ProcequalProcequal
AnmeldenAnfrage stellen

Auftragsverarbeitungsvertrag — Vorschau und Druck

Tragt unten die Daten eurer Organisation ein, prüft den unten stehenden Vertrag und druckt ihn als PDF (Strg/⌘ + P oder Button unten). Die Eingaben bleiben in eurem Browser — sie werden nicht an den Server übertragen oder gespeichert.

Hinweis: Der Anbieter-Block enthält noch Platzhalter — der Betreiber dieser Instanz hat das Impressum noch nicht hinterlegt. Vor Druck einer unterzeichnungs­fähigen Fassung sollten die Anbieter-Daten gesetzt sein.

Auftragsverarbeitungsvertrag

nach Art. 28 DSGVO · Vorlage Procequal · Version 1.0 · Stand 28. April 2026

Vertragsparteien

Verantwortlicher

[ORG_NAME]

[ORG_ADRESSE]

Vertreten durch: [ORG_ANSPRECHPARTNER] · [ORG_KONTAKT_EMAIL]

Auftragsverarbeiter

[Betreiber — wird konfiguriert]

Rechtsform: Privatperson · Kontakt: [contact@example.invalid]

§ 1 Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen im Rahmen der Bereitstellung der Web-Anwendung „Procequal" (Software-as-a-Service). Die Verarbeitung erfolgt für die Dauer der zugrunde liegenden Vertragsbeziehung zwischen den Parteien.

§ 2 Art und Zweck der Verarbeitung

  • Bereitstellung der Web-Anwendung für die Verwaltung von Checklisten, Submissions und Mängeln einer Organisation.
  • Authentifizierung und Sitzungsverwaltung von Org-Mitgliedern.
  • Versand von transaktionalen E-Mails (Einladungen, Reminder, Mängel-Benachrichtigungen).
  • Speicherung von Submission-Daten inklusive optionaler Bild- und Signatur-Anhänge im Auftrag des Verantwortlichen.
  • Audit-Logging für Sicherheits- und Nachvollziehbarkeits­zwecke (Art. 5 Abs. 2 DSGVO).

§ 3 Art der personenbezogenen Daten

  • Stammdaten der Mitglieder (Name, E-Mail, Rolle, Tags, Org-Zugehörigkeit).
  • Authentifizierungs-Daten (Argon2id-Hashes; niemals Klartext-Passwörter).
  • Inhalts-Daten der Anwendung: Checklisten-Definitionen, Submissions, Antworten, Kommentare, Anhänge.
  • Public-Fill-Daten via QR-Code (optionaler Klarname; kurzlebige IP-Adresse für Rate-Limiting).
  • Audit-Log-Metadaten (Aktion, Akteur-ID, Zeitstempel, IP, User-Agent).

Der Verantwortliche darf besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sowie Patientendaten nicht in den Dienst eingeben. Procequal ist kein Medizinprodukt und nicht für die Verarbeitung dieser Datenkategorien zugelassen.

§ 4 Kategorien betroffener Personen

Mitarbeitende und sonstige beauftragte Personen der Organisation; bei QR-Public-Fill optional auch externe Personen, die anonym oder unter Klarnamen Submissions abgeben.

§ 5 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
  • Verpflichtung aller mit der Verarbeitung betrauten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
  • Umsetzung der technisch-organisatorischen Maßnahmen gemäß § 7 dieses Vertrags (Art. 32 DSGVO).
  • Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten, Datenschutz-Folgenabschätzungen und Meldung von Datenschutz­verletzungen.
  • Nach Beendigung der Vertragsbeziehung: nach Wahl des Verantwortlichen Löschung oder Rückgabe aller personenbezogenen Daten innerhalb von 30 Tagen, vorbehaltlich gesetzlicher Aufbewahrungs­pflichten.
  • Auf Anforderung Bereitstellung der zur Nachweis­führung erforderlichen Informationen.

§ 6 Sub-Auftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Sub-Auftragsverarbeitern; die jeweils aktuelle Liste ist Anhang A dieser Vereinbarung. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen (Hinzufügung oder Austausch von Sub-Verarbeitern) mit einer Vorlauffrist von mindestens 30 Tagen. Der Verantwortliche kann diesen Änderungen innerhalb dieser Frist widersprechen; im Fall eines berechtigten Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

§ 7 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt zum Schutz der Daten unter anderem folgende Maßnahmen um (Art. 32 DSGVO):

  • Mehrmandanten-Isolation auf Datenbank-Ebene mittels Row-Level-Security-Policies (Postgres) — Quer-Org-Zugriffe sind DB-seitig blockiert.
  • Argon2id-Hashing aller Passwörter mit OWASP-2024-konformen Parametern.
  • Verschlüsselte Übertragung (TLS 1.2+) zwischen Client und Server sowie zwischen Anwendungs­schicht und nachgelagerten Diensten.
  • HttpOnly + Secure + SameSite-Lax-Cookies; CSRF-Schutz für alle mutierenden Endpunkte.
  • Append-only Audit-Log: UPDATE/DELETE auf der Audit-Tabelle sind auf Datenbank-Privilege-Ebene REVOKEd.
  • Regelmäßige Backups; Wiederherstellungs­tests werden im Rahmen der Härtungs-Phase verifiziert.
  • Pseudonyme statt Klarnamen in Fehler-Tracking; Inhalts-Daten der Submissions werden nicht an Fehler-Tracking-Anbieter übertragen.

§ 8 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Datenschutz­verletzung im Sinne von Art. 33 DSGVO unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnis. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben.

§ 9 Audit-Recht

Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags durch den Auftragsverarbeiter mit angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten zu überprüfen. Die Prüfung kann durch den Verantwortlichen oder einen unabhängigen Dritten erfolgen, sofern dieser keine Wettbewerbs­beziehung zum Auftragsverarbeiter unterhält und einer angemessenen Vertraulichkeits­pflicht unterliegt.

§ 10 Internationale Datenübertragung

Die Primär-Verarbeitung erfolgt innerhalb der Europäischen Union. Soweit Sub-Auftragsverarbeiter in Drittstaaten eingesetzt werden, geschieht dies ausschließlich auf Grundlage der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO).

§ 11 Haftung

Es gilt die in den Allgemeinen Geschäftsbedingungen (AGB) festgelegte Haftungs­regelung. Die Haftungsverteilung zwischen Verantwortlichem und Auftragsverarbeiter im Außenverhältnis folgt Art. 82 DSGVO.

§ 12 Schlussbestimmungen

Es gilt österreichisches Recht. Sollten einzelne Bestimmungen unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Änderungen und Ergänzungen bedürfen der Schriftform; dies gilt auch für die Aufhebung dieses Schriftform­erfordernisses.

Anhang A — Sub-Auftragsverarbeiter

Aktuelle Kategorien (eine namentliche Liste der konkret eingesetzten Anbieter wird vor Aktivierung in einer signierten Fassung beigefügt):

  • Hosting (Web-Anwendung, Datenbank, Hintergrund-Worker) — wird konkret im Anhang A der unterzeichneten Fassung benannt
  • Versand transaktionaler E-Mails — wird konkret im Anhang A der unterzeichneten Fassung benannt
  • Fehler-Tracking (optional, pro Deployment) — wird konkret im Anhang A der unterzeichneten Fassung benannt

Verantwortlicher

[ORG_NAME]
[ORG_ADRESSE]
[ORG_ANSPRECHPARTNER] · [ORG_KONTAKT_EMAIL]

Ort, Datum, Unterschrift

Auftragsverarbeiter

[Betreiber — wird konfiguriert]
[contact@example.invalid]

Ort, Datum, Unterschrift
AVV Procequal · Version 1.0 · Vorschau-Stand 28. April 2026
Auftragsverarbeitungsvertrag (AVV) · Procequal