← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) ist Anlage A zu den Allgemeinen Geschäftsbedingungen der RFXSearch FlexCo (aufträge.io) und regelt die Verarbeitung personenbezogener Daten zwischen dem Kunden (im Folgenden „Verantwortlicher“) und der Betreiberin der Plattform (im Folgenden „Auftragsverarbeiter“) gemäß Art. 28 DSGVO. Er wird mit Vertragsschluss zwischen Verantwortlichem und Auftragsverarbeiter wirksam und ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen.

Verantwortlicher: Der Kunde im Sinne der AGB (die im Buchungs- und Registrierungsprozess identifizierte juristische oder natürliche Person, die die SaaS-Plattform aufträge.io für eigene unternehmerische Zwecke nutzt).

Auftragsverarbeiter:

RFXSearch FlexCo

Stephansplatz 8/20, 1010 Wien, Österreich

Firmenbuchnummer FN 674966 y, Handelsgericht Wien

UID-Nummer ATU83107406

Kontakt Datenschutz: [email protected]

2.1 Gegenstand

Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform aufträge.io.

2.2 Dauer

Die Verarbeitung beginnt mit der Freischaltung des Plattform-Zugangs und endet mit der vollständigen Löschung sämtlicher Verantwortlicher-Daten gemäß § 10 dieses AVV. Sie ist an die Laufzeit des Hauptvertrags (AGB) gebunden.

2.3 Art

Die Verarbeitung umfasst insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO.

2.4 Zweck

Zweck der Verarbeitung ist die Bereitstellung der vertraglich vereinbarten Funktionen der Plattform aufträge.io, insbesondere die Aggregation und Strukturierung von Ausschreibungsdaten, die Verwaltung von Nutzerkonten, die Erstellung und Pflege individueller Such- und Leistungsprofile sowie die Kommunikation mit Nutzerinnen des Verantwortlichen.

3.1 Datenarten

Verarbeitet werden insbesondere folgende Kategorien personenbezogener Daten:

  • Stammdaten der Nutzerinnen des Verantwortlichen (Name, Vorname, geschäftliche E-Mail-Adresse, Funktion im Unternehmen, gegebenenfalls Telefonnummer);
  • Account- und Authentifizierungsdaten (Benutzername, gehashte Passwörter, Sitzungs-Tokens, OAuth-Identifikatoren bei Single-Sign-On);
  • Nutzungs- und Protokolldaten (IP-Adresse in gekürzter Form, Browser- und Geräteinformationen, Zeitstempel von Zugriffen, aufgerufene Funktionen);
  • Inhaltsdaten (vom Verantwortlichen bzw. seinen Nutzerinnen eingegebene Suchprofile, Notizen, Markierungen, Alarme, Filtereinstellungen);
  • Kommunikationsdaten im Zusammenhang mit Support- oder Newsletter-Kommunikation (sofern aktiviert);
  • Zahlungs- und Vertragsdaten, sofern für die Plattform-Nutzung erforderlich (Rechnungsempfänger, Vertragsdokumentation – wobei die eigentliche Zahlungsabwicklung durch Stripe in eigener Verantwortlichkeit erfolgt, vgl. § 11 DSE).

3.2 Betroffenenkreise

Betroffenenkreise:

  • Mitarbeiterinnen und sonstige Nutzerinnen des Verantwortlichen, die mit Zugangsdaten auf die Plattform zugreifen;
  • Ansprechpartnerinnen des Verantwortlichen für vertragliche, technische und kaufmännische Belange;
  • gegebenenfalls weitere natürliche Personen, deren Daten der Verantwortliche eigenständig in die Plattform einbringt (z. B. Notizen oder Hinweise, die personenbezogene Inhalte enthalten).

4.1 Weisung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern keine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht. Erteilte Weisungen dokumentiert der Auftragsverarbeiter angemessen. Der Hauptvertrag (AGB) sowie die Konfigurationen, die der Verantwortliche im Plattform-Backend eigenständig vornimmt, gelten als dokumentierte Weisungen im Sinne von Art. 28 Abs. 3 lit. a DSGVO.

4.2 Hinweispflicht

Erkennt der Auftragsverarbeiter, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere datenschutzrechtliche Vorschriften der Europäischen Union oder ihrer Mitgliedstaaten verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen.

4.3 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet seine zur Verarbeitung befugten Mitarbeiterinnen sowie sonstige für ihn tätige Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO oder stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.4 TOM

Der Auftragsverarbeiter ergreift sämtliche nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Eine Beschreibung dieser Maßnahmen findet sich in Anlage A.1 (TOM) zu diesem AVV.

4.5 Unterstützung

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung von Betroffenenrechten nach Kapitel III DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit) sowie bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation der Aufsichtsbehörde). Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter wendet, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

4.6 Meldepflicht

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von vierundzwanzig (24) Stunden ab Kenntnis. Die Meldung enthält insbesondere eine Beschreibung der Art der Datenschutzverletzung, soweit möglich Kategorien und ungefähre Zahl der betroffenen Personen sowie der betroffenen Datensätze, Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.

4.7 Verzeichnis

Der Auftragsverarbeiter führt ein Verzeichnis über sämtliche Kategorien der für den Verantwortlichen durchgeführten Verarbeitungen nach Art. 30 Abs. 2 DSGVO und stellt dieses dem Verantwortlichen auf Anfrage zur Verfügung.

5.1 Rechtmäßigkeit

Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich. Er ist insbesondere dafür verantwortlich, dass er über eine wirksame Rechtsgrundlage für die Übermittlung personenbezogener Daten an den Auftragsverarbeiter verfügt.

5.2 Information seiner Nutzerinnen

Der Verantwortliche stellt sicher, dass Nutzerinnen des Verantwortlichen, die mit eigenen Zugangsdaten auf die Plattform zugreifen, über die Verarbeitung ihrer personenbezogenen Daten transparent informiert werden, insbesondere unter Verweis auf die Datenschutzerklärung des Auftragsverarbeiters.

5.3 Ansprechpartner

Der Verantwortliche benennt eine zuständige Kontaktperson für datenschutzrechtliche Belange. Wechselt die Kontaktperson, teilt der Verantwortliche dies dem Auftragsverarbeiter unverzüglich mit.

6.1 Genehmigte Sub-Verarbeiter

Der Verantwortliche stimmt der Beauftragung der nachfolgend in Anlage A.2 (Sub-Verarbeiter-Liste) aufgeführten Unterauftragsverarbeiter zu. Diese Liste entspricht der Auftragsverarbeiter-Übersicht in § 10 der Datenschutzerklärung des Auftragsverarbeiters.

6.2 Wechsel

Der Auftragsverarbeiter informiert den Verantwortlichen mit einer Vorlaufzeit von mindestens dreißig (30) Tagen über jeden geplanten Wechsel oder die Hinzunahme eines Sub-Verarbeiters. Der Verantwortliche kann einem solchen Wechsel binnen dreißig (30) Tagen aus wichtigem, insbesondere datenschutzrechtlichem, Grund widersprechen. Im Fall eines berechtigten Widerspruchs und einer mangelnden einvernehmlichen Lösung steht dem Verantwortlichen ein außerordentliches Kündigungsrecht zum Ende der laufenden Vertragsperiode zu.

6.3 Pflichten

Der Auftragsverarbeiter stellt sicher, dass Sub-Verarbeiter durch vertragliche Vereinbarungen gemäß Art. 28 Abs. 4 DSGVO an datenschutzrechtliche Pflichten gebunden sind, die den Datenschutzpflichten aus diesem AVV entsprechen.

6.4 Drittlandtransfer

Für Drittlandtransfers gilt § 10 DSE: Die Übermittlung an Sub-Verarbeiter mit Sitz außerhalb des EWR erfolgt ausschließlich auf Grundlage geeigneter Garantien gem. Art. 44 ff. DSGVO, insbesondere Angemessenheitsbeschlüsse (EU-U.S. Data Privacy Framework, UK Adequacy Decision) sowie EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) als ergänzende Garantie.

Der Auftragsverarbeiter stellt dem Verantwortlichen geeignete technische Werkzeuge zur Verfügung, mit denen dieser Auskunfts-, Berichtigungs- und Löschungsanfragen seiner Nutzerinnen erfüllen kann. Sollte eine automatisierte Bearbeitung nicht möglich sein, unterstützt der Auftragsverarbeiter im Rahmen seiner technischen und organisatorischen Möglichkeiten manuell. Eine Aufwandserstattung erfolgt nach tatsächlichem Aufwand, sofern die Anfrage offensichtlich unbegründet oder exzessiv ist (Art. 12 Abs. 5 DSGVO).

8.1 Nachweispflicht

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage geeignete Nachweise über die Einhaltung der in Anlage A.1 beschriebenen technischen und organisatorischen Maßnahmen zur Verfügung. Geeignete Nachweise sind insbesondere aktuelle Zertifikate, Testate (z. B. ISO 27001, SOC 2), Selbstauskünfte, Beschreibungen der TOM oder vergleichbare Belege.

8.2 Vor-Ort-Audit

Über die Überlassung von Nachweisen hinaus kann der Verantwortliche maximal einmal pro Kalenderjahr eine Vor-Ort-Prüfung durchführen oder durch einen gemeinsam vereinbarten, unabhängigen Dritten durchführen lassen. Der Verantwortliche kündigt Prüfungen mindestens dreißig (30) Tage im Voraus schriftlich an und berücksichtigt dabei berechtigte Geschäftsinteressen des Auftragsverarbeiters (insbesondere Geheimhaltungsinteressen, Zutrittsbeschränkungen in Rechenzentren, IT-Sicherheitsinteressen).

8.3 Kosten

Die Kosten einer solchen Prüfung trägt der Verantwortliche, sofern die Prüfung keinen erheblichen Verstoß des Auftragsverarbeiters gegen diesen AVV zutage fördert. Wird ein erheblicher Verstoß festgestellt, trägt der Auftragsverarbeiter die angemessenen Kosten der Prüfung.

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie nach den Haftungsregelungen des Hauptvertrags (§ 12 AGB). Die Haftung des Auftragsverarbeiters im Innenverhältnis zum Verantwortlichen ist auf das vom Verantwortlichen in den letzten zwölf (12) Monaten an den Auftragsverarbeiter gezahlte Nettoentgelt begrenzt, soweit dies gesetzlich zulässig ist.

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter die verarbeiteten personenbezogenen Daten des Verantwortlichen spätestens innerhalb von dreißig (30) Tagen, sofern keine gesetzliche Aufbewahrungspflicht (insbesondere § 132 BAO für rechnungs- und steuerrelevante Unterlagen) entgegensteht.

Der Verantwortliche kann bis zum Ablauf der vorgenannten Frist verlangen, dass ihm die Daten in einem gängigen, strukturierten Format zurückgegeben werden. Kommt der Verantwortliche diesem Verlangen nicht rechtzeitig nach, werden die Daten anschließend gelöscht.

Es gelten ergänzend die Schlussbestimmungen des Hauptvertrags (§ 16 AGB). Widersprüche zwischen den Dokumenten werden nach der Rangfolge in § 16.6 AGB aufgelöst.

Stand 29. April 2026. Änderungen werden gemäß § 6.2 mit mindestens dreißig (30) Tagen Vorlauf angekündigt. Die Zuordnung zu den in § 10 der Datenschutzerklärung genannten Auftragsverarbeitern gilt unverändert.

  • Supabase, Inc. (San Francisco, USA) – Datenbank, Authentifizierung, Backend. Hosting AWS eu-central-1 (Frankfurt). Sub-Processor: Supabase Pte. Ltd., Singapur. Transfergarantie: SCCs (EU 2021/914) Modul 2 + 3.
  • Cal.com, Inc. (San Francisco, USA) – Terminbuchung für Demo-Termine. EU-Hosting. Transfergarantie: SCCs Modul 2.
  • Cloudflare, Inc. (San Francisco, USA) – CDN, DNS, Pages, Workers, Web Application Firewall. Transfergarantie: EU-U.S. Data Privacy Framework + SCCs Modul 2 + 3 + Global PRP.
  • Northflank Ltd. (London, Vereinigtes Königreich) – Container-Hosting des Backends. Transfergarantie: UK-Angemessenheitsbeschluss der EU-Kommission (gültig bis 27.12.2031).
  • Weaviate B.V. (Amsterdam, Niederlande) – Vektordatenbank für KI-Matching. Sitz im EWR – kein Drittlandtransfer.
  • Stripe Payments Europe Ltd. (Dublin, Irland) – Zahlungsabwicklung. Etwaige US-Transfers: EU-U.S. Data Privacy Framework + SCCs Modul 1 + 2. Doppelrolle gemäß § 11 DSE.
  • Brevo GmbH, Köpenicker Straße 126, 10179 Berlin, Deutschland (USt-ID DE276534027) – Newsletter- und Transaktionsmail-Versand. Verarbeitung in der EU.
  • Functional Software, Inc. (Sentry, San Francisco, USA) – Fehler-Monitoring, Verarbeitung in EU-Region eu.sentry.io. Transfergarantie: EU-U.S. Data Privacy Framework + SCCs Modul 2 + 3. PII-Scrubbing aktiv (§ 12 DSE).
  • Google Cloud EMEA Ltd. (Dublin, Irland) – KI-Matching via Gemini / Vertex AI (Paid Tier). Verarbeitung in EU-Region europe-west3 (Frankfurt). Transfergarantie: EU-U.S. Data Privacy Framework + SCCs Modul 1–3. Kein Training mit Kundendaten gem. Google Cloud DPA.

Stand: 29. April 2026 · Version 1.0