Ausgenommen bleiben eigene Datenverarbeitungen von Praxea als eigenständiger Verantwortlicher.
6. Kategorien personenbezogener Daten
Je nach Leistung können insbesondere verarbeitet werden:
Stammdaten
- Name
- Telefonnummer
- Adresse
Kommunikationsdaten
- Nachrichten
- Termine
- Anfragen
Nutzungsdaten
- IP-Adresse
- Geräteinformationen
- Logininformationen
Inhaltsdaten
- Texte
- Bilder
- Uploads
- Webseiteninhalte
Bewertungsbezogene Daten
- Bewertungsstatus
- Kommunikationshistorie
7. Kategorien betroffener Personen
- Interessenten
- Website-Besucher
- Kunden
- Mitarbeiter
- Portalnutzer
- Ansprechpartner
8. Weisungsrecht
Praxea verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.
Weisungen können insbesondere erfolgen:
- über gebuchte Leistungen,
- schriftlich,
- per E-Mail,
- über das Kundenportal.
Erkennt Praxea rechtswidrige Weisungen, wird der Auftraggeber informiert.
9. Pflichten des Auftraggebers
Der Auftraggeber bestätigt:
- datenschutzrechtlich Verantwortlicher zu sein,
- über notwendige Rechtsgrundlagen zu verfügen,
- Informationspflichten erfüllt zu haben,
- erforderliche Einwilligungen eingeholt zu haben.
Der Auftraggeber verpflichtet sich insbesondere:
- keine unzulässigen Daten bereitzustellen,
- keine rechtswidrigen Inhalte hochzuladen,
- keine sensiblen Gesundheitsdaten zu übermitteln, sofern nicht ausdrücklich vereinbart.
10. Pflichten von Praxea
Praxea verpflichtet sich:
- Daten vertraulich zu behandeln,
- Personal zu verpflichten,
- geeignete Schutzmaßnahmen einzusetzen,
- nur im Vertragsrahmen zu handeln,
- Datenschutzverletzungen unverzüglich mitzuteilen.
11. Technische und organisatorische Maßnahmen (TOM)
Praxea setzt angemessene Maßnahmen gemäß Art. 32 DSGVO ein.
Hierzu gehören insbesondere:
Zugriffsschutz
- Rollen- und Rechteverwaltung
- Passwortschutz
- Zugriffsbeschränkung
Übertragungsschutz
- TLS-/SSL-Verschlüsselung
Verfügbarkeit
- Hosting auf professioneller Infrastruktur
- Backupprozesse
Integrität
- Änderungsprotokolle
- Berechtigungsmanagement
Sicherheit
- Updates
- Monitoring
- Schutz vor unbefugtem Zugriff
12. Unterauftragsverarbeiter
Der Auftraggeber stimmt dem Einsatz folgender Kategorien von Unterauftragsverarbeitern zu:
| Dienstleister | Zweck |
|---|---|
| GoHighLevel / LeadConnector | Plattform |
| E-Mail / Kalender / Analyse | |
| Stripe | Zahlungsabwicklung |
| Meta | Marketing |
| Cloudflare (falls eingesetzt) | DNS / Infrastruktur |
Praxea darf weitere Unterauftragsverarbeiter einsetzen.
Die jeweils aktuelle Liste kann veröffentlicht werden.
13. Drittlandübermittlungen
Soweit Daten außerhalb des EWR verarbeitet werden, erfolgt dies ausschließlich unter Einhaltung der DSGVO.
Hierzu können eingesetzt werden:
- Angemessenheitsbeschlüsse
- Standardvertragsklauseln
- zusätzliche Schutzmaßnahmen
14. Unterstützungspflichten
Praxea unterstützt den Auftraggeber angemessen bei:
- Auskunft
- Löschung
- Berichtigung
- Datenschutzverletzungen
- Datenschutz-Folgenabschätzungen
soweit dies verhältnismäßig ist.
15. Datenschutzverletzungen
Praxea informiert den Auftraggeber unverzüglich über Datenschutzverletzungen, soweit diese die Auftragsverarbeitung betreffen.
16. Löschung nach Vertragsende
Nach Vertragsende ist Praxea berechtigt:
a) Daten zu löschen
oder
b) gesetzlich erforderliche Daten aufzubewahren.
Technische Backups werden innerhalb üblicher Systemzyklen überschrieben.
17. Nachweise und Kontrolle
Praxea stellt auf angemessene Anfrage Informationen zur Verfügung, die zur Erfüllung der Nachweispflichten erforderlich sind.
Vor-Ort-Kontrollen erfolgen nur:
- nach angemessener Vorankündigung,
- soweit erforderlich,
- unter Berücksichtigung von Sicherheitsinteressen.
18. Haftung
Die Haftung richtet sich nach dem Hauptvertrag sowie den gesetzlichen Bestimmungen.
19. Schlussbestimmungen
Dieser AVV wird Bestandteil des Vertragsverhältnisses.
Eine gesonderte Unterzeichnung ist nicht erforderlich.
Es gilt österreichisches Recht.
Gerichtsstand: Salzburg.